Lo sviluppo di una cultura della conformità è importante quanto la creazione di una cultura del lavoro all’interno delle organizzazioni. Organizzazioni come Equifax e Capital One scatenano tempeste mediatiche quando vengono rivelati dati sotto la loro supervisione; tuttavia, le fughe di dati hanno forme e dimensioni diverse. Una delle più dannose è la fuga di dati accidentale da parte di un dipendente. Il risultato di un’esposizione di dati di questo tipo può avere enormi implicazioni per un’organizzazione, poiché non solo la perdita di dati sensibili è imbarazzante e dannosa per la reputazione, ma può anche avere un impatto sulla posizione di conformità e comportare pesanti multe.

Creare una “cultura della conformità alla sicurezza informatica” può aiutare a evitare che la tua azienda diventi una statistica della conformità; ecco come e perché.

Quando i bravi insider diventano accidentalmente cattivi

Molti settori sono afflitti dal semplice problema degli incidenti e degli errori provocati dall’uomo, come l’errata configurazione di un database o l’errata consegna di un’e-mail sensibile. Questi eventi di sicurezza informatica sono purtroppo fin troppo comuni: il Verizon 2021 Data breach Investigations Report ha rilevato che il 22% degli incidenti di sicurezza sono dovuti a persone interne.

Alcune minacce interne possono avere un intento malevolo, ma quelle accidentali possono comunque avere un impatto massiccio sulla posizione di conformità di un’azienda: l’Australian National University ne è un esempio. Un membro anziano dello staff dell’università ha accidentalmente esposto 700 MB di dati che includevano nomi, indirizzi, codici fiscali, dettagli di conti bancari, ecc. L’incidente si è verificato quando una campagna di spear-phishing di successo, che ha preso di mira decine di email del personale dell’ANU, ha portato gli hacker ad accedere alla rete tramite un nome utente e una password privilegiati.

Le e-mail mal indirizzate sono un’altra causa comune di fuga di dati. È facile sbagliare l’indirizzo o il recapito delle e-mail e l’uso di “cc” al posto di “bcc” è un modo comune per condividere accidentalmente informazioni sensibili. Questo è accaduto nel 2020 a Sonos, quando un dipendente ha accidentalmente esposto più di 450 indirizzi e-mail aggiungendo gli indirizzi dei clienti al campo cc invece che bcc quando rispondeva ai reclami dei clienti. L’incidente è stato segnalato all’ICO da un cliente danneggiato presente nell’elenco dei cc.

Un modo efficace per sfidare questo comportamento è quello di rendere i dipendenti consapevoli dell’impatto di semplici incidenti o di e-mail di phishing sulla posizione di conformità di un’organizzazione. Se ben fatto, questo impegno con i dipendenti sui temi della compliance si tradurrà in una cultura coerente della compliance della sicurezza informatica.

Come costruire una cultura della conformità alla sicurezza informatica

La formazione sulla conformità richiede la comprensione delle leggi e dei regolamenti che riguardano la tua organizzazione. Le normative si intrecciano con la sicurezza informatica quando si tratta di leggi sulla protezione dei dati come il Regolamento sulla protezione dei dati del Regno Unito (DPA2018) e il Regolamento generale sulla protezione dei dati dell’UE (GDPR). La creazione di una consapevolezza della conformità tra i dipendenti è la strada per una cultura della conformità della sicurezza informatica.

L’uso della parola “cultura” è importante. Una cultura aziendale comprende idee, abitudini e, soprattutto, comportamenti. Il comportamento umano è alla base di molte violazioni accidentali dei dati, soprattutto quelle che riguardano il phishing. L’impulso a cliccare è forte negli esseri umani perché siamo stati condizionati a usare i computer in un certo modo, sia a casa che al lavoro. Per eliminare questo atteggiamento e sostituirlo con una cultura aziendale basata sulla conoscenza e sulla comprensione dell’interazione tra sicurezza informatica e conformità, occorre partire dai vertici e diffondersi in tutta l’organizzazione.

5 passi per creare una cultura della conformità che abbracci la sicurezza informatica:

  1. Investire nella sicurezza e nella conformità: sostenere e incoraggiare il cambiamento necessario per aumentare la consapevolezza delle aspettative di conformità. Ciò richiederà un investimento in termini di tempo, risorse e finanze; è necessario un impegno a livello di consiglio di amministrazione per costruire questa cultura della conformità.

  2. Costruisci un programma di conformità coinvolgente per un cambiamento culturale: una cultura della conformità alla sicurezza informatica rompe i confini e i comportamenti radicati. La rottura di questi comportamenti deve avvenire in modo divertente e coinvolgente. Utilizza sessioni di formazione che coinvolgano attivamente i dipendenti e il senior management.

  3. Sviluppa la comprensione e la conoscenza della compliance: le persone non possono cambiare o seguire una politica se non capiscono perché gli viene chiesto di fare qualcosa. Insegna ai tuoi dipendenti il perché e il percome dei requisiti di conformità. Crea un programma di conformità efficace che definisca il loro ruolo nel mantenimento della sicurezza dei dati e della conformità.

  4. La sicurezza e la compliance sono per tutti: costruire una nuova cultura della compliance è un’esperienza condivisa. Il tuo programma deve riflettere questo concetto. Tutte le parti della tua organizzazione sono partner alla pari nella costruzione della cultura della conformità alla sicurezza informatica. Tuttavia, non tutte le parti della cultura della conformità sono uguali e i programmi devono essere adattati a reparti specifici. Ad esempio, le Risorse Umane potrebbero richiedere un’attenzione particolare al recapito errato delle e-mail, mentre l’IT potrebbe richiedere una maggiore attenzione alla configurazione errata di database e server. Tutti devono essere informati dei requisiti delle normative e delle politiche di conformità che si adattano al tuo settore e alla tua area geografica.

  5. Feedback e miglioramento continuo della cultura: le normative cambiano, le persone dimenticano la formazione e i sistemi vengono aggiornati. Costruire una cultura della conformità che abbracci la sicurezza informatica e gli sforzi di conformità non è un compito da svolgere una tantum. Il programma deve essere aggiornato e distribuito regolarmente. Un modo per verificare la cultura della sicurezza informatica e della conformità è ascoltare i tuoi dipendenti. Questo aiuta anche a consolidare il loro coinvolgimento nella costruzione di questa cultura e a garantire la conformità.

I nostri dipendenti sono i custodi ultimi dei dati che le nostre organizzazioni generano, condividono, archiviano e smaltiscono. I tuoi dipendenti devono essere consapevoli delle conseguenze delle loro azioni sulla posizione di conformità dell’azienda e del ruolo che svolgono nel mantenere tale posizione. Tuttavia, non è sufficiente trasmettere il messaggio!

Per cambiare comportamenti e convinzioni radicate, la cultura della conformità deve essere un valore fondamentale che rifletta le esigenze delle moderne minacce alla sicurezza informatica e i requisiti della normativa sulla sicurezza dei dati; e come tutti i cambiamenti culturali, questo può essere efficace solo con il consenso di coloro che sono interessati dal cambiamento.

Consapevolezza della sicurezza informatica per principianti