Mai prima d’ora le aziende si sono sentite così responsabili in merito all’uso, alla conservazione e alla gestione dei dati. Lo abbiamo percepito quest’anno non solo per l’entrata in vigore del GDPR, per gli scandali che hanno coinvolto Facebook, per l’attenzione sulla tematica del cybercrime, ma perché la domanda da parte dei consumatori e delle imprese su come i nostri dati vengano gestiti è sempre più all’ordine del giorno.
È un processo complesso quello che ci permette di risalire esattamente ai nostri dati, a dove sono archiviati, a quali sistemi di sicurezza li governano. E in un ambiente che poggia su cloud e mobility, la cybersecurity richiede un approccio flessibile e adattivo, che vada ben oltre il perimetro. “Molte aziende ora capiscono che l’avversario potrebbe già essere all’interno del proprio perimetro. Le difese perimetrali hanno spinto il nemico fino al luogo in cui la compromissione è più facile e maggiormente critica: all’interno della rete” esordisce nella nostra chiacchierata Emiliano Massa, Vice President EMEA di Forcepoint, sentito nei giorni del Cybertech Europe 2018 di Roma, che considera la sicurezza un dovere e una opportunità. Non semplicemente un software, una soluzione.
“L’intenzione alla base del rischio ha molteplici facce – presegue -: ci potrebbe essere un attaccante esterno che ha compromesso la sicurezza, in agguato e che opera all’interno della rete utilizzando credenziali autorizzate, o qualcuno per cui invece è lecito essere all’interno della rete ma ha intenzioni malevole. Oppure potrebbe essere un utente autorizzato che semplicemtne commette un errore. Mitigare il rischio dovuto a questi tipi di minacce potrebbe richiedere l’introduzione di programmi di monitoraggio delle azioni lavorative, per le quali è indispensabile creare un rapporto di fiducia e consapevolezza tra i dipendenti”. In questa logica è l’analisi del comportamento umano – lo human point – grazie a un modello dinamico, che garantisca una efficace protezione dei dati e che metta in sicurezza gli utenti.
Sicurezza e buone regole comportamentali
Il legame tra sicurezza dei dati e responsabilità nella loro gestione è molto forte, legato anche a un approccio culturale che necessia di formazione e consapevolezza. “La cybersicurezza ci offre una opportunità per educare i consumatori e i dipendenti sul ruolo che essi svolgono nella protezione dei propri dati e su cosa potrebbe accadere se dei malintenzionati riuscissero a prendere il controllo delle loro informazioni o credenziali” incalza Massa.
Per fare la differenza, qualsiasi strumento educativo deve coinvolgere, ispirare ed essere radicato nella cultura di un’azienda, andando oltre le semplici istruzioni di base. “Per fortuna, la cultura della sicurezza sul posto di lavoro si è evoluta, anche grazie ai lunghi video sulla sicurezza del passato. Al contrario, stiamo tuttora assistendo ad importanti dibattiti sull’impatto dell’analisi dei comportamenti degli utenti all’interno delle aziende”. La stessa Forcepoint organizza spesso training interni sulla sicurezza informatica per affrontare le tematiche di security e educare alle conseguenze dei propri comportamenti nell’ottica che “oggi datori di lavoro e dipendenti possono e devono collaborare per contribuire a mitigare il rischio di minacce di security”.
Monitoraggio sul posto di lavoro: uso proattivo
Sulla scia delle recenti violazioni ad alto profilo informatico del calibro di Ticketmaster, MyHeritage e Dixons Carphone, è importante che le aziende attuino processi ed inseriscano soluzioni per proteggere non solo i loro clienti, ma anche i dipendenti e la propria reputazione in generale. È qui che il monitoraggio della forza lavoro può svolgere un ruolo chiave, non come una minaccia per la privacy, ma come una forza positiva nella lotta per la protezione dei dati.
“Mentre è chiaro che la stragrande maggioranza dei dipendenti opera nell’interesse della propria azienda, è diventato dolorosamente ovvio che gli strumenti di sicurezza tradizionali non sono più in grado di fornire informazioni contestuali su attacchi pericolosi – sostiene Massa -. Senza un’accurata contestualizzazione, gli incidenti non possono essere adeguatamente esaminati. In un’epoca in cui le violazioni sono comuni e i dati sono la nuova moneta, le aziende ed i propri dipendenti possono trarre grande beneficio da un maggiore monitoraggio sul posto di lavoro ha lo scopo di proteggerci ed è uno strumento indispensabile per i professionisti della sicurezza informatica”.
Perché la security deve adattarsi al rischio aziendale
Non si può negare che gli atteggiamenti e la comprensione delle persone in merito alla privacy dei dati, alla sicurezza informatica e alla protezione dei dati stia volvendo ma sebbene i criminali informatici troveranno i furti di dati molto più difficili, la minaccia rimane. Sarebbe ingenuo pensare che gli hacker non si evolveranno e non diventeranno esperti nel contrastare le attuali protezioni. Ecco perché la sicurezza deve cambiare a sua volta. “Forcepoint crede che adottando un modello di rischio adattivo unito a un approccio alla sicurezza informatica che pone l’individuo al centro dei processi, le aziende saranno maggiormente in grado di difendersi da qualsiasi potenziale minaccia. Concentrandoci sull’individuo, possiamo fornire una sicurezza informatica personalizzata, con policy one to one, adattabili in base ai comportamenti. Inoltre, con una migliore comprensione degli intenti di ciascuno, possiamo fornire il contesto necessario per prendere decisioni informate e migliorare l’efficienza delle soluzioni protettive”.
La cultura della fiducia e della trasparenza dà alla persona un ruolo attivo nella protezione personale e aziendale. “In tal modo, siamo sulla buona strada per diventare amministratori dei nostri dati e diventare responsabili della nostra impronta digitale. Solo allora saremo in grado di costruire una cultura in cui le violazioni siano una rarità e non una regolarità”.
© RIPRODUZIONE RISERVATA