Lo sviluppo di una cultura della compliance è importante quanto la creazione di una cultura del lavoro all'interno delle organizzazioni. Organizzazioni come Equifax e Capital One scatenano tempeste mediatiche quando vengono esposti dati sotto la loro sorveglianza; tuttavia, le fughe di dati hanno forme e dimensioni diverse. Una delle più dannose è la fuga di dati accidentale da parte di un dipendente. Il risultato di tale esposizione di dati può avere enormi implicazioni per un'organizzazione, in quanto non solo la perdita di dati sensibili è imbarazzante e dannosa per la reputazione, ma può anche avere un impatto sulla posizione di conformità e comportare pesanti multe.
Costruire una "cultura della conformità della sicurezza informatica" può aiutare a prevenire che la vostra azienda diventi una statistica della conformità; ecco come e perché.
Quando i buoni insider diventano accidentalmente cattivi
Molti settori sono afflitti dal semplice problema degli incidenti e degli errori causati dall'uomo, come l'errata configurazione di un database o l'errata consegna di un'e-mail sensibile. Questi eventi di sicurezza informatica sono, purtroppo, fin troppo comuni, con il Verizon 2021 Data breach Investigations Report che ha rilevato che il 22% degli incidenti di sicurezza erano dovuti a insider.
Alcune minacce interne possono avere un intento malevolo, ma quelle accidentali possono comunque avere un impatto massiccio sulla posizione di conformità di un'azienda: l'Australian National University ne è un esempio. Un membro anziano del personale dell'università ha esposto accidentalmente 700 MB di dati che includevano nomi, indirizzi, codici fiscali, dettagli di conti bancari, ecc. L'incidente si è verificato quando una campagna di spear-phishing, mirata a decine di e-mail del personale dell'ANU, ha permesso agli hacker di accedere alla rete tramite un nome utente e una password privilegiati.
Le e-mail sbagliate sono un'altra causa comune di fughe di dati. È facile sbagliare l'indirizzo o la consegna delle e-mail e l'uso di "cc", invece di "bcc", è un modo comune per condividere accidentalmente informazioni sensibili. Questo è accaduto nel 2020 a Sonos, quando un dipendente ha accidentalmente esposto più di 450 indirizzi e-mail aggiungendo gli indirizzi dei clienti al campo cc invece che bcc quando rispondeva ai reclami dei clienti. L'incidente è stato segnalato all'ICO da un cliente danneggiato presente nell'elenco dei cc.
Un modo efficace per sfidare questo comportamento è quello di rendere i dipendenti consapevoli dell'impatto di semplici incidenti o e-mail di phishing sulla postura di conformità di un'organizzazione. Se fatto bene, questo impegno con i dipendenti sulle questioni di conformità si tradurrà in una cultura coerente di conformità della sicurezza informatica.
Come costruire una cultura di conformità alla sicurezza informatica
La formazione sulla conformità richiede una comprensione delle leggi e dei regolamenti che riguardano la vostra organizzazione. I regolamenti si intrecciano con la sicurezza informatica quando si tratta di leggi sulla protezione dei dati come il regolamento sulla protezione dei dati del Regno Unito (DPA2018) e il regolamento generale sulla protezione dei dati dell'UE (GDPR). Costruire la consapevolezza della conformità tra i dipendenti è la strada per una cultura della conformità della sicurezza informatica.
L'uso della parola "cultura" è importante. Una cultura aziendale comprende idee, abitudini e, soprattutto, comportamenti. Il comportamento umano è alla base di molte violazioni accidentali dei dati, in particolare quelle che riguardano il phishing. L'impulso a fare clic è forte negli esseri umani, poiché siamo stati condizionati a utilizzare i computer in un certo modo, sia a casa che al lavoro. L'abbattimento di questo atteggiamento, e la sua sostituzione con una cultura aziendale basata sulla conoscenza e sulla comprensione dell'interazione tra sicurezza informatica e conformità, inizia dai vertici e si diffonde in tutta l'organizzazione.
5 passi per creare una cultura della conformità che abbracci la sicurezza informatica:
- Investire in sicurezza e conformità: sostenere e incoraggiare il cambiamento necessario per aumentare la consapevolezza delle aspettative di conformità. Questo richiederà un investimento in tempo, risorse e finanze; è necessario un impegno a livello di consiglio per costruire questa cultura della conformità.
- Costruire un programma di conformità coinvolgente per cambiare la cultura: una cultura della conformità alla sicurezza informatica rompe i confini e i comportamenti radicati. La rottura di questi comportamenti deve avvenire in modo divertente e coinvolgente. Utilizzate sessioni di formazione che coinvolgano attivamente i dipendenti e il senior management.
- Creare comprensione e conoscenza della compliance: le persone non possono cambiare o seguire una politica se non capiscono perché viene chiesto loro di fare qualcosa. Insegnate ai vostri dipendenti il perché e il percome dei requisiti di conformità. Create un programma di conformità efficace che definisca il loro ruolo nel mantenimento della sicurezza dei dati e della conformità.
- La sicurezza e la conformità sono per tutti: costruire una nuova cultura della conformità è un'esperienza condivisa. Il vostro programma deve riflettere questo aspetto. Tutte le parti dell'organizzazione sono partner alla pari nella costruzione della cultura della conformità alla sicurezza informatica. Tuttavia, non tutte le parti della cultura della conformità sono uguali e i programmi devono essere adattati a reparti specifici. Ad esempio, le Risorse Umane potrebbero richiedere un'attenzione particolare al recapito errato delle e-mail, mentre l'IT potrebbe richiedere una maggiore attenzione alla configurazione errata di database e server. Tutti devono essere informati dei requisiti delle normative e delle politiche di conformità che si adattano al vostro settore e alla vostra area geografica.
- Feedback e miglioramento continuo della cultura: le normative cambiano, le persone dimenticano la formazione e i sistemi vengono aggiornati. La creazione di una cultura della conformità che abbracci la sicurezza informatica e gli sforzi di conformità non è un compito da svolgere una tantum. Il programma deve essere aggiornato e distribuito regolarmente. Un modo per verificare la cultura della sicurezza informatica e della conformità è ascoltare i dipendenti. Ciò contribuisce a consolidare il loro coinvolgimento nella costruzione di questa cultura e a garantire la conformità.
I nostri dipendenti sono i custodi ultimi dei dati che le nostre organizzazioni generano, condividono, archiviano e smaltiscono. I dipendenti devono essere consapevoli delle conseguenze delle loro azioni sulla posizione di conformità dell'azienda e del ruolo che svolgono nel mantenere tale posizione. Tuttavia, non è sufficiente trasmettere il messaggio!
Per modificare comportamenti e convinzioni radicate, la cultura della conformità deve essere un valore fondamentale che rifletta le esigenze delle moderne minacce alla sicurezza informatica e i requisiti della normativa sulla sicurezza dei dati; e come tutti i cambiamenti culturali, questo può essere efficace solo con il consenso di coloro che sono interessati dal cambiamento.