Quali conseguenze hanno le fughe di dati per i dipendenti? Per rispondere a questa domanda, iniziamo ad esplorare le cause della maggior parte di tali incidenti che, secondo la mia esperienza, sono spesso radicate nella noncuranza, nell’irresponsabilità dei dipendenti o nella gestione inefficace. In altre parole, non importa il punto di vista da dove si guardi il fenomeno, il fattore umano è il cuore del problema delle fughe di dati aziendali.
Quando i dipendenti non si assumono le proprie responsabilità
Provate a chiedere ai dipendenti quali modifiche al proprio workflow aiuterebbero a migliorare la produttività e il livello di soddisfazione sul lavoro. In genere le persone vogliono lavorare seguendo un sistema qualsiasi che possa adattarsi alle proprie esigenze e senza interferenze. Ad esempio, per quanto riguarda la gestione delle autorizzazioni sul proprio computer, l’ideale per loro sarebbe avere la possibilità di installare qualsiasi software, dare l’accesso ai dati e ai sistemi del proprio team a loro discrezione., invitare liberamente persone in ufficio… insomma, cose di questo genere.
Allo stesso tempo, quasi nessuno è veramente disposto ad assumersi la responsabilità di ciò che vuole o che gli fa comodo. Molti dipendenti (e a volte anche i loro manager) sono compiacenti e credono di essere in qualche modo protetti, da minacce informatiche e vulnerabilità (non importa cosa facciano), da certi “maghi” che sono pronti a salvare la situazione. Naturalmente, noi esperti di sicurezza informatica aziendale facciamo sempre del nostro meglio per proteggere gli utenti, ma non siamo onnipotenti.
Cattive decisioni di gestione
La seconda causa degli incidenti più gravi di fughe di dati è, in generale, la gestione inefficace dei processi aziendali, che comprende anche le azioni (o la loro mancanza) del personale addetto alla sicurezza delle informazioni e dell’IT. Un’azienda che fa sul serio con la sicurezza informatica non subisce gravi danni perché un dipendente inserisce una chiavetta USB con un file infetto o apre un’e-mail con un allegato dannoso o un URL pericoloso. In ogni caso, deve verificarsi una catena di errori di questo tipo:
- La procedura aziendale è stata organizzata in modo da consentire questo tipo di errore;
- Qualcuno ha commesso un errore o ha violato le politiche di sicurezza delle informazioni;
- I sistemi informatici o i servizi dell’infrastruttura contenevano vulnerabilità non risolte o non identificate;
- I sistemi erano troppo complessi, causando la mancanza delle risorse necessarie per garantire una configurazione sicura, una gestione tempestiva delle patch e l’implementazione di misure di sicurezza;
- Il dipartimento di sicurezza delle informazioni non è stato in grado (per mancanza di competenze o di opportunità) di identificare l‘incidente di sicurezza informatica prima che causasse certi danni.
Ognuno di questi fattori è una conseguenza di una decisione. Tuttavia, la causa generale dell’incidente è il risultato di una combinazione dei fattori. Il modo in cui l’incidente influisce sulla motivazione del personale dipende in gran parte dalla risposta del personale dirigente, e a volte le misure che un’azienda adotta per prevenire il ripetersi di tali incidenti possono fare molti più danni dell’incidente stesso.
Ecco un esempio del mondo reale: una banca ha subito più volte incidenti di sicurezza derivanti sia da attacchi esterni sia da errori dei dipendenti. Di conseguenza, i sistemi della banca sono andati fuori uso per un certo periodo di tempo. La direzione, nel tentativo di motivare il personale responsabile e di punire i colpevoli, ha licenziato più volte il personale informatico e di sicurezza. Allo stesso tempo, pur sapendo che il sistema bancario automatizzato presentasse delle vulnerabilità strutturali, la direzione non ha stanziato alcun budget per creare un nuovo sistema o per riparare quello vecchio. I dipendenti più esperti si sono resi conto che chiunque avrebbe potuto commettere un errore un giorno, e l’azienda ha preferito assumere nuove persone invece di risolvere il problema di fondo, così hanno presto trovato lavoro altrove. I nuovi dipendenti avevano una scarsa comprensione del sistema dell’azienda, che era stato sviluppato in house e, di conseguenza, commettevano ancora più errori di sicurezza e impiegavano più tempo nella manutenzione dei sistemi perché non disponevano delle nozioni essenziali. Di conseguenza, i clienti hanno lasciato la banca, che è scivolata dalla sua posizione nella top 50 al di sotto del 200° posto.
Cosa fare
A mio parere, è importante non demotivare i propri dipendenti. Al contrario, aiutateli a comprendere le loro responsabilità, i valori dell’azienda e l’importanza del proprio contributo e di quello dei loro collaboratori. Potete dimostrare tutto questo attraverso il supporto materiale, il rispetto reciproco e la definizione di regole chiare.
Le regole aziendali in materia di sicurezza delle informazioni devono spiegare in modo semplice e chiaro cosa è o non è ammissibile e cosa deve fare il personale in caso di un incidente informatico, anche in termini di privacy e riservatezza. Il team leader deve comunicare chiaramente le informazioni ai subordinati, e durante e dopo un incidente informatico, spiegare il problema e le sue conseguenze (che possono includere sanzioni). Ciò aiuta a mantenere una sana atmosfera di squadra e può aiutare l’azienda a evitare di ripetere gli stessi errori.
È possibile utilizzare questa road map di sicurezza informatica per concentrarsi sulla motivazione del team e sulla riduzione dell’impatto degli incidenti informatici:
- Condurre la formazione del personale non solo per evitare errori, ma anche per insegnare ali dipendenti come identificare a un errore e come agire;
- Motivare i dipendenti;
- Elaborare chiare regole di sicurezza delle informazioni in azienda e misure per monitorarle durante la loro esecuzione;
- Utilizzare strumenti di rilevamento degli incidenti e di risposta;
- Implementare sistemi di protezione dagli errori, dai comportamenti disattenti o ingenui e dalle azioni negative dall’interno (come la vendetta informatica degli ex dipendenti);
- Riesaminare periodicamente le misure di cui sopra per ridurre la probabilità che qualcuno commetta lo stesso errore due volte.
Per ulteriori informazioni sul fattore umano degli incidenti legati alla sicurezza informatica, consultate il nostro ultimo report in lingua inglese, “Taking care of corporate security and employee privacy” (prendersi cura della sicurezza aziendale e della privacy dei dipendenti).