Blog WatchGuard

Go to 

Come sviluppare una solida cultura della sicurezza informatica

Sowing Cybersecurity Seeds- 2

Perché la cultura è il terreno, non la recinzione. 

Siamo onesti: quando la maggior parte delle persone sente parlare di "formazione sulla sicurezza informatica", i loro occhi si appannano più velocemente di una workstation con Windows 98. 

Ma ecco il punto: secondo il DBIR 2023 di Verizon, il 74% delle violazioni dei dati coinvolge ancora un elemento umano, che sia tramite l'ingegneria sociale, errori o un uso improprio. Non è solo una statistica: è un segnale luminoso che indica l'importanza della cultura della sicurezza informatica.

 Se vuoi che i tuoi strumenti di sicurezza facciano di più che accumulare polvere e alert, hai bisogno di qualcosa di più profondo: qualcosa di umano. Hai bisogno di una cultura che metta la sicurezza al primo posto: come ogni cultura, non si crea da sola. Si deve far crescere.

Non dare per scontato che Consapevolezza = Prontezza 

Siamo tutti colpevoli di dare per scontato che "ormai tutti lo sanno". MFA, truffe di phishing, gestori di password: non è forse così basilare? Non proprio. 

Un report di Tessian ha rilevato che il 43% dei dipendenti ha commesso errori sul posto di lavoro che hanno compromesso la sicurezza informatica. Di solito hanno commesso questi errori perché erano stanchi, di fretta o non ne hanno percepito il rischio. 

Il tuo team non sta ignorando la sicurezza per cattiva volontà, semplicemente non è predisposto a pensare come gli attaccanti. Quindi, invece di proporre una formazione noiosa e incentrata sulla conformità una volta all'anno, prova queste azioni: 

  • Simulazioni di phishing realistiche (punti bonus se le rendi divertenti)
  • Formazione specifica per ruolo (finanza ≠ sviluppatori ≠ risorse umane)
  • Rafforzamento tramite micro-learning (lezioni brevi e fruibili)
  • Gamification per rendere l'apprendimento divertente e coinvolgente
  • Rendi la formazione non una semplice casella da spuntare ma una conversazione.

Collega la sicurezza ai risultati aziendali, non alla paura 

Il problema delle tattiche intimidatorie è che perdono efficacia nel tempo. Il tuo team sa già che esistono minacce. Deve capire perché dovrebbe preoccuparsene e come questo influisce sul lavoro quotidiano. 

  • I team di vendita dovrebbero capire come pratiche di sicurezza inadeguate possano ritardare le trattative
  • I team di prodotto dovrebbero sapere come la sicurezza "by design" conquisti la fiducia a lungo termine
  • Le risorse umane dovrebbero capire come l’onboarding e l’offboarding sicuri proteggano i dati sensibili
  • Il reparto finanziario dovrebbe sapere come pratiche di sicurezza inadeguate aumentino il rischio e i costi 

Collegare la sicurezza a reali obiettivi aziendali – fiducia, velocità, crescita – diventa una responsabilità condivisa, non una "questione IT".

Attiva i tuoi difensori quotidiani 

I tuoi migliori difensori della sicurezza potrebbero non essere nel tuo SOC: probabilmente lavorano nel marketing, nel customer success o nelle operation. Quelli che chiedono: "Devo aprire questo?" invece di cliccarci sopra. Questi sono i tuoi difensori quotidiani. 

Date loro un nome. Riconosceteli. Date loro potere. 

Create un programma di sicurezza snello: 

  • Controlli mensili con il vostro team IT/sicurezza
  • Anteprime di nuovi strumenti/processi
  • Riconoscimenti per l'individuazione di attività sospette 

La cultura aziendale si diffonde attraverso le persone, non le policy. Quindi date ai vostri portatori di cultura aziendale un microfono (e magari una tazza).

Rendila una cosa viva, non una politica bloccata 

La cultura aziendale non è statica. Né lo sono le minacce. Ciò che ha funzionato l'anno scorso potrebbe essere irrilevante oggi. 

Invece di bloccare tutto in un PDF di 40 pagine, concentrati sull'agilità: 

  • Rivedi e aggiorna la formazione ogni trimestre
  • Rivedi regolarmente autorizzazioni e controlli degli accessi
  • Incoraggia gli utenti a fornire feedback su cosa funziona (e cosa no) 

Quando i dipendenti vedono che la sicurezza si evolve con loro, è più probabile che rimangano coinvolti.

La cultura è il terreno, non la recinzione 

Potete avere i migliori firewall, la migliore protezione degli endpoint e strumenti di Cloud Posture. Ma se il vostro team non comprende la sicurezza, se non pensa in modo sicuro, la vostra azienda rimane vulnerabile. 

Costruire una cultura incentrata sulla sicurezza non significa perfezione. 

Significa piantare i valori giusti, coltivare la fiducia e proteggere ciò che conta, insieme. 

Non serve il pollice verde: bastano impegno, coerenza e la convinzione che la cultura sia la vostra migliore risorsa per una robusta sicurezza. 

Volete rafforzare le vostre fondamenta di sicurezza informatica? Iniziate a coltivare la vostra cultura interna: una conversazione, un “champion” e una lezione alla volta.

Altre risorse correlate:

 

Classificati sotto: Trend di cybersecurity, Vulnerabilità delle password, Ransomware, Zero Trust, Dispositivi Endpoint, Sicurezza degli endpoint, Autenticazione a più fattori, Efficienza operativa, PMI, Imprese di piccole dimensioni
Blog Home

Posts correlati

Blog Home