Il personale rappresenta l\u2019elemento di maggior valore per un\u2019azienda: contribuisce ad aumentare le entrate, crea e consolida il rapporto con i clienti e, naturalmente, ha un ruolo fondamentale nella difesa della sicurezza della compagnia.<\/p>\n
I cybercriminali, invece, vedono il personale come l\u2019ultima linea di difesa dell\u2019azienda da attaccare. In Nord America, ad esempio, le due cause principali di fughe nella sicurezza aziendali sono i dipendenti disinformati e incuranti della sicurezza che cadono nelle trappole del phishing e dell\u2019ingegneria sociale<\/a>. I cybercriminali lo sanno e se ne approfittano.<\/p>\n Se si attiva un programma robusto di educazione in tema di cybersecurity, la vostra azienda pu\u00f2 proteggere le informazioni pi\u00f9 sensibili in suo possesso evitando che i cybercriminali rompano il firewall \u201cumano\u201d formato dal personale.<\/p>\n Abbiamo molte domande in merito alla best practice<\/em> da applicare sul posto di lavoro per salvaguardare la cybersecurity; per questo abbiamo chiesto a Barton Jokinen, Head of Information Security and Compliance for the Americas di Kaspersky Lab, di rispondere ad alcuni dei quesiti pi\u00f9 frequenti.<\/p>\n Esposito: Cos\u2019\u00e8 la cybersecurity?<\/strong><\/p>\n Jokinen<\/strong>: La cybersecurity pu\u00f2 essere definita in molti modi ed \u00e8 un termine che abbraccia diversi punti di vista. Per quanto riguarda la cybersecurity sul posto di lavoro, essa consiste nel difendere sistemi e dati da attacchi dannosi, e ci\u00f2 comprende sia la sicurezza fisica sia la creazione di programmi di formazione.<\/p>\n Esposito: Qual \u00e8 il miglior programma per creare maggiore consapevolezza sul tema della cybersecurity?<\/strong><\/p>\n Jokinen: <\/strong>Non ci sono programmi che vadano bene per tutti. Ogni azienda ha esigenze diverse a seconda dei suoi obiettivi strategici, dall\u2019analisi dei rischi e dalla predisposizione ad assumere rischi. Quindi faremmo meglio a chiederci: \u201cIn che modo la cybersecurity pu\u00f2 contribuire al\u2019attivit\u00e0 principale dell\u2019azienda?\u201d<\/p>\n Esposito: Dal punto di vista della cybersecurity, di cosa si dovrebbero preoccupare le aziende nel proteggere il proprio posto di lavoro?\u00a0<\/strong><\/p>\n Jokinen: <\/strong>Le aziende spesso trascurano tre aree della cybersecurity.<\/p>\n Sicurezza e protezione fisica\u2013 <\/strong>Il benessere dei dipendenti dovrebbe essere una priorit\u00e0 di qualsiasi programma per la cybersecurity aziendale. Potrebbe non sembrare un\u2019idea intuitiva per un settore come cybersecurity, vero? Ma pensiamo un momento alla grande diffusione dei dispositivi che appartengono al mondo dell\u2019Internet delle Cose (IoT), che hanno fatto s\u00ec che non esista pi\u00f9 una linea ben definita tra sicurezza fisica e cybersecurity. Pensiamo, ad esempio, alle telecamere di sicurezza wireless gestite attraverso un\u2019interfaccia web o una serratura smart<\/em> che il dipendente apre con il suo smartphone: qual \u00e8 il punto in cui un oggetto passa dal mondo fisico ad appartenere al mondo informatico?<\/p>\n Molte aziende utilizzano sistemi tradizionali di sicurezza fisica e di controllo dell\u2019ambiente ma si tratta di sistemi che non hanno contatto con coloro che, nella realt\u00e0 odierna, risolvono i problemi attuali. Nell\u2019era odierna dell\u2019IoT, i team che si occupano dell\u2019Information Technology e della cybersecurity si occupano di queste problematiche e, sul posto di lavoro, i sistemi che si usano per tale scopo spesso condividono la rete con il resto delle attivit\u00e0 dell\u2019azienda. Collegare i dispositivi IoT alla rete principale \u00e8 rischioso perch\u00e9 offre un punto di entrata a potenziali cybercriminali che desiderano accedere alle risorse di rete aziendali.<\/p>\n I sistemi vulnerabili possono anche essere utilizzati per accedere a sistemi di controllo industriali (ICS) non adeguatamente protetti. Le aziende che impiegano infrastrutture critiche o che si affidano agli ICS per la produzione, dovrebbero effettuare una ricerca approfondita di tutti i sistemi coinvolti. Anche le reti dovrebbero essere coinvolte nel tentativo di migliorare la cybersecurity in azienda.<\/p>\n Consapevolezza sulla situazione di asset e dati \u2013 <\/strong>La maggior parte delle strutture della cybersecurity si basa sulla conoscenza degli asset aziendali (dati compresi): parliamo dei sistemi e delle applicazioni che processano i dati, chi vi ha accesso e dove si trovano i dati. Una valutazione dei rischi della cybersecurity in base agli asset conosciuti permetter\u00e0 di determinare in modo pi\u00f9 specifico quali sono le possibili minacce. L\u2019azienda potr\u00e0 cos\u00ec concentrare le proprie risorse previste per la cybersecurity su ci\u00f2 che importa davvero.<\/p>\n Consapevolezza e formazione sulla cybersecurity \u2013 <\/strong>Ma bisogna andare oltre il compito di scoprire e catalogare gli asset aziendali. Per generare consapevolezza su un tema cos\u00ec importante come la cybersecurity, bisogna sforzarsi continuamente affinch\u00e9 i dipendenti conoscano le politiche di scurezza aziendale, le ultime minacce e come gestirle. Particolare attenzione va rivolta all\u2019ingegneria sociale, uno dei vettori di attacco pi\u00f9 comuni e di maggior successo.<\/p>\n Le aziende dovrebbero proporre delle formazioni rivolte a certi ruoli in particolare e non solo training generici. Inoltre, le formazioni dovrebbero essere coinvolgenti e personalizzate, magari con l\u2019aiuto di storie e giochi educativi che servano da supporto alle idee proposte per creare maggiore consapevolezza; e, soprattutto, queste formazioni non dovrebbero essere mai viste come dei test.<\/p>\n Un buon programma \u00e8 un mix di una guida interna e di un formatore esterno, l\u2019uso di moduli online autonomi, simulazioni e sondaggi. Infine, bisogna sempre utilizzare le metriche per verificare quali sono i punti deboli e di forza dei programmi di formazione per la sicurezza scelti.<\/p>\n Esposito: Il nostro team IT sa molto di cybersecurity. Perch\u00e9 dovrebbe aver bisogno di una formazione ulteriore?<\/strong><\/p>\n Jokinen: <\/strong>Una buona educazione in termini di cybersecurity dovrebbe essere una pratica comune in azienda. I dipendenti sono spesso indicati come \u201cl\u2019anello debole\u201d ma, al giorno d\u2019oggi, sono i vettori di attacco pi\u00f9 comuni di un\u2019azienda e in azienda dovrebbero essere considerati come un qualsiasi altro vettore di attacco.<\/p>\n Esposito: Abbiamo avuto diversi programmi di formazione ma nessuno sembra essere efficace. Cosa dovremmo fare?<\/strong><\/p>\n Jokinen: <\/strong>Non \u00e8 un segreto che con i programmi di formazione tradizionali spesso non raggiungono l\u2019obiettivo di portare a cambiamenti nel comportamento e nella motivazione. Per creare un programma efficace, bisogna capire cosa c\u2019\u00e8 dietro qualsiasi processo di insegnamento e apprendimento. Per quanto riguarda un programma focalizzato sulla sicurezza informatica, \u00e8 fondamentale creare una cultura della cybersecurity che motivi i dipendenti ad adottare un comportamento sicuro nella propria vita quotidiana, anche al di fuori dell\u2019ufficio. Creare consapevolezza grazie ai programmi di formazione vuol dire cambiare le abitudini e creare nuovi modelli pi\u00f9 adeguati.<\/p>\n I prodotti presenti nella nostra sezione Kaspersky Security Awareness<\/a> sono un buon punto di partenza e possono servire per colmare alcune lacune di programmi gi\u00e0 esistenti. Sono stati creati per rispondere alle necessit\u00e0 delle strutture organizzative di tutti i livelli. I prodotti per la formazione computer-based sono stati progettati seguendo le tecniche di apprendimento moderne, come la gamification<\/em>, il learning-by-doing<\/em> e il rinforzo ripetuto, che aiutano a rafforzare certe capacit\u00e0 e ad evitare che ci si dimentichi delle buone abitudini. Inoltre, la simulazione del posto di lavoro e del comportamento del personale fanno s\u00ec che l\u2019utente si senta pi\u00f9 coinvolto a livello pratico. Tutti questi fattori motivanti garantiscono l\u2019acquisizione delle capacit\u00e0 desiderate.<\/p>\n Esposito: Ogni quanto tempo il personale dovrebbe informare circa un\u2019eventuale attivit\u00e0 sospetta?<\/strong><\/p>\n Jokinen: <\/strong>I team che si occupano della cybersecurity preferirebbero che i dipendenti indicassero minacce che poi risultano essere falsi positivi invece di aspettare che un sospetto si trasformi nel tempo in una grave minaccia da gestire. In ogni caso, prima che il personale informi di un\u2019attivit\u00e0 sospetta dovrebbe essere in grado di capire cosa rientra nell\u2019aggettivo sospetto<\/em>.<\/p>\n Un programma robusto dedicato alla cybersecurity awareness<\/em> (e i materiali di rinforzo a esso connessi) dovrebbero dare una definizione di incidenti sospetti apportando esempi, per poi spiegare chi e come informare in merito. Inoltre, si dovrebbe incoraggiare il personale a informare circa qualsiasi attivit\u00e0 che essi ritengano sospetta. Esistono diverse procedure per il report degli incidenti. Alcune aziende si avvalgono del service desk IT, altre richiedono la creazione di un ticket via e-mail, inviato al team che si occupa della sicurezza, altre aziende ancora vogliono che il personale informi i propri superiori.<\/p>\n Quando il personale ha capito cosa deve fare per identificare e informare in merito a un\u2019attivit\u00e0 sospetta, si pu\u00f2 passare a stabilire delle politiche di risposta agli incidenti, grazie alle quali si indicano procedure e responsabilit\u00e0.<\/p>\n Quando si vede qualcosa di strano, bisogna informare subito perch\u00e9 prevenire \u00e8 meglio che curare.<\/p>\n Esposito: Qual \u00e8 la tuo punto di vista sulla politica del BYOD (Bring Your Own Device)?<\/strong><\/p>\n Jokinen: <\/strong>La politica del Bring your own device <\/em>(BYOD) sta diventando sempre pi\u00f9 popolare perch\u00e9 al personale piace la flessibilit\u00e0 di poter scegliere quando lavorare e con quali dispositivi. Le aziende, dal canto loro, hanno il beneficio di ridurre i costi di acquisto dei dispositivi. Tuttavia, i dati dell\u2019azienda possono essere a rischio: permettere che il personale utilizzi i propri dispositivi personali anche per lavoro implica che questi dispositivi non sono soggetti ai controlli di sicurezza tradizionali.<\/p>\n Esposito: Ci\u00f2 vuol dire che non sei a favore dell\u2019approccio BYOD?<\/strong><\/p>\n Jokinen: <\/strong>Le aziende non devono vietare le politiche BYOD, ma \u00e8 fondamentale che vengano stabilite politiche e procedure di sicurezza adeguate. Ad esempio, sul dispositivo deve essere presente una netta distinzione tra materiale di lavoro e tutto il resto, e i dati aziendali dovrebbero essere processati solo da applicazioni approvate e protette adeguatamente dall\u2019azienda. Una bella sfida per chi utilizza il proprio dispositivo per questioni di lavoro e personali. Per fortuna, esistono i tool MDM (Mobile Device Management), che proteggono i dati aziendali e li separano dal resto dei dati, bloccando e consentendo l\u2019accesso alle applicazioni, rintracciando i dispositivi e cancellando i dati aziendali in remoto in caso di problemi.<\/p>\n Esposito: Dove \u00e8 possibile approfondire la propria cultura in cybersecurity?<\/strong><\/p>\n Jokinen: <\/strong>Kaspersky Lab offre varie risorse per essere sempre aggiornati sulle minacce e gli incidenti che riguardano il mondo della cybersecurity:<\/p>\n Consigli per dare maggiore importanza alla cybersecurity sul posto di lavoro. <\/p>\n","protected":false},"author":636,"featured_media":16555,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2364,2955],"tags":[2239,2498,2988,72],"class_list":{"0":"post-16550","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"tag-consigli","10":"tag-business","11":"tag-consigli-sulla-cybersecurity","12":"tag-sicurezza-informatica"},"hreflang":[{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/cybersecurity-at-work\/16550\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.it\/blog\/tag\/consigli-2\/","name":"consigli"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/16550","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/users\/636"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/comments?post=16550"}],"version-history":[{"count":5,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/16550\/revisions"}],"predecessor-version":[{"id":18553,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/16550\/revisions\/18553"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media\/16555"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media?parent=16550"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/categories?post=16550"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/tags?post=16550"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}\n