Creazione di una strategia informatica incentrata sull’uomo

Con i recenti cambiamenti alle dinamiche aziendali, ogni dipendente, indipendentemente dal ruolo o dallo stato all’interno di un’organizzazione, è un potenziale bersaglio per i criminali informatici. Di conseguenza, le organizzazioni devono iniziare ad adottare un approccio più incentrato sull’uomo alla sicurezza informatica, afferma Joseph Carson, chief security scientist e advisory CISO di Delinea.

Con molte organizzazioni che operano con dipendenti dislocati sia a livello nazionale che internazionale, molte ora lavorano da casa o da reti pubbliche, è diventato sempre più difficile per le organizzazioni mantenere il controllo completo sulla sicurezza delle proprie operazioni aziendali. All’inizio della pandemia, a molti dipendenti è stato concesso un ulteriore accesso ai sistemi aziendali per ottimizzare la propria produttività. Due anni dopo, con molti ancora che lavorano in remoto, questo livello aggiuntivo di privilegi e accesso rimane in vigore.

Dati i recenti cambiamenti alle dinamiche aziendali, ogni dipendente, indipendentemente dal ruolo o dallo stato all’interno di un’organizzazione, è un potenziale bersaglio per i criminali informatici che cercano di ottenere l’accesso iniziale o spostarsi lateralmente attraverso le reti organizzative per rubare dati ed eseguire software dannoso. Mentre le moderne discussioni sulla sicurezza sono incentrate sull’intelligenza artificiale, sull’apprendimento automatico e sull’automazione come i migliori mezzi per proteggersi dagli attacchi, i dipendenti di un’organizzazione spesso fungono ancora da prima linea di difesa. Pertanto, molti potrebbero trarre vantaggio dall’adozione di un approccio più incentrato sull’uomo per affrontare i propri problemi e priorità di sicurezza. Diverse iniziative possono essere attuate per stabilire questo.

Identificare le insicurezze prevalenti

Le organizzazioni dovrebbero condurre regolarmente audit di sicurezza all’interno di ciascun reparto, sia esso contabilità, vendite o marketing, per determinare il comportamento e l’approccio alla sicurezza attuali dei dipendenti. È comune che le procedure di sicurezza differiscano a seconda del dipartimento. Ad esempio, le risorse umane avranno spesso controlli di sicurezza più rigidi a causa della grande quantità di informazioni di identificazione personale (PII) riservate e sensibili trattate. Tuttavia, altri dipartimenti potrebbero adottare un approccio più rilassato, lasciandoli bersagli aperti e vulnerabili per gli attacchi.

Per combattere le discrepanze e identificare le aree in cui sono necessari miglioramenti della sicurezza, le organizzazioni dovrebbero prendere in considerazione l’implementazione di controlli di test periodici che evidenzino aree e dipartimenti in cui la conoscenza e la consapevolezza della sicurezza potrebbero non essere sufficienti. Questo può essere fatto in molti modi. Uno dei modi più comuni è distribuire i tentativi di phishing controllati dall’azienda per determinare come rispondono i dipendenti. Se un dipendente interpreta l’e-mail come legittima, è automaticamente obbligato a partecipare a un corso di antiphishing e igiene informatica facilitato da un membro del team di sicurezza. Lo scopo principale in questo caso non dovrebbe essere quello di far vergognare i dipendenti, ma di aiutarli a consentire loro di identificare e segnalare potenziali attacchi di phishing in futuro.

È inoltre buona norma fare il punto sugli strumenti di sicurezza utilizzati in ciascun reparto e sul livello di importanza percepito. L’autenticazione a più fattori è abilitata e utilizzata? È presente un gestore di password, i dipendenti lo utilizzano correttamente e li aiuta nelle loro attività?

Vedi altro: Perché le aziende di fascia media hanno bisogno della sicurezza informatica ora più che mai

Incorpora esperti di sicurezza ovunque

I team di sicurezza devono anche essere al centro della creazione e dell’esecuzione della strategia. La sicurezza non è più un ripensamento e dovrebbe essere incorporata in ogni singola iniziativa. La sicurezza non dovrebbe essere solo di progettazione, ma anche di default. Il personale addetto alla sicurezza che lavora direttamente con ogni reparto aziendale promuove la collaborazione incrociata e la comunicazione migliorata, aiutando nel contempo a determinare dove esistono le lacune e dove potrebbe essere necessario allocare budget di sicurezza aggiuntivi.

Istituire un ambasciatore della sicurezza informatica o un mentore per ogni reparto che può aiutare a comunicare le politiche di sicurezza e conformità specifiche del reparto, rilevare le minacce e rispondere agli incidenti. Delegare una persona IT che comprenda le esigenze specifiche di ciascun reparto può aiutare a massimizzare la posizione di sicurezza di un’organizzazione e comprendere le esigenze aziendali. Non è solo essenziale garantire che la sicurezza sia in atto, ma anche garantire che aiuti il ​​dipendente nel proprio lavoro. Dobbiamo concentrarci su un approccio alla sicurezza senza attriti che dia la priorità alla necessità di fare in modo che la sicurezza aiuti i dipendenti nel loro lavoro.

Implementa soluzioni di sicurezza senza interruzioni

A causa dell’aumento dei livelli di attacco e della crescente pressione da parte dei membri del consiglio di amministrazione e dei dirigenti aziendali, molte organizzazioni stanno investendo e implementando nuovi strumenti di sicurezza con poca attenzione per gli utenti finali diretti. Spesso, le soluzioni di sicurezza implementate si rivelano difficili da utilizzare e gestire per gli esperti non di sicurezza, causando frustrazione e resistenza. Oltre a investire in controlli di sicurezza completi, le organizzazioni devono dedicare una quantità adeguata di tempo e risorse per istruire i dipendenti su come utilizzare e navigare in tali strumenti per evitare configurazioni errate, scarsa implementazione e attriti generali.

Formazione sulla sensibilizzazione alla sicurezza informatica

La Cybersecurity and Infrastructure Security Agency (CISA) e il Multi-State Information Sharing and Analysis Center (MS-ISAC) raccomandano inoltre alle organizzazioni di creare iniziative di sensibilizzazione alla sicurezza informatica che aiutino a costruire e migliorare l’igiene informatica a livello aziendale. Educa i dipendenti ai primi segnali di attività dannosa e consenti loro di adottare le migliori pratiche per le password, ad esempio come creare regolarmente password complesse e l’etichetta migliore per archiviarle. Aiutali a spostarsi per utilizzare i gestori di password e a spostare le password in background.

I team di sicurezza devono affrontare un triage di avvisi e rumori con una superficie di attacco ampliata. Combinando questo con la continua carenza di personale e l’esaurimento dei dipendenti, il destino della sicurezza di un’organizzazione non può più essere affidato solo ai team IT e di sicurezza. Le organizzazioni possono ridurre significativamente i propri rischi adottando un approccio alla sicurezza incentrato sull’uomo, in cui tutti i dipendenti sono dotati delle conoscenze di base, delle competenze e della tecnologia senza interruzioni necessarie per prevenire attività dannose. Dopotutto, sei sempre e solo forte quanto il tuo anello più debole.

Come stai rendendo la sicurezza informatica più incentrata sull’uomo? Raccontaci Facebook, Twittere LinkedIn.

ALTRO SULLA STRATEGIA CYBER:

Fonte immagine: Shutterstock

.

Leave a Comment

Your email address will not be published. Required fields are marked *