Processi e controlli: la base per una gestione del rischio informatico efficace
I processi e i controlli tipicamente comprendono politiche che forniscono spiegazioni dettagliate sull’uso accettabile della tecnologia aziendale. Solitamente, queste politiche includono esempi di attività specificamente non consentite, come l’utilizzo delle credenziali di accesso di un’altra persona o la condivisione delle proprie. Per garantire che tali politiche siano efficaci, è probabile che venga fornita una formazione, che può riguardare sia i concetti di base che i sistemi specifici, nonché altri argomenti correlati, come i requisiti della legislazione sulla protezione dei dati.
Tuttavia, nonostante queste precauzioni, gli errori umani possono ancora verificarsi. Nessun livello di controlli, processi o formazione può eliminare completamente il fatto che gli esseri umani possano commettere errori. I precauzioni possono solo ridurre la probabilità, o, come potremmo pensarci, la frequenza.
L’importanza di una formazione adeguata
Una delle ragioni per cui gli errori umani possono verificarsi è che i processi e i controlli stessi possono essere inadeguati. Ad esempio, può essere troppo facile per un truffatore determinato scoprire la data di nascita, il luogo di nascita o il nome da nubile della madre di una persona. Se è ancora richiesto l’utilizzo di queste informazioni per la sicurezza, chi è responsabile se un truffatore riesce a eludere le misure di sicurezza fornendo le risposte corrette a queste domande? Sicuramente non l’operatore del servizio clienti, che semplicemente segue il processo.
È anche importante notare che gli attacchi che sfruttano aspetti della natura umana che non erano previsti stanno diventando sempre più comuni. Gli attaccanti altamente qualificati stanno utilizzando l’inganno e abbastanza elementi di verità per ingannare le persone ben addestrate.
Non incolpare il messaggero
I processi e i controlli ben documentati e comunicati spesso contengono parole come “azioni disciplinari” e “condotta gravemente negligente”. Questi vengono descritti come possibili conseguenze per chiunque non rispetti le regole. Tuttavia, se qualcuno segue esattamente la procedura ma la procedura stessa è stata male progettata (o è stata aggirata da nuovi tipi di attacchi), attribuire la colpa a quella persona è sia ingiusto che controproducente.
Cambiare l’ambiente
È importante considerare che, alla fine, sono le persone a creare i controlli, i processi e le procedure che possono fallire. Se attribuiamo la colpa alle persone che progettano i controlli, stiamo semplicemente spostando la colpa, il che è ancora controproducente.
Un approccio alternativo potrebbe essere quello di cambiare l’ambiente in cui le persone operano. Ad esempio, se un dipendente deve aprire allegati o cliccare su link come parte del proprio lavoro, può essere irragionevole aspettarsi che sappia distinguere tra allegati o link dannosi e innocui.
In questo scenario, cambiare l’ambiente potrebbe significare utilizzare dispositivi diversi, come iPad o Chromebook, che offrono una maggiore sicurezza e riducono la possibilità di infezioni da malware.
Ripensare la spesa per la cybersecurity
Attualmente, la ricerca suggerisce che il 95% degli incidenti di cybersecurity possono essere ricondotti ad errori umani. Tuttavia, questo modo di esprimersi implica colpa e responsabilità, il che non è produttivo. Inoltre, questo numero non corrisponde bene con un’altra statistica che indica che l’85% delle spese per la cybersecurity viene destinato alla tecnologia, il 12% alle politiche e solo il 3% alle persone.
Sebbene non sia realistico aspettarsi che le spese siano esattamente proporzionali, è chiaro che c’è una mancanza di equilibrio. Sarebbe più produttivo investire parte della spesa tecnologica per rendere più facile per i dipendenti svolgere il proprio lavoro in modo sicuro, piuttosto che ignorare il fatto che il lavoro sia difficile da svolgere in modo sicuro.
Per evitare il gioco delle colpe in cybersecurity, è importante concentrarsi sulla creazione di un ambiente di lavoro sicuro e collaborativo, che supporti i dipendenti nell’adottare comportamenti sicuri. Questo può essere ottenuto attraverso un approccio circolare e collaborativo che tenga conto delle esigenze e delle capacità dei dipendenti, piuttosto che attraverso l’implementazione di politiche difficili da seguire che vengono poi utilizzate per attribuire la colpa ai dipendenti che non le seguono.
Fonte: https://www.helpnetsecurity.com/2024/05/29/processes-controls-company-policies/
