Secondo Gil Vega, Chief Information Security Officer di Veeam, nonostante anni di sforzi del settore contro le minacce interne, non ci sono abbastanza dati – o sistemi abbastanza avanzati – per individuare tutti i comportamenti dannosi. Mentre le aziende lavorano per costruire una cultura aziendale di cybersicurezza, hanno iniziato a investire in architetture zero trust per coprire in maniera proattiva tutte le superfici di attacco. Anche se è un passo nella giusta direzione, questo metodo di protezione ha anche il potenziale di suscitare dubbi e generare risposte negative da parte dei dipendenti.
Numerosi dipendenti stanno lasciando il loro lavoro a causa di problemi incentrati sulla cultura del lavoro che non soddisfa più le esigenze personali del lavoratore. Al netto dei numeri, la scarsa cultura del lavoro è in questo periodo la causa principale delle dimissioni. Se presa come un segnale di poca fiducia verso i dipendenti, l’approccio zero trust potrebbe diffondere ulteriore malcontento, accelerando il processo di dimissioni.
Come possono le aziende scegliere un approccio zero trust senza creare attrito tra manager e dipendenti? Zero trust non significa seminare sfiducia in tutte le reti di un’organizzazione. Le aziende non dovrebbero fare affidamento solo sulle tecnologie per la protezione, ma rendere la sicurezza un lavoro di squadra. In altre parole, il successo di zero trust si basa su una cultura di trasparenza, comunicazione e coerenza. Se adeguatamente compresi e applicati, questi sforzi possono creare un ambiente di lavoro con una strategia zero trust.
Zero trust, creare una cultura della trasparenza e della comunicazione
Secondo il Global Risk Report del World Economic Forum, il 95% degli incidenti di sicurezza informatica sono causati da errori dei dipendenti. Gli esseri umani sono inclini a cliccare sulle e-mail di phishing o a eseguire inconsapevolmente un malware, rendendo l’intera azienda vulnerabile. La zero trust security risolve questo problema coprendo tutte le superfici di attacco, compresa quella umana.
Ma l’approccio zero trust solleva anche domande sulla fiducia tra l’azienda e i suoi dipendenti. Verificare ogni decisione e ogni mossa potrebbe creare una situazione da “Grande Fratello”? La maggior parte delle aziende si trova di fronte a questo dilemma.
Anche se le aziende iniziano a implementare la tecnologia della zero trust nei loro sistemi, devono integrarla nella loro cultura aziendale. Avvisare i dipendenti di cosa sta succedendo, cosa comporta il processo di zero trust, quali sono i benefici per i dipendenti e l’azienda, a cosa prestare attenzione e come sostenere il processo di zero trust. Coinvolgendo i dipendenti e invitandoli ad abbracciare una sana dose di scetticismo verso le potenziali minacce. Una volta che i dipendenti hanno compreso il valore della zero trust, iniziano a sentirsi parte della strategia per la cybersecurity, sono in grado di identificare proattivamente le minacce interne ed esterne all’azienda, promuovendo così una corretta cyber hygiene aziendale.
Implementare i briefing e la formazione continua
Parte del processo di costruzione della cultura della sicurezza dipende dall’assicurare che i dipendenti si sentano sempre preparati. Questo include l’invio di aggiornamenti continui sull’implementazione zero trust e la fornitura di programmi di formazione dedicati alla sicurezza. Non bisogna generalizzare: è probabile che persone con background diversi abbiano interpretazioni diverse della security. La maggior parte delle minacce interne, infatti, si rivelano essere accidentali e non intenzionali.
Fornendo le giuste risorse, tra cui briefing regolari, programmi sulle minacce interne e formazione sulla cybersicurezza a tutti i livelli, le aziende hanno maggiori probabilità di implementare la strategia zero trust in modo organico. Con le giuste informazioni e con una politica trasparente, i dipendenti sapranno cosa fare e a quali risorse ricorrere in caso di attacco, oltre che essere sempre aggiornati sui principali rischi per la sicurezza. Ci saranno sempre minacce in grado di superare le barriere di un’azienda, ma con i dipendenti in grado di riconoscere e segnalare queste minacce in modo tempestivo, la protezione sarà più efficace.
Strumenti e incentivi
Una cultura della trasparenza e della conoscenza combinata con corsi di formazione per la preparazione può aiutare ad affinare le abilità di cui i dipendenti hanno bisogno per operare in un ambiente zero trust. Quando una cultura della trasparenza non è sufficiente a mantenere i dipendenti motivati, l’introduzione di incentivi può aiutare.
Le tecnologie zero trust distribuite in un’organizzazione non devono solo tenere d’occhio la situazione relative alla sicurezza, ma potrebbero anche essere implementate in maniera divertente. Molte di queste tecnologie si basano sull’autenticazione e possono consentire ai manager di creare un punteggio basato, ad esempio, sul modo in cui i dipendenti utilizzano i loro dispositivi. Uno strumento per incentivare una sana competizione tra colleghi o per ricompensarli con dei premi.
Conoscendo il comportamento degli utenti, i responsabili per la sicurezza possono fornire strumenti di supporto personalizzati e risorse, come VPN, crittografia e formazione. L’uso di questi strumenti aiuterà le aziende a difendere ancor di più le superfici di attacco e a creare una corretta cyber hygiene aziendale. Allo stesso tempo, gli incentivi e i punteggi motiveranno i dipendenti a continuare a usare queste risorse.
Nonostante l’efficacia delle tecnologie zero trust sia fuori discussione, è impossibile pensare di utilizzarle in modo efficace senza la componente umana. Questo significa dare la priorità a una cultura di trasparenza, a una comunicazione aperta, a una fiducia nei processi aziendali e nella capacità di ciascun dipendente. La formazione continua e l’utilizzo di tecnologie per la cybersecurity sono strumenti essenziali per creare una rete di dipendenti in grado di difendersi dalle minacce attuali e future.
