All’interno di un’organizzazione con una forte strategia di gestione del rischio, il dipartimento HR deve svolgere un ruolo attivo e centrale nel preservare e proteggere la sicurezza dell’azienda e dei suoi dati. Le risorse umane devono infatti collaborare con l’IT (e altri dipartimenti) per la protezione delle informazioni e dei sistemi.
È necessario che le risorse umane partecipino in modo significativo allo sviluppo, all’implementazione e alla comunicazione di politiche e procedure di sicurezza a livello aziendale, come descritto in un articolo dedicato di CyberSecurity360, Professionisti delle risorse umane: il loro ruolo per la cyber security aziendale. Le risorse umane dovrebbero inoltre prendere l’iniziativa di formare tutti i dipendenti sui protocolli di sicurezza, siano essi dipendenti attuali o nuovi assunti, con argomenti che vanno dalla sicurezza della posta elettronica all’accesso e all’utilizzo di dati riservati, al riconoscimento di minacce e attività dannose, assumendosi la responsabilità di applicare le procedure e le politiche di sicurezza e sottolineare le ripercussioni per i dipendenti che non rispettano le norme.
L’errore dei dipendenti può giocare un ruolo enorme nelle violazioni della sicurezza aziendale. Secondo il Cost of Insider Threats Study 2018 del Ponemon Institute, almeno il 60 percento delle violazioni dei dati viene effettuato da addetti ai lavori, inclusi dipendenti attuali ed ex che prendono informazioni con loro mentre lasciano un lavoro, maliziosamente o meno. I professionisti delle risorse umane dovrebbero acquisire una comprensione pratica di come proteggere i dati.
È fondamentale, quindi, che gli HR comprendano le diverse modalità di accesso illecito alle informazioni, al fine di poterle identificare e contrastare. Dal punto di vista interno, gli HR dovrebbero offrire formazione ai propri dipendenti per identificare e segnalare tali minacce.
Per mitigare i rischi sempre più cangianti e sofisticati degli attaccanti, come ci ricorda il lungo articolo Sistemi per la sicurezza informatica aziendale, come costruire una strategia efficace di ZeroUnoWeb, non è sufficiente e spesso può risultare controproducente per il business e per la user experience della forza lavoro imporre l’adozione di soluzioni che possano rappresentare per lo più attività legate a obblighi di compliance, ma è invece utile cambiare l’approccio alla security da parte di tutti gli attori in gioco proponendo occasioni per imparare a mettere in sicurezza il business dell’azienda e il proprio posto di lavoro.
Prioritario risulta stabilire in azienda quali sono i dati cruciali dell’azienda, chi li gestisce e deve continuare a farlo.
Alla fase di definizione dei dati, segue quella della loro analisi (che sfocia nell’identificazione delle implicazioni che questi dati hanno sul business e dei processi di audit da adottare) e quindi la predisposizione di meccanismi di difesa sui fronti dell’accesso, dell’ispezione, delle decisioni da prendere e dell’eventuale annientamento della minaccia. Processo che richiede una “continua” collaborazione fra esperti di sicurezza e gestori dei dati.
Anche da parte dei professionisti della sicurezza è fondamentale apprendere il linguaggio del business, poiché qualsiasi decisione presa dai CEO o dai manager aziendali a proposito di nuovi processi, responsabilità e strumenti da adottare, è motivata da obiettivi organizzativi ed economici. Se vogliono essere ascoltati, quindi, anche gli esperti di S&R devono essere in grado di correlare i propri pareri e i propri consigli ai relativi impatti sul business.
A cura di Marco Rizzi, Information & Cyber Security Advisor presso P4I – Partners4Innovation e Gaia Rizzato, Trainee Information & Cyber Security presso P4I – Partners4Innovation
