Data Security e consapevolezza comportamentale: come migliorarle?

La sicurezza informatica o Cyber security preoccupa tutti: aziende, istituzioni, privati… nessuno si sente più al sicuro. Sicuramente, i dati e le informazioni rappresentano un patrimonio da tutelare rispetto e qualunque minaccia arrivi dall’esterno va neutralizzata grazie all’impiego di tecnologie e di comportamenti adeguati. Il 2019 ha segnato un picco, a livello globale, degli attacchi esterni e il rapporto annuale del Clusit, l’Associazione italiana per la sicurezza informatica, rilasciato a marzo, parla di un attacco in media ogni 5 ore.

C’è però un altro versante che viene spesso trascurato ed è quello della vulnerabilità interna, strettamente collegato al tema dei comportamenti. Ci abbiamo ragionato assieme a un nuovo partner e ora lanciamo un prodotto dedicato.

Facciamo un passo indietro: quando citiamo la vulnerabilità interna significa che stiamo dicendo che ci dovremmo preoccupare di avere fra i nostri dipendenti potenziali hacker e cyber criminali? Certo, è possibile, ma non è questo il punto.

Più spesso, quello che si verifica è una situazione di vulnerabilità involontaria: ci aspettiamo che il pericolo arrivi dall’esterno e ci distraiamo rispetto a tutto quello che apre falle falle importanti nella sicurezza dei dati della nostra organizzazione e spalanca (metaforicamente e non solo) la porta ai criminali informatici.

Per provare a inquadrare meglio la questione, facciamo una distinzione e cominciamo col dire che il concetto di sicurezza informatica andrebbe inserito all’interno di un ragionamento più ampio, a cui possiamo dare il nome di Data security e con cui intendiamo tutta quella famiglia di azioni e strumenti che aiutano l’organizzazione a proteggere e garantire l’integrità e la riservatezza dei dati e delle informazioni in suo possesso.

Perché Dof si occupa di Data security?

Mentre quando ragioniamo di Cyber security la nostra attenzione è rivolta verso l’esterno e si concentra sulla creazione di sistemi di protezione e sbarramento, quando parliamo di Data security ci spostiamo in un ambito che è più organizzativo e preventivo e riguarda, per esempio, i comportamenti – anche agiti in buona fede – che dall’interno possono mettere a repentaglio i nostri dati. Dati che hanno, invece, bisogno di rimanere protetti, inalterabili e utilizzabili lungo il corso di tutta la loro “esistenza”, quando vengono acquisiti, immagazzinati, usati e scambiati. Si tratta di una successione di fasi di cui tutti, dentro l’organizzazione sono responsabili: chi ha la responsabilità diretta della cura del dato, ovviamente, ma anche chiunque lo usa nella propria attività quotidiana e ha a che fare con password, backup, e-mail.

Quando parliamo di Data security dobbiamo essere consapevoli che il vero anello debole del sistema non è tecnologico o infrastrutturale, ma risiede nel fattore umano. Tradotto, l’anello debole siamo noi.

Per mancanza di conoscenza degli strumenti, attenzione, buone pratiche condivise, chiarezza organizzativa su quelle che sono le responsabilità di ruolo, l’errore umano è sempre in agguato, proprio come nella sicurezza sul lavoro. Come testimoniano i risultati dell’ultima ricerca dell’Osservatorio Information Security & Privacy, promosso dalla School of Management del Politecnico di Milano, sono 3 i fattori che aumentano il rischio di esposizione delle aziende agli attacchi cyber:

▪ sistemi informatici obsoleti o eterogenei;
▪ aggiornamenti e patch non effettuati regolarmente;
▪ noncuranza e scarsa consapevolezza dei dipendenti.

Se le prime due criticità incidono rispettivamente per il 41 e 39% la terza arriva a un inquietante 82% nelle aziende intervistate.

Spesso, parliamo di situazioni normalissime e in cui capita di trovarsi molte volte nel corso della giornata, come salvare un file, aprire una mail, usare una password.

Le cose peggiorano con lo smart working

È evidente che se già è complesso organizzare e monitorare i comportamenti delle persone quando si trovano fisicamente sul luogo di lavoro, in questa fase storica che stiamo attraversando, in cui moltissime persone stanno lavorando dalla propria casa e molte realtà hanno già dichiarato che, in futuro e ad emergenza covid-19 rientrata, continueranno ad adottare anche solo in parte questa modalità di lavoro, i rischi aumentano in modo esponenziale. Un esempio su tutti: l’uso promiscuo dei device, per cui mamma e papà lasciano usare ai figli tablet e smartphone su cui transitano informazioni legate al loro lavoro. Ecco che un gesto piccolo e per molti di noi naturale può rappresentare un problema enorme se considerato dalla prospettiva della sicurezza dei dati.

Una questione di chiarezza e cultura organizzativa

Sempre dalla ricerca dell’Osservatorio Information Security & Privacy, pubblicata agli inizi di febbraio e che, quindi, scatta una fotografia praticamente in tempo reale del mercato dell’information security, emerge un altro dato preoccupante e cioè il grado di maturità organizzativa delle imprese: nel 40% delle organizzazioni non esiste una specifica funzione Information Security e il responsabile della sicurezza è lo stesso CIO.

Questo significa che la responsabilità della sicurezza dei dati resta perlopiù in capo all’IT, che spesso fatica a diffondere una consapevolezza accettabile all’intera organizzazione sui comportamenti corretti da tenere. Spesso, per dipendenti che non si occupano in modo specifico di questi temi è addirittura difficile capire a chi rivolgersi in caso di problematiche legate alla sicurezza del dato.

La situazione, com’è immaginabile, peggiora via via che le dimensioni dell’organizzazione si fanno più piccole. Occorre quindi lavorare allo sviluppo di una vera e propria cultura organizzativa della protezione del dato.

La nostra risposta

Da sempre, Dof si affida alle alleanze per costruire progetti che siano in linea con il nostro approccio e contengano elementi di verticalità su aspetti specifici legati alla vita delle organizzazioni. In questo caso, siamo molto felici di aver stretto una partnership con EDR SERVICE, realtà specializzata nella Data security.

Unendo la nostra esperienza in tema di modelli di comportamento con la consolidata esperienza a livello internazionale in ambito di tecnologia e sicurezza informatica del nostro partner, abbiamo creato SOS Data Security & Digital Awareness, una survey strutturata che fa parte della suite SOS e che ti consente di fare un’analisi puntuale del rischio nella gestione dei dati della tua organizzazione.

La survey ti aiuta a:

▪ Analizzare il tuo profilo di rischio rispetto alla gestione dei dati
▪ Mappare le fonti di rischio sia interne che esterne all’organizzazione
▪ Verificare l’adeguatezza delle procedure di back up per minimizzare il rischio
▪ Valutare l’adeguatezza dei permessi rispetto all’utilizzo dei dispositivi e all’accesso dei dati per prevenire episodi di data breach
▪ Valutare l’adeguatezza delle tue soluzioni hardware e software
▪ Verificare il livello di consapevolezza comportamentale delle persone rispetto alla gestione dei dati
Supportare la funzione IT e mantenere aggiornati gli investimenti tecnologici in relazione a uno scenario in costante mutamento
▪ Definire un piano di miglioramento per portare a un livello superiore di efficacia e protezione il tuo modello di data security
▪ Misurare il grado di consapevolezza digitale delle tue persone

Erogabile a distanza o in presenza, ti restituisce velocemente il tuo profilo aziendale, consentendoti di migliorare da subito il sistema attraverso interventi mirati su hardware, software, organizzazione e comportamenti. Si va dalla creazione di linee guida personalizzate di prevenzione e il controllo dell’effettività delle procedure interne di sicurezza informatica fino alla fornitura di hardware e software specifici per controllo e protezione contro malware e cryptovirus e all’assistenza tecnico-legale, passando per la formazione comportamentale per il personale non tecnico e quella su un uso consapevole dei device nello smart working.

Il partner

EDR SERVICE ha sede operativa presso il Polo Tecnologico A. Galvani di Pordenone ed è una realtà giovane e dinamica che nasce dall’incontro di professionisti impegnati da molti anni nei campi del recupero dati da device non funzionanti, riparazioni elettroniche e creazione software specifici per l’acquisizione dati.

I servizi che offre ai propri clienti sono il frutto di un’esperienza pluridecennale e un’expertise di eccellenza in diversi ambiti:

▪ Progettazione hardware dal 1999
▪ Collaborazione con forze dell’ordine e Procure della Repubblica per interventi di estrazione dati in ambito forense
▪ Training di tecniche di recupero dati e key speaking in eventi del settore in Italia e all’estero
▪ Programmazione e creazione di software di recupero dati e acquisizione, sviluppo di programmi per la gestione e la sicurezza del dato con algoritmi proprietari

SCARICA LA BROCHURE

Per informazioni

SCRIVI ALLA MAIL DEDICATA sos@dofconsulting.it

Condividi con la tua rete!

Dicci cosa pensi

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Ritrova la centratura con Shibumi: parti dal Podcast!

DOF CONSULTING

via del Cotonificio 129, 33100 Udine

  • scrivici@dofconsulting.it

RETI



2018-2024 © DOF srl | sede legale: via del Cotonificio, 129 - 33100 Udine | codice fiscale, partita I.V.A. e n° iscrizione Registro Imprese di Udine 01993630308 | n° REA UD - 227426 capitale sociale € 10.000 | PEC: dof@pec.it | PRIVACY POLICY