Primo punto: non confondere “educazione” con “formazione”. Nella security non bisogna infatti trascurare la dimensione “umana” spesso sacrificata sull’altare della tecnologia. I suggerimenti di Kaspersky Labs.
Nella lotta contro il malware la tecnologia riveste ovviamente sempre un ruolo di fondamentale importanza, qualunque sia la soluzione adottata. Ritengo tuttavia che sarebbe alquanto imprudente ignorare o trascurare la dimensione “umana” della sicurezza, soprattutto quando si parla di istruire adeguatamente il personale.
Non confondere educazione con formazione
In primo luogo, è importante non confondere educazione con formazione. Non sarebbe difatti per nulla realistico cercar di formare sistematicamente il personale di un’impresa affinché tutti quanti in azienda diventino poi degli esperti in sicurezza informatica. E’ invece necessario condurre un’adeguata campagna di sensibilizzazione riguardo alle potenziali minacce esistenti online e, conseguentemente, anche in merito alle misure da intraprendere per proteggersi nella maniera più efficace.
La strategia deve essere ben compresa
Un chiaro e lineare percorso educativo del personale dovrebbe costituire uno degli elementi fondamentali di una valida strategia di sicurezza aziendale. Occorre utilizzare un linguaggio semplice e diretto per illustrare al proprio staff la variegata natura delle minacce online.
Quest’ultimo deve essere necessariamente informato in merito alle misure di protezione informatica dispiegate dall’azienda, oltre che sul perché e sul percome queste possano influire nello svolgimento dei compiti professionali. E’ difatti tanto più probabile che una strategia di sicurezza risulti pienamente efficace quanto più essa venga ben compresa e favorevolmente sostenuta dal personale.
Franchezza e lealtà
E’ altresì essenziale instaurare e plasmare una cultura di franchezza e lealtà: il personale dovrebbe quindi essere incoraggiato a segnalare eventuali episodi relativi ad attività sospette, anziché essere giocoforza obbligato a nasconderli, per paura di subire poi qualche spiacevole provvedimento disciplinare. Se i dipendenti si sentono minacciati, o vengono in qualche sorta indotti in ambito aziendale a sentirsi al pari di semplici “idioti”, quasi certamente essi si dimostreranno poi, in ogni frangente, molto meno collaborativi.
Una strategia in perenne evoluzione
Così come per qualunque altro aspetto legato alle tematiche della sicurezza, non è affatto sufficiente limitarsi a stabilire una politica aziendale e farla sottoscrivere di conseguenza ai propri collaboratori, per poi magari non far più nulla nel prosieguo.
Un’efficace politica in tema di sicurezza dovrebbe invece sempre evolversi parallelamente al rapido mutare del torbido panorama delle minacce informatiche, ed essere pertanto costantemente rivista ed aggiornata.
Diversi livelli di apprendimento
E’ inoltre essenziale ricordare che, in genere, le persone apprendono avvalendosi di metodologie molto diverse tra loro: alcuni rispondono meglio a degli input verbali, ad esempio, altri ancora a documenti scritti oppure a materiale illustrativo.
Per conferire forza ed efficacia ai messaggi sulla sicurezza che si vogliono trasmettere e far ben comprendere al personale di un’azienda, è quindi meglio utilizzare tutta una serie di strategie diversificate.
Si può così far ricorso a delle presentazioni, magari collocate nell’ambito di uno specifico programma per l’inserimento di nuovo personale in azienda, oppure a campagne di affissione di poster, a questionari per la sensibilizzazione sulle tematiche della sicurezza, all’uso di vignette o fumetti, persino al cosiddetto ‘tip of the day’, il classico suggerimento del giorno, da far magari comparire sugli schermi dei computer utilizzati dal personale non appena si effettua l’accesso alla rete aziendale, e ad altro ancora.
Una strategia condivisa
In seno all’impresa od a qualsivoglia organizzazione è ugualmente importante non presentare mai le informazioni legate alla sicurezza online, oppure condurre la formazione del personale a tal riguardo, alla stregua di questioni meramente connesse al mondo dell’informatica. Tutto ciò dovrebbe essere piuttosto inquadrato in un più ampio contesto legato alla gestione delle risorse umane, comprendente altresì tematiche relative alla salute ed alla sicurezza sul lavoro, così come indicazioni e direttive per il personale in merito ai comportamenti più appropriati da tenere, e così via dicendo.
Per risultare veramente efficace, un programma di educazione alla sicurezza deve essere favorevolmente condiviso sia dal personale che dal dipartimento stesso adibito alla formazione, così come da tutte le altre parti interessate.
*Senior Regional Researcher, Kaspersky Lab UK, GReAT
