Una delle maggiori minacce alla sicurezza delle informazioni proviene dall’interno dell’azienda. Gli “attacchi” che avvengono in questa modalità possono provenire da impiegati scontenti o infedeli, ma sempre più spesso da utenti “non informati” che in una modalità non malevola rappresentano un problema per la sicurezza delle informazioni.
Questi utenti non informati, con azioni semplici e apparentemente sicure come visitare siti web che sono però infettati da malware, rispondere ad e-mail di phishing o mantenere le proprie credenziali di accesso ai sistemi in una zona non sicura, possono procurare perdite di informazioni che risultano molto onerose per le vittime di queste minacce. Queste rappresentano un pericolo consistente per tutte le aziende che possiedono dei dati sensibili, qualunque essi siano e qualunque dimensione abbia l’azienda, quale sia il suo mercato di applicazione o localizzazione geografica.
“Le aziende ad oggi non possono proteggere la confidenzialità, l’integrità e la disponibilità delle informazioni senza assicurarsi che tutte le persone coinvolte nell’utilizzo e nella gestione dei propri sistemi comprendano il ruolo e le loro responsabilità”, dichiara Massimo Turchetto, CEO&Founder di SGBox. “I principali studi effettuati da diverse società indipendenti, dimostrano che le persone sono l’anello più debole nell’attività di rendere sicuri i propri sistemi e reti”.
Il fattore umano, più che la tecnologia, è la chiave per fornire un adeguato e appropriato livello di sicurezza. I dipendenti di un’azienda in qualità di “chiave” sono un asset su cui è doveroso e necessario porre un’attenzione particolare. Un programma efficace di “awareness” e formazione a livello aziendale è fondamentale per assicurare la definizione e la comprensione delle proprie responsabilità di sicurezza, le policy organizzative e come proteggere in modo adeguato le risorse a esse assegnate.
Per fare in modo che un “programma di security” funzioni, è necessario guardare al di là di chi si occupa di sicurezza e reclutare persone all’interno dell’intera organizzazione che assumano il ruolo di contributori.
“Un programma di protezione che si affidi unicamente a figure quali i Security Manager non avrà molto successo. La formazione del personale permette agli utenti di svolgere il proprio ruolo con la dovuta qualità, aiutandole a raggiungere le abilità e le conoscenze necessarie a individuare le moderne tecniche di “phishing” e le altre minacce alla sicurezza delle informazioni”, conclude Turchetto.
SGBox è specializzata nell’analisi della correlazione di eventi e dei log, e si occupa costantemente di trasformare tutti i dati sulla sicurezza in “useful big data”. L’azienda, con la soluzione SGBox, un Sistema di Gestione delle Informazioni e degli Eventi di Sicurezza (SIEM), garantisce il controllo, la gestione e il monitoraggio ICT aggregato in maniera semplice e “smart”.
L’approccio alla sicurezza delle informazioni deve essere strutturato e deve portare ad affiancare all’utilizzo di prodotti affidabili, una definizione precisa dei processi come la formazione degli utenti. La sicurezza è un processo continuativo nel tempo e così deve essere anche per la formazione degli utenti che in questo modo acquisiranno una solida conoscenza delle policy di sicurezza, procedure e “best practices” della propria azienda.