Why Building a Security Culture at Your Company Matters and How to Start

Creare una cultura della sicurezza nella tua azienda: perché e come fare

La cybersecurity non è si limita alla tecnologia e ai controlli tecnici. Anche se questi aspetti sono certamente importanti, il cuore della tua strategia di cybersecurity deve essere la gente. Il modo in cui le persone gestiscono le email, i dati e le applicazioni cloud influisce direttamente sulla sicurezza della tua azienda.

Nel panorama attuale delle minacce, è più importante che mai non dimenticare la dimensione umana della sicurezza informatica. I criminali informatici continuano a colpire le persone e spesso usano il social engineering per perpetrare i loro attacchi. Spesso, i responsabili degli attacchi di ransomware hanno bisogno che un dipendente scarichi un allegato pericoloso o divulghi le proprie credenziali d’accesso per ottenere l’accesso iniziale a un’azienda. Secondo l’ultimo report di Verizon sulle violazioni dei dati, l’85% delle violazioni dei dati implica un intervento umano, mentre il 61% deriva dalla divulgazione delle credenziali di accesso.

Data Breach Report Chart from the 2021 Verizon Data Breach Report

L’85% delle violazioni di dati implica un intervento umano, n=4492
Il 61% delle violazioni deriva dalla divulgazione delle credenziali d’accesso, n=4518

Le persone giocano un ruolo fondamentale nella strategia di cybersecurity della tua azienda (fonte: report 2021 sulle violazioni dei dati di Verizon)

La cultura della sicurezza guida il comportamento dei tuoi dipendenti

Una forte cultura della cybersecurity può avere un impatto enorme sul tuo livello di sicurezza. Perché? Perché è la cultura a guidare i comportamenti. Per esempio, in certe parti dell’Asia mangiare rumorosamente è un segno di gradimento del pasto, mentre in molti paesi europei è considerato un comportamento maleducato e da biasimare.

Una cultura che valorizza la sicurezza plasma le attitudini e i comportamenti dei dipendenti. Quando i tuoi dirigenti e i tuoi dipendenti sono convinti del fatto che la sicurezza informatica è responsabilità di tutti, e non solo del reparto IT, si impegnano per mantenere l’azienda protetta. E quando i dipendenti adottano comportamenti orientati alla sicurezza, l’azienda può contare su una solida linea di difesa.

Come creare una cultura della sicurezza sul luogo di lavoro

Scopri come creare una cultura della sicurezza nella tua azienda. Ecco alcuni suggerimenti da cui partire.

  • Ottenere il sostegno dei vertici aziendali: tutti i membri dell’azienda influiscono sulla cultura della sicurezza, ma sono i manager e i dirigenti ad avere la maggiore influenza, data la natura dei loro ruoli, e spesso modellano il resto del personale. Se a ogni assemblea del personale o riunione il CEO parla periodicamente della cybersecurity e di come si allinea agli obiettivi aziendali, invia il messaggio che mantenere dati e sistemi aziendali protetti è una priorità.
  • Individuare i comportamenti di sicurezza desiderati: se i comportamenti sono una manifestazione della cultura, quali comportamenti di sicurezza desideri che i tuoi dipendenti adottino? Definisci i comportamenti desiderati in modo molto concreto per i tuoi dipendenti, per esempio: “rifletti prima di fare clic” oppure “se qualcosa sembra sospetto, segnalalo”. Una volta identificati i comportamenti desiderati, definisci i pilastri sui quali articolare il tuo programma di sensibilizzazione e formazione sulla sicurezza.
  • Sensibilizzare costantemente i dipendenti alla sicurezza: Roma non è stata costruita in un giorno. Lo stesso vale per la sicurezza informatica. Non è il risultato di un singolo evento, come una formazione annuale di sensibilizzazione alla sicurezza, ma è il frutto di di sforzi sostenuti e continui. Se sei abituato ad organizzare una formazione di sensibilizzazione alla sicurezza una volta all’anno, prendi in considerazione di suddividerla in sessioni di formazione più brevi su base trimestrale. Assicurati anche di identificare i canali della comunicazione interna (assemblee, newsletter, intranet aziendale) che puoi utilizzare per coinvolgere i dipendenti e motivarli a cambiare il loro comportamento.
  • Premiare i comportamenti corretti di sicurezza: dai un segno di apprezzamento a ogni dipendente che mostra il giusto comportamento in materia di sicurezza. Riconoscere e premiare il comportamento di sicurezza desiderato lo rafforza positivamente e incoraggia gli altri dipendenti a comportarsi nello stesso modo. I premi non devono essere necessariamente ricercati o costosi, Sii creativo. Per esempio, alcune aziende conferiscono un trofeo a forma di pesce al dipendente che durante il trimestre ha segnalato il maggior numero di messaggi sospetti. Altre premiano gli utenti con un sacchetto di biscotti a forma di pesce.

La cultura della sicurezza è una parte essenziale della strategia di cybersecurity di qualsiasi azienda. Può contribuire a creare un cambiamento dei comportamenti duraturo che trasformerà i tuoi dipendenti da obiettivi in una solida ultima linea di difesa.

Per saperne di più su come creare una forte cultura della cybersecurity nella tua azienda, unisciti a noi ai nostri eventi virtuali Art and Science of Building Security Culture (L'arte di creare una cultura della sicurezza).