sensibilizzazione alla sicurezza
Sapevate che per combattere con successo le minacce informatiche è necessario l’aiuto di un esperto di risorse umane? Vi sorprende? Non dovrebbe. Certo, ci sono tecnici esperti responsabili della sicurezza informatica a livello di server, computer e software; tuttavia, la sicurezza dell’azienda non può dipendere solo da aspetti tecnici, ma sono necessarie anche misure organizzative. In particolare, è necessario formare i dipendenti a riconoscere i trucchi dei criminali informatici e a combatterli. È qui che l’esperienza e le competenze degli esperti di risorse umane possono rivelarsi utili.
Perché le misure puramente tecniche non sono sufficienti
Qualcuno potrebbe dire: “è proprio il compito degli specialisti IT e Infosec!”. Ed in parte è vero. Il dipartimento IT o di sicurezza informatica lavora al massimo per ridurre i rischi di un attacco e attenuare le possibili conseguenze. Tuttavia, un solo errore umano può invalidare la maggior parte dei loro sforzi. In effetti, tutti i dipendenti dovrebbero tenere presente i problemi legati alla cybersecurity, perché ognuno di loro potrebbe danneggiare involontariamente la reputazione e l’economia dell’azienda. Basta aprire un allegato dannoso o credere a un “messaggio del capo” che invita a trasferire denaro su un conto sconosciuto.
Negli ultimi anni i criminali informatici hanno puntato soprattutto sugli errori e sulla scarsa sensibilizzazione e formazione dei dipendenti nei confronti della sicurezza informatica. Il phishing è diventato il mezzo più popolare per mettere le mani su dati riservati e consiste nel tentare di ingannare le persone spingendole a rivelare informazioni utilizzando l’ingegneria sociale, e-mail spoofing o siti web falsi. Al giorno d’oggi, la sicurezza aziendale dipende da tutti i dipendenti e l’azienda dovrebbe informare ognuno di loro sulle norme di sicurezza del lavoro.
Perché il dipartimento IT e InfoSec hanno bisogno di aiuto per formare i colleghi
Il punto forte di questi dipartimento è la parte tecnica; infatti, lavorare con le persone di solito non è un aspetto centrale, figuriamoci formare altri colleghi. Se siete bravi in quello che fate, non significa necessariamente che sappiate spiegare come lo fate, soprattutto a chi non è del settore. Ci sono cose che possono sembrare ovvie per un esperto di sicurezza, ma potrebbero non essere affatto familiari a un responsabile delle vendite. Ecco perché le istruzioni e spiegazioni realizzate da un tecnico specializzato sono spesso troppo difficili da capire e non producono i risultati desiderati.
Inoltre, una conferenza non è generalmente il formato più idoneo per l’apprendimento. Secondo la nostra esperienza, poche persone elaborano veramente le informazioni presentate in questo formato. È come nel caso della formazione sulla sicurezza antincendio: pare sia fondamentale, ma la maggior parte delle persone la percepisce come una formalità. Anche se qualcuno ascolta davvero il relatore, nel migliore dei casi probabilmente dimenticherà circa il 70% di ciò che è stato detto nel giro di un paio di giorni. È preferibile che la formazione venga condotta da un responsabile delle risorse umane che sappia come trasmettere le informazioni ai dipendenti nel modo giusto.
Per non parlare del fatto che i team IT e InfoSec tendono a essere sovraccarichi di lavoro derivanti da questioni di routine, dalle password dimenticate alle centinaia di notifiche provenienti dalle soluzioni di sicurezza, ognuna delle quali potrebbe essere il segnale di un attacco. Questo significa che spesso non ci sono risorse sufficienti per svolgere compiti strategici poco conosciuti, come la sensibilizzazione dei dipendenti nei confronti della sicurezza informatica.
La vostra azienda ha bisogno di un nuovo eroe
Ormai l’avrete capito: gli esperti di risorse umane sono imprescindibili nella lotta contro le minacce informatiche. Un esperto di risorse umane conosce tutti i meccanismi e i segreti del training aziendale, quindi chi meglio di loro può trasmettere l’importanza di questa missione al team manageriale?
E noi, da parte nostra, siamo pronti a fornire tutte le risorse e i mezzi necessari. Nell’ambito del servizio Kaspersky Security Awareness , abbiamo raccolto una serie di corsi di formazione e programmi educativi per specialisti e aziende di diversi livelli ed esperienza, da concetti di base a simulazioni interattive altamente specializzate.
Nonostante la tematica non sia semplice, non è necessario essere esperti di cybersicurezza per organizzare corsi di formazione. I nostri specialisti hanno preparato e organizzato tutte le informazioni necessarie, per cui anche una persona senza esperienza nel campo della sicurezza informatica può gestire il processo.
Il nostro blog può essere un’ulteriore fonte di informazioni che può aiutare gli esperti di risorse umane a conoscere le ultime minacce informatiche e i moderni approcci per formare i dipendenti a proteggersi da tali minacce in modo semplice. Inoltre, spesso pubblichiamo post rilevanti per i professionisti delle risorse umane e abbiamo anche in programma di pubblicare ulteriori materiali che possono aiutare gli esperti di HR a sensibilizzare il team manageriale e ottenere supporto da parte del dipartimento IT.
Consigli