Il fattore umano come difesa

di Luciano Serafino

scritto il

La sicurezza informatica in azienda deve partire dai propri dipendenti. Otto punti per attenuare i pericoli di informatica all'interno di una rete aziendale

La definizione dei fattori di pericolo per una rete aziendale dipende in gran parte dall’approccio che la stessa azienda, nella persona di coloro che ricoprono i ruoli decisionali, decide di adottare nei confronti di questa problematica.

Infatti per poter raggiungere i migliori risultati in fatto di protezione informatica dell’azienda, ed in primis di educazione all’uso della tecnologia disponibile da parte del personale, è indispensabile che prima di tutti il top management sia in grado di coinvolgere i propri impiegati e gli outsourcer, facendo comprendere loro che un problema di sicurezza informatica non è risolvibile solo dall’IT, e costruendo un serie di vincoli che impongano agli attori interessati di rispettare una delle regole debitamente, e per tempo, stabilite.

Il "firewall umano" come politica di protezione aziendale

Nell’ottica del raggiungimento di una maggiore sicurezza delle rete informatica dell’azienda, l’obiettivo primario che ci si deve porre consiste nel rendere il fattore umano sicuro come quello tecnologico.

In questo senso e con la volontà di raggiungere tale obiettivo è sorto il concetto di "firewall umano". inteso come insieme di fattori e punti fermi che hanno il compito di rendere il fattore umano non solo trascurabile ai fini della sicurezza, ma anzi ribaltarne il ruolo rendendo al persona che utilizza i mezzi informatici come primo muro di protezione verso possibili attacchi informatici.

Per raggiungere questo risultato è anzitutto indispensabile seguire quelli che sono stati definiti come gli otto punti fondamentali dalla linea guida di questo progetto:

  1. Far emergere all’interno dell’azienda l’importanza del fattore umano nella politica di sicurezza informatica, coinvolgendo il management nella definizione delle policy di sicurezza, allargando a tutti i dipendenti la conoscenza di tale policy, verificandone l’attuazione all’interno dell’azienda. In questo aspetto si inquadra quanto già detto in precedenza, e ricopre evidentemente il primo e imprescindibile passo verso una politica integrata e sostanziale di sicurezza informatica.
  2. Assegnare ruoli e responsabilità precise in modo che ciascuno sappia che cosa fare e quando, soprattutto per situazioni di emergenza o di urgenza. In tal modo sarebbe molto difficoltoso "scivolare" sui trabocchetti del social engineering.
  3. Redigere un piano d’azione dettagliato rispetto alle priorità individuate dalla policy di sicurezza. Infatti, le prime misure da adottare in caso d’attacco devono andare a garantire i dati essenziali, le successive i dati importanti ma non essenziali, quindi i dati di una certa rilevanza, e così via a seconda delle specifiche necessità e priorità della singola azienda.
  4. Le policy devono essere scritte e alla portata di tutti i dipendenti; ovvero devono essere facilmente comprensibili. a disposizione di tutti ed essere flessibili in modo da adattarsi ai mutamenti organizzativi.
  1. Sviluppare un programma di formazione per i dipendenti, che parta dalla spiegazione della policy e sia in grado di spiegare i principali atteggiamenti da tenere nell’operatività quotidiana. Questo passaggio, che a primo acchito può apparire come un inutile fardello economico a carico dell’azienda, può rivelarsi come fondamentale investimento per evitare danni d’immagine ed economici ben più gravi nel momento in cui un dipendente, pur involontariamente, causa una falla nelle struttura dei dati della società, con la conseguente problematica che ne deriva.
  2. Accettare lo scambio con i dipendenti a proposito delle politiche di sicurezza, mettendosi in ascolto di dubbi, segnalazioni, perplessità; infatti, spiegarli o risolverli aumenta la capacità di reazione dell’azienda rispetto ai pericoli della sicurezza informatica, e soprattutto, non secondariamente, aumenta la consapevolezza del singolo dipendente nello svolgimento delle proprie mansioni.
  3. Mantenere le policy in costante aggiornamento e miglioramento, soprattutto rispetto alla loro diffusione e comprensione interna all’azienda. Infatti, l’arrivo di un nuovo dipendente così come il perfezionamento di nuovi virus nonché di nuove tecniche di attacco informatico, possono essere terreno fertile per strategie di policy perfezionate in periodi troppo remoti; un adeguamento all’evolversi di tali situazione consente, invece, di essere sempre preparati ad ogni evenienza di questo tipo.
  4. Definire le procedure da attivare in caso di incidenti o errori, con la chiara indicazione dei vari responsabili e delle azioni da compiere. Ciò consente ad ogni singolo dipendente di non trovarsi impreparato di fronte al manifestarsi di un attacco informatico, sia esso di tipo software che tipo sociale.

Principali attori della politica si sicurezza aziendale

Da quanto è stato appena esposto ci si rende facilmente conto che nella costituzione, programmazione e implementazione di una corretta politica di sicurezza aziendale dal punto di vista informatico, è indispensabile che siano interessati tutti i ruoli costituenti l’azienda nel suo complesso.

Infatti, come già accennato, è fondamentale partire dalla classe dirigente, che, oltre a ricoprire i più classici ruoli dirigenziali, deve anche prendere coscienza del livello di importanza che ricopre l’aspetto informatico di una struttura societaria e conseguentemente adottare tutti gli accorgimenti, così come sopra descritto, atti a rendere la rete più sicura; tali provvedimenti possono essere di tipo "macchina" e quindi hardware/software, come noto, o di tipo societario/umano, aspetto approfondito in questo articolo, che, secondo l’opinione di molti addetti del settore, ricopre il ruolo più determinante in questo nella sicurezza delle reti informatiche.

Gli altri attori, evidentemente parte in causa in questo problema, sono i dipendenti dell’azienda. Infatti, come più volte evidenziato, è indispensabile che il loro comportamento nell’ambito lavorativo/informatico sia, da un lato, correttamente guidato dai preposti a questo compito, e, dall’altro, coscienzioso nel seguire pedissequamente tutte le indicazioni che vengono fornite al fine di preservare l’integrità e la sicurezza dei dati.