Operatori in sede, da remoto, in smart working o in viaggio: così il perimetro aziendale diventa simile ad una geometria non euclidea, nota nella tradizione lovecraftiana per far precipitare in abissi di follia. In tale contesto organizzativo, le migliori intenzioni per le organizzazioni di raggiungere quell’obiettivo di provvedere in modo sostanziale ed effettivo a sensibilizzare e formare il personale che partecipa ai trattamenti sembra una mission impossible.
In realtà, non è così se si adotta un approccio di metodo e si svolge un’analisi preliminare che contempli quanto meno il censimento degli asset (risorse fisiche, logiche ed umane) e una valutazione dei rischi. In tale maniera è già possibile predisporre le prime misure, fra cui senza dubbi rientra la progettazione di una corretta politica di gestione degli accessi che regoli gli stessi secondo il criterio del c.d. privilegio minimo.
Innanzitutto, le utenze dei singoli operatori devono essere impostate consentendo l’accesso ai soli dati necessari per lo svolgimento della mansione lavorativa regolando correttamente anche i permessi di intervento sui database e di condivisione di file ed informazioni. A questa misura tecnica devono poi corrispondere istruzioni operative che consentano la comprensione dell’utilizzo accettabile dei sistemi impiegati (dispositivi, reti, applicativi).
Nella valutazione dei rischi, è fondamentale considerare le minacce derivanti da contesto, strumenti e operatori, andando così a differenziare le aree su cui è possibile intervenire con misure di sicurezza specifiche. Tali misure, per lo più di natura tecnica, devono sempre essere accompagnate da un addestramento operativo.
Per ridurre il rischio derivante dal comportamento degli operatori, gli interventi di sensibilizzazione circa le minacce informatiche sono fondamentali e devono essere svolti anche con esempi concreti riferiti al contesto operativo e alle eventuali procedure adottate dall’organizzazione (ad esempio: l’assegnazione di dispositivi/utenze o la gestione dello smart working). La frequenza degli interventi di sensibilizzazione dipende dagli scenari di cybersecurity noti allo “stato dell’arte” e dal contesto: non può essere in alcun modo efficace una misura generica e scollegata dall’esperienza dell’operatore. Per tale motivo, è necessario individuare categorie omogenee di operatori verso cui indirizzare interventi formativi specifici, e dividere così i singoli “pacchetti” di formazione da somministrare, unitamente ad istruzioni operative che siano quanto più possibilmente chiare e sintetiche (anche con il ricorso ad infografiche esplicative).
Tanto la formazione quanto la sensibilizzazione sono politiche che richiedono interventi effettivi, altrimenti la loro inefficacia è compromessa sin dal nascere. Per tale motivo devono essere attentamente progettati, verificati e, alla pari di ogni processo aziendale, gestiti con l’obiettivo di un miglioramento continuo.
