Con l'evolversi dei rischi informatici dell'azienda, dovete farlo anche voi. Ecco 5 consigli per creare una cultura della sicurezza informatica che protegga l'azienda e sia significativa per i dipendenti.
La creazione di una cultura della sicurezza informatica è sempre stata un elemento importante della strategia di sicurezza informatica di un'organizzazione. Tuttavia, il massiccio spostamento verso il lavoro da remoto indotto dal COVID-19, seguito dalla crescita degli ambienti di lavoro ibridi, ha cambiato radicalmente il panorama delle minacce.
Le politiche di cybersecurity del passato, e persino quelle istituite all'inizio della pandemia, devono essere rivalutate di fronte alle nuove sfide della cybersecurity. I rischi emergenti devono essere identificati, articolati e allineati alla strategia aziendale.
Perché con il cambiare dei profili di rischio, deve cambiare anche la cultura della sicurezza informatica di un'organizzazione. E i comportamenti e la mentalità necessari per affrontare l'evoluzione dei rischi per la sicurezza - la cultura della sicurezza informatica di un'azienda - devono estendersi a tutta l'organizzazione.
Cos'è la cultura della cybersecurity e perché è importante?
La cultura della cybersecurity dovrebbe essere vista come un ambiente di lavoro in cui tutti si preoccupano della cybersecurity e sono motivati a migliorarla; le persone capiscono perché la cybersecurity è importante e si vedono come parte della soluzione.
Promuovere una cultura della cybersecurity assicura anche che i dipendenti siano consapevoli di quali sono o potrebbero essere i rischi e capiscano come reagire o segnalarli. Questa consapevolezza, a sua volta, contribuisce a proteggere meglio un'organizzazione, creando una solida linea di difesa contro gli attacchi informatici e le potenziali violazioni dei dati.
Sfide
La mancanza di un budget adeguato per la sicurezza è una delle sfide principali per qualsiasi organizzazione. Un'altra è la creazione di una cultura della sicurezza informatica senza il supporto dei dirigenti aziendali.
La sicurezza ha una cattiva reputazione. Il "marchio di sicurezza" è un elemento importante per creare una cultura della cybersecurity. Il fatto che non sia sempre rispettato o compreso è un ostacolo che i team di sicurezza devono superare lavorando per cambiare l'atteggiamento delle persone nei confronti della sicurezza.
Il Chief Security Officer dell'organizzazione deve essere all'altezza della sfida. Trovare un CISO trasformista in grado di guidare e costruire una cultura della sicurezza informatica - e di renderla una priorità - sarà una sfida per molte aziende.
5 buone pratiche per creare cultura
Ecco una panoramica di cinque best practice fondamentali per aiutare i professionisti della sicurezza informatica a creare una cultura della sicurezza informatica in tutta l'organizzazione.
1. Investite nei giusti strumenti di sicurezza.
Gli strumenti di sicurezza sono parte integrante di una difesa a più livelli, ma non sono una panacea contro gli attacchi informatici. È consigliabile disporre di un insieme ben congegnato di strumenti di sicurezza informatica che possano aumentare l'"aspetto umano" della sicurezza informatica.
Investire in soluzioni SIEM che utilizzano tecniche di apprendimento automatico, ad esempio, può aiutare il personale dei centri operativi di sicurezza ad aumentare le capacità di rilevamento e risposta, a migliorare il rapporto segnale/rumore e a consentire agli analisti della sicurezza di concentrarsi sulle minacce più importanti.
Tuttavia, è importante ricordare che con l'evoluzione della tecnologia e l'aumento degli attacchi informatici, la carenza di competenze in materia di cybersicurezza non fa che peggiorare. È imperativo reclutare, formare e trattenere talenti informatici provenienti da un'ampia gamma di contesti per rimanere all'avanguardia.
2. Rendere accessibile la sicurezza
I responsabili della sicurezza devono iniziare a lavorare con il senior management. I professionisti della sicurezza devono comprendere e allinearsi alla strategia aziendale, identificare i rischi associati a tale strategia e comunicarli in modo appropriato in termini aziendali.
Quando i manager capiscono, in termini comprensibili, qual è il rischio e cosa viene loro richiesto, sono in grado di procedere.
3. Promuovere l'igiene informatica da un capo all'altro.
Per avere un impatto reale, le buone pratiche di cybersecurity devono partire dal livello C e filtrare attraverso l'organizzazione. Se l'amministratore delegato dimostra di adottare pratiche di cybersecurity positive e dà il buon esempio al resto dell'azienda, è probabile che il resto del team ne segua l'esempio.
La sicurezza informatica deve diventare una priorità e dare il tono al resto dell'azienda.
- Incoraggiate i vostri dirigenti a partecipare a corsi di formazione sulla sicurezza informatica.
- Applicare politiche e processi di sicurezza in modo trasversale, indipendentemente dal livello gerarchico.
- Collaborare con i responsabili delle politiche per adattare le procedure in base al funzionamento dei membri del consiglio di amministrazione: se le politiche non funzionano per loro, probabilmente non funzionano nemmeno per i livelli inferiori dell'organizzazione.
- Si presume che le pratiche richiedano tempo per diffondersi in tutta l'azienda: ci vogliono tempo e sforzi per far evolvere la cultura.
4. Concentrarsi sull'essere umano
I team che si occupano di sicurezza spesso considerano erroneamente un programma di sicurezza "incentrato sull'uomo" come una formazione di sensibilizzazione alla sicurezza che tutti i dipendenti devono seguire.
Bisogna partire dalle persone. Ciò significa analizzare le parti interessate, comprendere i loro comportamenti e le loro sfide e capire cosa deve cambiare e come implementare tale cambiamento. Poi, sulla base di ciò, si creano le iniziative di cultura della sicurezza per ciascuna comunità di stakeholder.
5. Lavorare su una strategia di fiducia zero
Strategie di sicurezza come l'autenticazione a più fattori (MFA) e lo Zero Trust sono spesso discusse negli ambienti della sicurezza informatica come metodi per aumentare i controlli sugli accessi, ma lo Zero Trust sta rapidamente guadagnando popolarità e molte organizzazioni stanno cercando di adottare questa mentalità.
Una strategia Zero Trust per la sicurezza informatica aziendale è un quadro di riferimento che prevede che tutti gli utenti siano costantemente autenticati, autorizzati e convalidati prima che venga loro concesso l'accesso a determinati sistemi o dati aziendali. Questo include sia gli utenti all'interno della rete aziendale che quelli al di fuori di essa, dato che stiamo entrando in una fase permanente di lavoro ibrido.
L'imposizione di questo modello in tutta l'azienda significa che tutti i dipendenti sono sottoposti alle stesse misure di sicurezza, lasciando poco spazio agli errori che potrebbero costare l'attività.
Conclusione
Troppo poche organizzazioni sottolineano l'importanza della cultura della sicurezza, che può portare a un processo decisionale poco istruito, a sistemi compromessi e a violazioni informatiche.
Lo sviluppo di una cultura della sicurezza informatica è un processo continuo e richiede il coinvolgimento di tutti i livelli dell'organizzazione.
Implementando buone pratiche di sicurezza informatica sul posto di lavoro, non solo si creerà una cultura della sicurezza nel tempo, ma l'organizzazione sarà più protetta dalle minacce informatiche.
