Formazione HR: il tallone d’Achille della sicurezza informatica
Se l’azienda zoppica o inciampa sulle questioni di sicurezza informatica, spesso il problema è da ricondurre a carenze culturali.
di Umberto Rapetto (Generale Gdf – già comandante Nucleo Speciale Frodi Telematiche)
Parlar di piedi evoca contesti calzaturieri e per qualcuno ispirazioni feticiste. Nel nostro caso, invece, l’allusione intreccia la mitologia e il tallone di Achille con questioni di formazione del personale. Tutto sommato parliamo di postura professionale e di protezioni elementari che potremmo immaginare come “cavigliere blindate” per proteggere lo storico punto debole.
Anche le organizzazioni che vantano un assetto di difesa “da manuale” si ritrovano spesso alle prese con situazioni di oggettiva difficoltà originate da un insospettabile impiegato che – senza dolo alcuno – ha innescato conseguenze catastrofiche.
PMI e sicurezza informatica
Le piccole e medie imprese hanno rapidamente compreso l’importanza della sicurezza informatica, senza la quale il sistema cardiocircolatorio aziendale rischia infarti ed infezioni. Gli infarti (o le paralisi) sono quelli che inchiodano computer e reti, bloccandone le funzionalità e rendendo impossibile continuare ogni attività che sia dipendente dal regolare ciclo biologico delle risorse informatiche.
Le infezioni, simili a quelle del nostro organismo, in questo caso riguardano i virus che poco alla volta rallentano le prestazioni fino a metterle KO e che vanno a determinare pestilenziali contagi destinati a far “ammalare” l’intero parco macchine a disposizione.
Tutti sanno che certe fregature si evitano facilmente facendo ricorso a soluzioni tecnologiche consolidate come antivirus (che vaccinano pc e smartphone), firewall (che alzano virtuali barriere di fuoco per bloccare malintenzionati che intendono aggredire il tessuto connettivo digitale delle imprese), intrusion detection system (che rilevano i tentativi di accesso indebito o i comportamenti anomali).
Le minacce interne alle aziende
Non tutti, però, hanno coscienza che certi utilissimi strumenti non possono da soli contrastare le incombenti minacce. La loro capacità di intervento si rivela maggiormente efficace quando ad agire è un estraneo non autorizzato, ma le pallottole si palesano spuntate quando a scatenare un pasticcio è un utente interno regolarmente registrato ed abilitato a impartire ordini e a pretendere dal computer l’esecuzione dei suoi comandi.
Se il dipendente fa clic su un link “avvelenato” contenuto in una mail apparentemente innocua (si pensi a “sollecito pagamento fattura”), l’azione del mouse si traduce nella pressione di un immaginario grilletto di una ipotetica pistola puntata alla tempia dell’impresa.
Situazioni di questo genere si verificano a migliaia ogni santo giorno. I messaggi in arrivo attraverso la posta elettronica sono i vettori della quasi totalità degli attacchi mandati a segno in danno di organizzazioni pubbliche e private. Vengono spediti in maniera indiscriminata ad una platea sterminata di utenti: il bandito ha la certezza che qualcuno – tra i tantissimi destinatari – andrà a selezionare e attivare il collegamento o ad aprire l’allegato. È solo una questione di probabilità e la percentuale dei potenziali “cliccatori” è sempre altissima.
Imprese più sicure con la formazione del personale
Per evitare che si consumino simili tragedie (la capillare diffusione dei ransomware, i virus che criptano archivi e documenti e poi chiedono un riscatto per restituire i file in formato leggibile, ne è dolorosa testimonianza…) basterebbe poco. Sarebbe sufficiente un’azione di sensibilizzazione del management e di formazione del personale con cui richiamare l’attenzione e indirizzare tutti verso comportamenti più consapevoli. Seminari, corsi o anche semplici riunioni possono essere il veicolo per indirizzare l’azienda verso porti sicuri.