Brother
  1. Home Brother
  2. Soluzioni aziendali
  3. Insights hub
  4. Learning hub
  5. Trasformazione digitale
  6. come costruire una solida cultura sulla sicurezza informatica
illustrazione di donna con icone di sicurezza informatica

Fattore umano: come costruire una solida cultura sulla sicurezza informatica?

In questo articolo di in[ctrl] analizziamo l'importante ruolo che i professionisti IT assumono nell'incoraggiare i propri team a contrastare le vulnerabilità legate al fattore umano. Scopri i nostri consigli pratici che ti aiuteranno a coinvolgere i tuoi colleghi per diventare la prima linea di difesa contro le minacce alla sicurezza informatica.


Secondo il World Economic Forum Global Risks Report del 2022, si stima che il 95% delle infrazioni di sicurezza informatica sia riconducibile ad errori umani.

Anche se i dipendenti possono diventare – per certi versi - la più grande minaccia per un'organizzazione, come possono essere incolpati di qualcosa che non conoscono o non capiscono?

L’errore umano è un atto non intenzionale che spesso si verifica a causa di una mancanza di conoscenza. Per fattore umano si intende il modo in cui un'organizzazione, una cultura, un lavoro e un individuo si combinano per dotare le persone di queste conoscenze e migliorare la loro affidabilità sul lavoro. In quest'ottica, è importante concentrare la nostra attenzione sul fattore umano, soprattutto in relazione alla sicurezza informatica.

I rischi per la sicurezza informatica del lavoro a distanza: il fattore umano

La transizione forzata verso modalità di lavoro remoto e ibrido ha portato le organizzazioni a confrontarsi con nuove dinamiche lavorative, offrendo vantaggi come una maggiore flessibilità e miglioramenti nella produttività. Tuttavia, ha altresì esposto i nostri colleghi a nuove vulnerabilità e sfide di sicurezza informatica senza precedenti.

Lavorare da casa può comportare una serie di rischi, inclusi:

  • Una condizione di comfort che può rendere i lavoratori meno attenti
  • Un aumento delle distrazioni che influisce sui livelli di attenzione
  • L'uso alternato di dispositivi personali e aziendali, con la possibilità di infettare l'uno con l'altro
  • L’utilizzo di reti non protette

Riconoscere e valorizzare il ruolo del fattore umano permette ai professionisti IT di identificare strategie efficaci per sostenere i propri colleghi nel contrastare queste minacce e nell'instaurare una cultura aziendale di sicurezza informatica forte e resiliente.

Cos'è la cultura della sicurezza informatica?

Una buona cultura della sicurezza informatica si sviluppa quando tutti i dipendenti acquisiscono la consapevolezza necessaria per lavorare in modo sicuro.

Il fattore umano svolge un ruolo cruciale in questo contesto: è la migliore difesa contro gli attacchi informatici ma anche l'anello più debole della sicurezza informatica. Sono le persone, più che la tecnologia, a creare una cultura efficace della sicurezza informatica. La prima linea di difesa è costituita da dipendenti informati, dotati di buon senso e consapevolezza sul tema per affrontare i problemi di sicurezza. I reparti IT svolgono un ruolo fondamentale in questo processo, promuovendo un ambiente lavorativo che valorizza la sicurezza come elemento chiave per la resilienza e il successo dell'organizzazione.

6 passi per costruire una solida cultura della sicurezza informatica

Se la cultura aziendale non sostiene adeguatamente le pratiche di sicurezza, il fattore umano può effettivamente trasformarsi in un rischio notevole per la sicurezza informatica. Tuttavia, è possibile contrastare questa vulnerabilità e rafforzare la sicurezza aziendale adottando un approccio strutturato, fornendo al tuo team la sicurezza necessaria per costruire una cultura della sicurezza informatica resiliente. Ecco come farlo in sei semplici passi: 

1. Comunica in modo chiaro e accessibile, evita il gergo tecnico

Evitare l'uso di terminologie tecniche complesse può aiutare a rendere i concetti di sicurezza informatica più accessibili a tutti all'interno dell'organizzazione. È essenziale comunicare le pratiche di sicurezza in un linguaggio semplice e chiaro, assicurandosi che tutti, dai contabili ai designer e ai membri del team di catering, possano comprendere concetti come ransomware, trojan, worm e malware.  L'obiettivo principale è assicurarsi che ogni membro del team capisca come mantenere sicure le proprie operazioni digitali, senza sentirsi sopraffatto da concetti complessi.

Non rendere troppo complicata la comunicazione. Fornisci le informazioni essenziali sulle precauzioni da adottare per garantire un ambiente di lavoro digitale sicuro e su come agire proattivamente in caso di potenziali minacce informatiche. In questo modo, rafforzerai la fiducia dei tuoi collaboratori nella sicurezza informatica e li renderai partecipanti attivi nella protezione dell'azienda da attacchi esterni.

illustrazione di uomo con dubbi iinformatici

2. Condividi una checklist sulla sicurezza informatica

Una checklist accessibile a tutti i membri dell'organizzazione creerà le giuste abitudini in materia di sicurezza informatica.

Crea un documento di facile comprensione che spieghi in modo chiaro quali sono le misure di sicurezza da adottare in modo proattivo, quando e come adottarle per ridurre il rischio di un attacco informatico.

Ecco alcuni esempi di ciò che potresti includere in una checklist di sicurezza informatica:

  • Installare una protezione antivirus e controllare gli aggiornamenti ogni due settimane
  • Eseguire il backup dei file nel cloud ogni settimana
  • Inserire un blocco schermo su tutti i laptop e dispositivi mobili quando si lavora in uno spazio di co-working.
  • Utilizzare sempre una VPN
  • Utilizzare password forti e complesse per ogni account e dispositivo
  • Cambiare le password ogni mese
  • Adottare un approccio "zero-trust" per tutte le e-mail
  • Proteggere con password le sale d'attesa per le riunioni virtuali
  • Disattivare il Bluetooth e la condivisione dei file quando non sono necessari

Questo approccio multidimensionale verso la sicurezza, che considera reti, dispositivi e periferiche, è fondamentale. L'uso di una checklist funge da piano d’azione per ogni membro del team, aiutandoli a rimanere vigili e preparati contro le minacce informatiche.
Includi elementi visivi come screenshot, link a tutorial o esempi video su come implementare ogni misura in modo efficace. Un approccio visivo di questo tipo serve come guida pratica e può essere particolarmente efficace per coloro che preferiscono un metodo di apprendimento autonomo.

3. Rafforza la conoscenza delle procedure di emergenza

Una checklist è efficace per garantire che i colleghi seguano le best practice in materia di cybersecurity. Tuttavia, ricorda che anche le organizzazioni più solide possono essere vittime di un attacco informatico. È fondamentale che tutti i membri del team sappiano come agire in caso di sospetto incidente di sicurezza.

Educare il personale su chi contattare in caso di emergenza è cruciale. Questo include la conoscenza non solo delle procedure da seguire ma anche delle persone di riferimento nel team di sicurezza, comprendendo modalità di contatto e disponibilità oraria. Questa informazione potrebbe essere integrata all'interno della checklist di sicurezza informatica, garantendo così che tutte le risorse necessarie siano facilmente accessibili in un unico documento.
Alcuni elementi che potresti includere nella guida alle procedure di emergenza:

  • Chi è il contatto di primo intervento?
  • Come può essere contattato dal personale?
  • Orari di servizio
  • Cosa fare al di fuori dell'orario di servizio

Fornire queste informazioni non solo prepara i dipendenti a gestire situazioni critiche in modo efficace, ma contribuisce anche a creare un ambiente di lavoro in cui tutti si sentono supportati e sicuri di poter affrontare potenziali minacce informatiche con la dovuta prontezza e competenza.

Esempio di una procedura d'emergenza:

  • Non cliccare su link sospetti
  • Non aprire allegati sospetti
  • Non inoltrare l’email
  • Non rispondere alle e-mail sospette
  • Contatta il team di gestione delle crisi il prima possibile e segnala l’incidente.
illustrazione di fogli con logo Brother

4. Programma un’esercitazione

Anche se può sembrare banale, una rapida esercitazione di scenario è il modo più efficace per sensibilizzare i colleghi sui rischi legati alla sicurezza informatica e sulle vulnerabilità umane.  Queste simulazioni, quando eseguite a livello aziendale, sono utili per valutare quanto il personale sia effettivamente preparato ad affrontare varie minacce informatiche in un contesto non minaccioso.

Le esercitazioni strutturate con domande del tipo "Cosa fai in caso di…?” sono un ottimo strumento per:

  • Permettere ai membri del team di valutare criticamente le proprie pratiche di sicurezza informatica.
  • Stimolare la motivazione a seguire le politiche di sicurezza stabilite.
  • Incoraggiare la revisione e l'applicazione delle procedure elencate nella checklist di sicurezza informatica.
  • Fornire un'opportunità pratica per applicare le conoscenze in scenari di sicurezza potenziali, come il lavoro da remoto.

Potresti progettare l'esercizio per testare aspetti specifici della sicurezza informatica, come ad esempio il lavoro da remoto, il phishing o altre forme di attacchi informatici.

Hai trovato la postazione di lavoro individuale perfetta in uno spazio di co-working. Cosa fai?
A) Condividi i documenti di lavoro utilizzando servizi pubblici di condivisione dei file
B) Mantieni la stessa password per più account online 
C) Utilizzi una rete privata virtuale (VPN)
D) Lasci i dispositivi di lavoro sbloccati e incustoditi

Risposta:
(C) Utilizzi una rete privata virtuale (VPN). Questa è la risposta corretta perché l'utilizzo di una rete privata virtuale (VPN) offre un ulteriore livello di sicurezza durante il lavoro da remoto e protegge i dati sensibili da potenziali minacce sulle reti pubbliche.

Spiegazione:
L'opzione (A) non è corretta perché la condivisione di documenti di lavoro tramite servizi pubblici di file sharing può esporre informazioni sensibili a persone non autorizzate.

L'opzione (B) non è corretta perché l'utilizzo della stessa password per più account online aumenta il rischio di una violazione della sicurezza se un account viene compromesso.

L'opzione (D) non è corretta perché lasciare i dispositivi di lavoro sbloccati e incustoditi in luoghi pubblici può portare ad accessi non autorizzati e a potenziali violazioni dei dati.

Fornendo spiegazioni per ogni potenziale risposta, si aggiunge al quiz l'importante elemento educativo.

5. Festeggia i successi relativi alla sicurezza informatica

Instaurare una cultura solida di sicurezza informatica significa integrarla all'interno della cultura aziendale positiva già esistente. Riconoscere e festeggiare i successi in materia di cybersecurity è un modo efficace per creare un team sicuro di sé, per ispirare e per far sentire i colleghi apprezzati per i loro sforzi in tale ambito.

Motiva i colleghi assegnando loro dei "punteggi di sicurezza" aggiornati regolarmente, correlati alla formazione, ai quiz e all'individuazione di potenziali minacce. Questo approccio non solo accresce la competenza dei dipendenti riguardo la sicurezza informatica, ma li porta anche a considerarla come un elemento importante per mantenere l'azienda al sicuro.

Un semplice volantino sulla bacheca dell'ufficio, un'e-mail settimanale in stile newsletter o un messaggio di aggiornamento possono celebrare gli “eroi informatici” dell’azienda, coloro che hanno salvato l'azienda da una potenziale minaccia e da un costoso attacco. Questo non solo esalta gli sforzi individuali, ma incoraggia tutto il team a seguire i processi di sicurezza informatica e a individuare le potenziali minacce alla sicurezza in modo proattivo.

illustrazione di colleghi che leggono un documento

6. Fornisci aggiornamenti regolari

La sicurezza informatica è un tema che necessita di essere affrontato costantemente, non sporadicamente. Deve diventare parte integrante delle routine quotidiane di ogni team e reparto aziendale. I professionisti IT giocano un ruolo chiave in questo processo, assicurandosi di fornire aggiornamenti regolari per mantenere il personale al corrente sulle più recenti minacce, come truffe di phishing o e-mail fraudolente.

Potresti, per esempio, creare un'e-mail mensile – “Security Scoop” o “The Phishing Report” o qualcosa di simile - che illustri tutte le ultime truffe a cui prestare attenzione. Questi aggiornamenti regolari manterranno la sicurezza informatica all'ordine del giorno e impediranno ai colleghi di perdere interesse.

L'implementazione di una cultura della sicurezza informatica non è comunque in grado di prevenire tutto: ci saranno ancora minacce che inganneranno anche i più preparati. 

In ogni caso, implementando un approccio alla sicurezza informatica incentrato sui dipendenti e seguendo i sei passi di Brother per costruire una solida cultura della sicurezza informatica, i professionisti IT possono mettere i colleghi in condizione di ridurre questo rischio.

illustrazione di donna con sullo sfondo una bacheca

6. Domande frequenti

Qual è la differenza tra errore umano e fattore umano?

L'errore umano è un atto non intenzionale, spesso causato da una mancanza di conoscenza, che provoca un’azione che porta a un esito negativo o a un fallimento. Il fattore umano, invece, descrive l'insieme delle dinamiche tra organizzazione, cultura aziendale, processi lavorativi e caratteristiche individuali che influenzano la performance e l'affidabilità delle persone sul lavoro.

Qual è l'importanza del fattore umano nella sicurezza informatica?

Nella sicurezza informatica, il fattore umano entra in gioco quando le situazioni che causano un hacking o una violazione dei dati avvengono a causa di un'azione umana. Riconoscere e gestire il fattore umano significa potenziare le difese contro le minacce informatiche attraverso la formazione, la consapevolezza e l'adozione di pratiche sicure da parte di tutti gli utenti.

Perché il fattore umano è l'anello debole della sicurezza informatica?

Gli esseri umani possono sbagliare e commettere errori. Le distrazioni, lo stress, l'eccessivo carico di lavoro, l'insoddisfazione o un'eccessiva fiducia in se stessi possono influenzare negativamente le decisioni di un dipendente, aumentando il rischio di incidenti di sicurezza. È per questo motivo che il fattore umano sarà sempre l'anello debole della sicurezza informatica.

Scopri di più di Trasformazione digitale

Ti potrebbe interessate

Illustrazione di uomo seduto al tavolo con pc

Lavoro flessibile: perché i team IT sono fra i principali promotori di questa nuova modalità lavorativa?
3 '
uomo seduto alla scrivania con pc

I peggiori incubi dei leader IT

3 '
due donne in ufficio stilizzato

Lo smartworking è il futuro? Cosa è emerso dall'indagine del 2023 di Brother sul lavoro ibrido su come sfruttare al meglio il lavoro a distanza

Il lavoro a distanza o ibrido è stato adottato con decisione da molte aziende in Europa, ma funziona per tutti? Esploriamo i dati dell'indagine del 2023 di Brother sul lavoro ibrido per comprendere i pro e i contro di questa pratica lavorativa.
3 '
Torna su