Perché la sicurezza informatica è responsabilità di tutti
Pubblicato su: 6 Gen 2022
Ultima modifica il: 23 Set 2025
La sicurezza informatica è una responsabilità di tutti. Come esseri umani, siamo naturalmente cooperativi e prosperiamo grazie alla collaborazione e al successo condiviso. Questo senso di unione non solo rafforza le nostre comunità, ma è anche fondamentale per costruire organizzazioni solide ed efficienti di fronte alle crescenti minacce informatiche.
In questo articolo analizzeremo come i dipendenti svolgano un ruolo cruciale nelle strategie di sicurezza efficaci e contribuiscano alla gestione del rischio umano. Parleremo dell’importanza di promuovere una cultura aziendale in cui la sicurezza informatica sia vista come una responsabilità collettiva e di come l’impegno comune possa contribuire a creare un’organizzazione sicura dal punto di vista informatico. Tuttavia, per raggiungere questo obiettivo è necessaria una pianificazione e una preparazione accurata per garantire che tutti comprendano il proprio ruolo nel moderno controllo delle minacce alla sicurezza informatica.
La sicurezza informatica va oltre la tecnologia
Gli aggressori della sicurezza cercano un passaggio facile; dopotutto, perché rendersi la vita difficile? Il “giro facile” si presenta sotto forma di scenari di attacco alla sicurezza informatica che sfruttano un essere umano, di solito un dipendente o un socio d’affari, per aprire la porta della rete aziendale.
In genere, i criminali informatici utilizzano tecniche di social engineering e di phishing per entrare nella rete e, una volta entrati, possono saccheggiare i dati, installare ransomware e creare scompiglio in generale.
I ricercatori dell’Università di Stanford hanno scoperto che l’88% delle violazioni della sicurezza ha un elemento di errore umano e che i dipendenti spesso non sono disposti ad ammettere gli errori. Il rapporto ha anche identificato le e-mail di phishing come la causa del 25% delle violazioni, con truffe di phishing che catturano i dipendenti utilizzando l’ingegneria sociale e i trucchi psicologici per manipolare il comportamento.
Oltre al successo dell’elemento umano negli attacchi informatici, è stato dimostrato che gli strumenti di sicurezza tradizionali, come i software antivirus, sono efficaci solo al 50% nel rilevare le minacce. Questo doppio colpo di ingegneria sociale, unito a tecnologie di sicurezza efficaci meno del 100%, ha portato i team IT a capire che è necessario un approccio più olistico per proteggere le risorse.
I professionisti della sicurezza sanno invece che per affrontare gli attacchi informatici devono incorporare un mix di formazione alla consapevolezza della sicurezza e misure tecnologiche guidate da una solida applicazione delle policy.
In definitiva, tutti i membri di un’organizzazione hanno un ruolo da svolgere per creare uno strato protettivo contro gli attacchi informatici. L’uso di cinque valori fondamentali aiuta a rafforzare la responsabilità di tutti all’interno di un’azienda.
Creare una mentalità responsabile in materia di sicurezza informatica attraverso cinque valori fondamentali
Riconoscere che la sicurezza informatica è una responsabilità di tutti e che i dipendenti sono una parte cruciale di una strategia di sicurezza informatica efficace porta al concetto di firewall umano. Si tratta di un’idea che si basa sulla possibilità per i dipendenti di agire come uno scudo contro le minacce informatiche incentrate sull’uomo.
I dipendenti sono un obiettivo dei criminali informatici che cercano di entrare facilmente in un’organizzazione. Una responsabilità efficace e perseguibile richiede strumenti di protezione contro gli attacchi che si concentrano sui dipendenti; un dipendente che ha il potere di farlo riduce le probabilità di successo di un attacco.
La creazione di un solido firewall umano richiede un cambiamento di mentalità. Questo cambiamento di mentalità crea una cultura della sicurezza informatica, basata su una buona educazione alla sicurezza e su strumenti e misure che forniscono ai dipendenti e ad altri non dipendenti i mezzi per aiutare a rilevare e affrontare il phishing e altre truffe come la Business Email Compromise (BEC).
Questa mentalità orientata alla sicurezza è sostenuta dal National Institute of Standards and Technology (NIST). Una pubblicazione del NIST del 2018, intitolata “La sicurezza è il lavoro di tutti“, definisce cinque valori fondamentali utilizzati per creare una cultura della sicurezza informatica che il NIST considera “fondamentali” per una posizione di sicurezza informatica di successo:
1/ Valore fondamentale 1 – Mentalità
Il NIST afferma che una cultura della sicurezza informatica è fondamentale per infondere all’intera organizzazione una mentalità orientata alla sicurezza. Questa pietra miliare della sicurezza aziendale crea lo scenario per una migliore sicurezza attraverso la consapevolezza dei trucchi e delle truffe che portano all’esposizione dei dati, al ransomware e ad altre violazioni della sicurezza.
2/ Valore fondamentale 2 – Leadership
Il tono di responsabilità per la sicurezza deve provenire dall’alto per incoraggiare e imporre la mentalità di sicurezza necessaria a contrastare gli attacchi informatici.
Questa leadership dall’alto verso il basso in materia di sicurezza si sta formalizzando, in quanto Gartner, Inc. prevede che “entro il 2025, il 40% dei consigli di amministrazione avrà un comitato dedicato alla sicurezza informatica supervisionato da un membro qualificato del consiglio”. I leader devono dare l’esempio e agire per influenzare e modellare le buone abitudini di sicurezza.
3/ Valore fondamentale tre – Formazione e sensibilizzazione
Il NIST riconosce che un elemento fondamentale di un’organizzazione sicura è l’implementazione della formazione di sensibilizzazione alla sicurezza. Istruendo i dipendenti sui trucchi dell’ingegneria sociale e addestrandoli a riconoscere le e-mail di phishing, i dipendenti possono “sbattere la porta della minaccia informatica” in faccia ai criminali informatici.
4/ Valore fondamentale quattro – Gestione delle prestazioni
Gli obiettivi dell’organizzazione devono essere allineati con quelli delle prestazioni individuali. Il NIST suggerisce di utilizzare incentivi e disincentivi per modificare i comportamenti scorretti in materia di sicurezza informatica.
5/ Valore fondamentale cinque – Rafforzamento tecnico e politico
Le misure tecniche, come l’autenticazione a più fattori (MFA) e le politiche sulle password, devono essere utilizzate per aumentare e far rispettare una buona igiene di sicurezza.
La sicurezza informatica è responsabilità di tutti: La sicurezza informatica attraverso la responsabilità informatica
La sicurezza informatica è una responsabilità di tutti. Ma quando rendi qualcuno responsabile di qualcosa, devi dargli gli strumenti per agire in base a tale responsabilità.
Per iniziare il processo di trasformazione in un’organizzazione cyber-responsabile, un’azienda deve creare una cultura in cui la sicurezza sia una seconda natura. Gli esseri umani sono naturalmente cooperativi e il senso di responsabilità può essere coltivato implementando i cinque valori fondamentali del NIST, come mostrato sopra.
Questi valori ti permettono di sottolineare e imporre un senso di responsabilità per la sicurezza informatica e di fornire ai dipendenti i mezzi per far fronte a tale responsabilità e agire come una forza combinata contro gli attacchi di social engineering.
