Niente colpe: in che modo la sicurezza psicologica aiuta a migliorare la cybersecurity

Le aziende devono creare una cultura della sicurezza, ma ciò non è possibile quando i dipendenti hanno paura di discutere di incidenti o suggerire miglioramenti.

Anche le aziende con un atteggiamento maturo in materia di cybersecurity e investimenti significativi nella protezione dei dati non sono immuni dai cyberincidenti. Gli autori degli attacchi possono sfruttare le vulnerabilità zero-day o compromettere una supply chain. I dipendenti possono essere vittime di sofisticate truffe progettate per violare le difese dell’azienda. Lo stesso team di cybersecurity può commettere un errore durante la configurazione degli strumenti di protezione o durante una procedura di reazione agli incidenti. Ciascuno di questi incidenti rappresenta tuttavia un’opportunità per migliorare processi e sistemi, rendendo le difese ancora più efficaci. Non si tratta solo di mettere insieme le idee, ma di un approccio pratico che ha avuto abbastanza successo in altri campi come la sicurezza aerea.

Nel settore dell’aviazione, quasi tutti i player del settore, dagli ingegneri progettisti agli assistenti di volo, sono tenuti a condividere le informazioni per prevenire incidenti. Non solo riguardo agli arresti anomali o agli errori di sistema; il settore segnala anche potenziali problemi. Questi rapporti vengono costantemente analizzati e le misure di sicurezza vengono adeguate in base ai risultati. Secondo le statistiche di Allianz Commercial, questa continua implementazione di nuove misure e tecnologie ha portato a una significativa riduzione degli incidenti mortali, da 40 ogni milione di voli nel 1959 a 0,1 nel 2015.

Sempre nel settore dell’aviazione, è stato riconosciuto da tempo che questo modello semplicemente non potrebbe funzionare se le persone avessero avuto, o mai avranno, timore nel segnalare violazioni delle procedure, problemi di qualità e altre cause di incidenti. Ecco perché gli standard aeronautici includono requisiti per la segnalazione non punitiva e una cultura corretta, il che significa che la segnalazione di problemi e violazioni non dovrebbe portare a una punizione. I tecnici DevOps hanno un principio simile che chiamano cultura irreprensibile, che utilizzano durante l’analisi degli incidenti rilevanti. Questo approccio è essenziale anche nella cybersecurity.

Ogni errore ha un nome e un cognome?

L’opposto di una cultura irreprensibile è l’idea che “ogni errore abbia un nome e un cognome”, il che significa che la colpa è di una persona specifica. Con questo approccio, ogni errore può portare a sanzioni disciplinari, incluso il licenziamento. Questo principio è considerato dannoso e non porta a una migliore sicurezza.

  • I dipendenti temono la responsabilità e tendono a distorcere i fatti durante le indagini sugli incidenti o addirittura a distruggere le prove.
  • Prove distorte o parzialmente distrutte complicano la reazione e peggiorano il risultato generale, poiché i team di sicurezza non sono in grado di valutare in modo rapido e corretto l’ambito di un determinato incidente.
  • Azzerare una persona da incolpare durante la revisione di un incidente impedisce al team di concentrarsi su come modificare il sistema per evitare che incidenti simili si ripetano.
  • I dipendenti hanno paura di segnalare le violazioni dei criteri di sicurezza e IT, facendo perdere all’azienda le opportunità di correggere le falle di sicurezza prima che queste causino un incidente critico.
  • I dipendenti non hanno motivo di discutere di problemi di cybersecurity, istruirsi a vicenda o correggere gli errori dei colleghi.

Per consentire davvero a ogni dipendente di contribuire alla sicurezza dell’azienda, è necessario un approccio diverso.

I principi fondamentali di una cultura giusta

Chiamarla “segnalazione non punitiva” o “cultura irreprensibile”, i principi fondamentali sono gli stessi:

  • Tutti commettono errori. Impariamo dai nostri errori, invece di punire. Tuttavia, è fondamentale distinguere tra un errore onesto e una violazione dannosa.
  • Durante l’analisi degli incidenti di sicurezza, è necessario considerare il contesto generale, le intenzioni del dipendente e tutti i problemi sistemici che potrebbero aver contribuito alla situazione. Ad esempio, se un elevato turnover dei dipendenti stagionali nelle vendite al dettaglio impedisce loro di ottenere account individuali, è possibile ricorrere alla condivisione di un unico accesso per un terminale POS (Point of sale). L’amministratore del negozio ha colpe? Probabilmente no.
  • Oltre alla semplice revisione di dati tecnici e log, è necessario intrattenere conversazioni approfondite con tutte le persone coinvolte in un incidente. A tale scopo è necessario creare un ambiente produttivo e sicuro in cui le persone si sentano a proprio agio nel condividere le proprie prospettive.
  • L’obiettivo di una revisione dell’incidente dovrebbe essere il miglioramento del comportamento, della tecnologia e dei processi in futuro. Per quanto riguarda quest’ultimo per gli incidenti gravi, è necessario suddividerli in due: reazione immediata per mitigare il danno e analisi successiva per migliorare i sistemi e le procedure.
  • Soprattutto, essere aperti e trasparenti. I dipendenti devono sapere come vengono gestite le segnalazioni di problemi e incidenti e come vengono prese le decisioni. Dovrebbero sapere esattamente a chi rivolgersi se vedono o addirittura sospettano un problema di sicurezza. Devono sapere che sia i supervisori che gli specialisti della sicurezza li supporteranno.
  • Riservatezza e protezione. La segnalazione di un problema di sicurezza non dovrebbe creare problemi alla persona che lo ha segnalato o alla persona che potrebbe averlo causato, a condizione che entrambi abbiano agito in buona fede.

Come implementare questi principi nella cultura della protezione

Assicurare il consenso della leadership. Una cultura della sicurezza non richiede ingenti investimenti diretti, ma richiede il supporto coerente da parte dei team delle risorse umane, della sicurezza informatica e delle comunicazioni interne. I dipendenti devono inoltre assicurarsi che il top management approvi attivamente questo approccio.

Documenta il tuo approccio. La filosofia della cultura irreprensibile dovrebbe essere contenuta nei documenti ufficiali dell’azienda, da criteri di sicurezza dettagliati a una guida breve e semplice che ogni dipendente leggerà e capirà effettivamente. Questo documento dovrebbe indicare chiaramente la posizione dell’azienda sulla differenza tra un errore e una violazione dolosa. Dovrebbe affermare formalmente che i dipendenti non saranno ritenuti personalmente responsabili per errori onesti e che la priorità collettiva è migliorare la sicurezza dell’azienda e prevenire che si ripetano in futuro.

Creare canali per la segnalazione dei problemi. Offrire ai dipendenti diversi modi per segnalare i problemi: una sezione dedicata nella Intranet, un indirizzo e-mail specifico o la possibilità di avvisare semplicemente il proprio superiore. L’ideale è anche disporre di una hotline anonima per segnalare problemi senza timore.

Formazione dei dipendenti La formazione aiuta i dipendenti a riconoscere processi e comportamenti non sicuri. Utilizzare esempi reali di problemi da segnalare e illustrare diversi scenari di incidente. È possibile utilizzare la nostra Kaspersky Automated Security Awareness Platform per organizzare queste sessioni di formazione sulla sensibilizzazione alla cybersecurity. Motivare i dipendenti non solo a segnalare gli incidenti, ma anche a suggerire miglioramenti e pensare a come prevenire problemi di sicurezza nel lavoro quotidiano.

Forma la leadership. Ogni manager deve capire come rispondere alle segnalazioni del proprio team. Hanno bisogno di sapere come e dove inoltrare una segnalazione e come evitare di creare isole incentrate sulla colpa in un mare di cultura giusta. Insegnare ai dirigenti a rispondere in un modo che faccia sentire i colleghi supportati e protetti. Le loro reazioni agli incidenti e alle segnalazioni di errori devono essere costruttive. I leader dovrebbero inoltre incoraggiare le discussioni sui problemi di sicurezza nelle riunioni del team per normalizzare l'argomento.

Sviluppare una procedura di revisione equa per gli incidenti e le segnalazioni di problemi di sicurezza. Sarà necessario radunare un gruppo eterogeneo di dipendenti provenienti da diversi team per formare una "commissione di revisione irreprensibile". Sarà responsabile della tempestiva elaborazione dei rapporti, del processo decisionale e della creazione di piani d'azione per ciascun caso.

Premiare la proattività. Lodare e premiare pubblicamente i dipendenti che segnalano tentativi di spearphishing o nuovi difetti scoperti nei criteri o nelle configurazioni, o che semplicemente completano la formazione per sensibilizzare meglio e più velocemente gli altri membri del proprio team. Menzionare questi dipendenti proattivi nelle comunicazioni periodiche relative alla sicurezza e all'IT, ad esempio nelle newsletter.

Integrare i risultati nei processi di gestione della sicurezza. Le conclusioni e i suggerimenti della commissione di revisione devono avere la priorità ed essere inseriti nel piano aziendale per la resilienza informatica. Alcuni risultati possono semplicemente influenzare le valutazioni dei rischi, mentre altri potrebbero portare direttamente a modifiche dei criteri aziendali o all'implementazione di nuovi controlli di sicurezza tecnici o alla riconfigurazione di quelli esistenti.

Usa gli errori come opportunità di apprendimento. Il programma di sensibilizzazione alla sicurezza sarà più efficace se utilizza esempi reali della propria organizzazione. Non è necessario nominare persone specifiche, ma è possibile menzionare team e sistemi e descrivere scenari di attacco.

Misurare le prestazioni. Per garantire che questo processo funzioni e fornisca risultati, è necessario utilizzare metriche di sicurezza informatica, nonché KPI delle risorse umane e delle comunicazioni. Tenere traccia dell'MTTR per i problemi identificati, la percentuale di problemi rilevati tramite le relazioni dei dipendenti, i livelli di soddisfazione dei dipendenti, il numero e la natura dei problemi di sicurezza identificati e il numero di dipendenti coinvolti nel suggerire miglioramenti.

Eccezioni importanti

Una cultura della sicurezza o una cultura irreprensibile non significa che nessuno venga mai ritenuto responsabile. Ad esempio, i documenti sulla sicurezza aerea relativi alle segnalazioni non punitive includono eccezioni cruciali. La protezione non si applica quando qualcuno si discosta consapevolmente e intenzionalmente dalle normative. Questa eccezione impedisce a un insider che ha divulgato dati alla concorrenza di godere della completa impunità dopo aver confessato.

La seconda eccezione si verifica quando le normative nazionali o di settore richiedono che i singoli dipendenti siano ritenuti personalmente responsabili per incidenti e violazioni. Anche con questo tipo di regolamentazione, è fondamentale mantenere l'equilibrio. L'attenzione dovrebbe rimanere sul miglioramento dei processi e sulla prevenzione di incidenti futuri, non sull'individuazione della colpa. È comunque possibile creare una cultura della fiducia se le indagini sono obiettive e la responsabilità viene applicata solo dove è veramente necessario e giustificato.

Consigli
  • Tutti gli altri paesi