Controllo 10:
Il personale è adeguatamente sensibilizzato e formato sui rischi di cybersecurity e sulle pratiche da adottare per l’impiego sicuro degli strumenti aziendali (es. riconoscere allegati e-mail, utilizzare solo software autorizzato, etc…). I vertici aziendali hanno cura di predisporre per tutto il personale aziendale la formazione necessaria a fornire almeno le nozioni basilari di sicurezza.
Considerando che ancora oggi, l’anello debole della catena di sicurezza informatica è l’essere umano, quello della formazione e della consapevolezza è un aspetto importantissimo.
È un’affermazione che và via via riducendo i margini di validità, infatti capita anche che, talvolta, sia proprio l’essere umano il fattore di successo. Ma è anche vero che questo accade quando le persone sono state adeguatamente formate e le competenze richieste per i ruoli assegnati siano robuste. Capita però, come detto, che nonostante i controlli anche di natura tecnologica, a causa dell’essere umano si verifichino incidenti anche abbastanza gravi da mettere in discussione la continuità operativa e la sopravvivenza dell’azienda stessa.
L’articolo 29 del GDPR afferma: “chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento”.
Ogni giorno centinaia di migliaia di account aziendali vengono compromessi, la formazione e la consapevolezza non è mai abbastanza.
Sul tema della formazione e della sensibilizzzione, si sofferma anche la direttiva NIS 2 (2022/2555) e il relativo decreto di recepimento n. 138 del 4 settembre 2024, recita all’art. 23 comma 2
– lettera a): sono tenuti (gli organi di amministrazione e gli organi direttivi) a seguire una formazione in materia di sicurezza informatica;
– lettera b): promuovono l’offerta periodica di una formazione coerente a quella di cui alla lettera a) ai loro dipendenti, per favorire l’acquisizione di conoscenze e competenze sufficienti al fine di individuare i rischi e valutare le pratiche di gestione dei rischi per la sicurezza informatica e il loro impatto sulle attività del soggetto e sui servizi offerti.
Esempi di incidenti
La formazione, sebbene talvolta impegnativa, è la chiave per rendere i dipendenti consapevoli e di conseguenza evitare la maggior parte degli incidenti. Quasi tutti gli incidenti più importanti riportati dalle cronache sono stati causati da pratiche errate o semplici errori degli utenti: apertura di allegati e-mail sospetti, installazione di software non autorizzato. Altri esempi sono legati a una non attenta navigazione sul web, che a volte può portare a cliccare su banner pubblicitari ingannevoli e quindi a eseguire codice malevolo. Da non sottovalutare la pratica dello spear phishing che, a differenza del phishing generico, è concepito per risultare più rilevante per il contesto sociale-lavorativo di una specifica vittima, la quale riceve tipicamente una sollecitazione verso un link o un file attraverso e-mail apparentemente provenienti da persone conosciute o via instant messaging, strumenti di utilizzo ormai diffusissimo anche per comunicazioni riservate.
Se ti preoccupi del costo della formazione è perchè non sai ancora quanto può costarti ignorarne l’importanza.
Quello della sicurezza informatica è da sempre visto come un costo senza ritorno. Il noto ROI (Return on Investments), che governa gli investimenti di tutte le organizzazioni, non può essere applicato ai costi per la sicurezza informatica, semplicemente perchè questa non produce ricavi. Il CLUSIT (Associazione Italiana per la Sicurezza Informatica, insieme ad altri attori) ha pertanto studiato il ROSI (Return on Security Investments), con il tentativo di fornire strumenti per misurare il ritorno degli investimenti in Sicurezza Informatica. Qui ci limitiamo a far riflettere che oltre al beneficio di non incorrere in sanzioni, in caso di data breach di varia natura (sia secondo il GDPR che per la NIS 2), investire in sicurezza informatica e nella formazione propria e dei dipendenti, porta notevoli benefici nel risparmio dei costi conseguenti ad incidenti che possono interrompere per ore, giorni e in alcuni casi anche settimane e mesi, l’attività produttiva. Questo chiaramente porta con se non solo il mancato incasso per i giorni di inattività ma anche i costi per il ripristino dei sistemi. Si consideri inoltre il vantaggio competitivo di aver implementato misure di sicurezza informatica, come per esempio un miglior posizionamento sul mercato, maggiore affidabilità e vantaggio di immagine rispetto ai competitor.
Controlli correlati
#1 – Inventario dispositivi e software
Controllo 1 - Esiste ed è mantenuto aggiornato un inventario dei sistemi, dispositivi, software, servizi e applicazioni informatiche in uso all’interno del perimetro aziendale. Non conoscere quali e quanti dispositivi aziendali ci sono in giro e da chi vengono...
#2- Inventario dispositivi e software
Controllo 2 - I servizi web (social network, cloud computing, posta elettronica, spazio web, etc...) offerti da terze parti a cui si è registrati sono quelli strettamente necessari. Le truffe portate avanti con la social engineering possono essere molto creative e...
#5 Governance
Controllo 5 - Sono identificate e rispettate le leggi e/o i regolamenti con rilevanza in tema di cybersecurity che risultino applicabili per l’azienda. In ambito europeo negli ultimi anni si sono aggiunte diverse norme di riferimento in materia di cybersecurity e data...
#7 – Gestione password e account
Controllo 7 - Le password sono diverse per ogni account, della complessità adeguata e viene valutato l’utilizzo dei sistemi di autenticazione più sicuri offerti dal provider del servizio (es. autenticazione a due fattori). L'uso di password deboli La scelta delle...
#13 – Protezione delle reti
Controllo 13: Le reti e i sistemi sono protetti da accessi non autorizzati attraverso strumenti specifici (es: Firewall e altri dispositivi/software anti-intrusione). Al fine di impedire l’accesso indiscriminato di persone non autorizzate ai sistemi aziendali...
#14 – Prevenzione e mitigazione
Controllo 14: In caso di incidente (es. venga rilevato un attacco o un malware) vengono informati i responsabili della sicurezza e i sistemi vengono messi in sicurezza da personale esperto. Sono sicuro che in caso di malfunzionamenti del sistema, perdita o...
Rimani aggiornato
Mentibus Training Academy
Mantieni la tua organizzazione aggiornata e conforme ai principali regolamenti e norme in materia di Cybersecurity e data protection.