Le misure di protezione tecniche e organizzative sono importanti ma non sufficienti per una visione globale della sicurezza delle informazioni. Il personale deve utilizzare correttamente la tecnologia e avere un comportamento sicuro nel lavoro di ogni giorno. Pertanto, anche le attività di formazione e sensibilizzazione (le azioni di «awareness-raising») del personale svolgono un ruolo importante e non si possono trascurare.
Punti importanti:
- Create delle linee guida per l’utente di facile attuazione.
- Sensibilizzate e formate il vostro personale in modo regolare e ricorrente.
- Utilizzate diversi canali di comunicazione e strumenti per raggiungere ogni collaboratrice e ogni collaboratore.
- Incoraggiate il personale a segnalare ogni eventuale anomalia, violazione, ecc.
Perché la sensibilizzazione nelle PMI è importante?
Leggendo le statistiche degli attacchi informatici riusciti si nota che il fattore umano è una delle porte d’accesso più comuni. In altre parole, sfruttando ad esempio il social engineering o il phishing si inganna una persona affinché riveli dati sensibili o compia un’azione indesiderata. Le testimonianze di diverse aziende indicano che non è sufficiente prescrivere l’adozione di misure di sicurezza: se il personale non comprende la rilevanza e lo scopo delle misure di sicurezza, queste non vengono attuate, oppure la loro esecuzione risulta lacunosa.
Al fine di aumentare la consapevolezza della sicurezza tra il personale e sottolineare la priorità della sicurezza delle informazioni all’interno dell’azienda, andrebbero organizzate attività di awareness-raising globali a livello aziendale. Le strategie utili per consolidare e plasmare una cultura della sicurezza sono diverse. Per un successo duraturo è essenziale una comunicazione continua e ricorrente adattata al gruppo target.
Come si può sensibilizzare il personale delle PMI?
Per una maggiore chiarezza e per ridurre al minimo i costi e massimizzare la riuscita delle attività è consigliabile creare uno schema di awareness. Non è necessario che sia ampio e corposo, ma deve coordinare tra loro e organizzare con efficienza le azioni volte alla promozione dell’awareness. A questo proposito è cruciale che il management faccia proprie le attività di sensibilizzazione e assuma un atteggiamento esemplare.
Una maggiore awareness in azienda si può raggiungere ad esempio attraverso:
- Corsi di formazione e workshop: corsi di aggiornamento periodici su temi rilevanti aiutano il personale a restare sempre aggiornato.
- Comunicazione interna: uno scambio regolare di notizie, modifiche o informazioni importanti promuove la consapevolezza e la comprensione del personale.
- Punto di contatto e cultura del feedback: è importante offrire al personale un punto di contatto / una piattaforma cui segnalare anomalie e violazioni, come pure per chi vuole esprimere dubbi, porre domande o formulare suggerimenti.
- Esperienza esterna: a volte può essere utile invitare persone esperte esterne su argomenti specifici per offrire un approfondimento delle conoscenze.
- Piattaforma di awareness: inoltre, un’azienda può aderire a una piattaforma di awareness e sostenere così la sensibilizzazione al proprio interno.
- Integrazione nella cultura aziendale: la sensibilizzazione non può essere un’azione una tantum, ma deve essere integrata in modo duraturo nei processi di lavoro quotidiani e nella cultura aziendale.
In conclusione, la sensibilizzazione del personale è un investimento per il futuro dell’azienda. Non solo preserva dai rischi legali e dalla perdita di reputazione in caso di incidente informatico, ma promuove anche un ambiente di lavoro positivo e aumenta la produttività. In un ambiente sempre più digitalizzato, una buona cultura della sicurezza in azienda è un vantaggio competitivo decisivo.
Maggiori informazioni
Il manuale in lingua tedesca Informationssicherheitshandbuch für die Praxis (Manuale di sicurezza informatica per la pratica) offre istruzioni valide e alcuni modelli, anche sul tema della sensibilizzazione del personale. (Chi partecipa al corso per le PMI può ordinare il volume con uno sconto del 30% a un prezzo preferenziale di CHF 68.–, escl. spese di spedizione.)
«eBanking – ma sicuro!» offre alle PMI anche un corso online al fine di illustrare importanti misure tecniche e organizzative appositamente per le aziende.
Nel contesto della sicurezza delle informazioni, con il concetto di «awareness» o «consapevolezza» si intende che il personale conosce i pericoli informatici e sa adottare un comportamento sicuro.
Essendoci continui cambiamenti sia nell’ambiente esterno (p. es. per la nascita di nuovi tipi di attacchi) che in quello interno (p. es. per l’adozione di nuovi processi o strumenti), l’awareness e la sua promozione vanno necessariamente inquadrate e attuate come attività ricorrenti.