Sicurezza informatica: come formare (e informare) le varie generazioni

Alla Conferenza RSA 2020, Ben Smith ha evidenziato la necessità di tenere in considerazione le differenze che esistono tra le generazioni di lavoratori, con lo scopo di creare una strategia di sicurezza informatica adatta a tutti.

Il piano aziendale per la sicurezza informatica è in grado di includere l’intera forza lavoro della compagnia?

Uno dei tabù nel mondo del business è il fattore età. Non se ne parla. Eppure alla Conferenza RSA 2020 c’è stato proprio un intervento al riguardo.

Non stiamo parlando di risorse umane, questo post non tratterà dell’età sul posto di lavoro e dei pregiudizi comuni che ne conseguono. L’intervento di Ben Smith, Field CTO della RSA negli Stati Uniti, si è concentrato su come nelle aziende di oggi siano presenti ben quattro generazioni, ognuna con caratteristiche ben definite (i tradizionalisti, i baby boomer, la Generazione X e i millennial). E poi ci sono i quelli che si trovano a metà tra una generazione e un’altra e che assumono tratti da entrambe.

Tale fenomeno è importante per il mondo del business in particolare e per quello della sicurezza informatica in particolare, perché ne derivano delle conseguenze reali (e non ipotetiche), confermate dai dati: queste quattro generazioni utilizzano le tecnologie ognuna in modo diverso.

Di conseguenza, quando bisogna organizzare un programma di formazione in sicurezza informatica, è necessario essere coscienti che un solo sistema non va bene per tutti. Durante il suo intervento, Smith ha descritto anche altre teorie, potete ascoltarle qui:

Come potete vedere dall’immagine, le prime tre generazioni partendo dal basso (le più giovani) si concentrano sulle informazioni e sono opposte in modo dinamico. Smith ha segnalato altri divari generazionali, dall’avere dispositivi elettronici in camera da letto al luogo di lavoro, dal confine lavoro/vita privata al consumo di media digitali o tempo trascorso sui social network etc.

Alla luce di tutto ciò, ne emerge un comun denominatore che può aiutarvi a organizzare il nucleo del vostro programma di formazione in sicurezza informatica. Nella slide che segue, mi ha colpito molto il fatto che non esiste una sorta di pulsante che scolleghi la interrelazione tra lavoro e sicurezza sia casa, sia sul posto di lavoro. Come si può elaborare un programma di formazione in sicurezza tenendo in considerazione questo aspetto?

Smart working Ormai bisogna accettare l’idea che non esiste più il lavoro in ufficio seguendo un orario prestabilito, si opta sempre di più per lavorare altrove. Quando si elabora una strategia di questo tipo, dovete considerare tutti i rischi derivanti dal lavoro da remoto, oltre alle best practice da adottare per rientrare nella politica della compagnia. Ad esempio, potrebbe essere necessario imporre l’uso di una VPN quando ci si collega a reti Wi-Fi pubbliche, evitare di salvare documenti confidenziali su siti di condivisione file pubblici, definire quali app e operazioni sono consentite sui dispositivi aziendali etc.

Ingegneria sociale Come utenti siamo sempre più consapevoli della minaccia derivante da falsi account sui social network che si spacciano per parenti o persone di nostra conoscenza. La minaccia dell’ingegneria sociale è reale anche sul posto di lavoro, per questo va inclusa nelle campagne di security awareness in azienda. Nessuno di noi vuole essere responsabile di aver trasferito centinaia di migliaia di dollari sull’account sbagliato, perché qualcun altro si è spacciato per il nostro capo e ci ha chiesto un bonifico urgente.

Condivisione dei dati Al giorno d’oggi, si può evitare di creare una password di accesso a un sito perché possiamo utilizzare le nostre credenziali dei social network. In molti non sono pienamente consapevoli dei rischi o dei dati che si concedono con questa azione. Nell’organizzare il vostro programma di formazione in cybersecurity, è importante includere anche questo punto. Inoltre, sarebbe il caso di aggiungere informazioni su quali siti non è consigliabile digitare l’indirizzo e-mail aziendale (siti di incontri, di scommesse o altre pagine che non hanno nulla a che vedere con il lavoro).

Uso di differenti dispositivi Da anni ormai, la tendenza BYOD (Bring Your Own Device, ovvero l’uso di dispositivi personali per lavoro) è una spina nel fianco di chi si occupa di sicurezza IT sul posto di lavoro. Che ci piaccia o meno, è una realtà: in molti mandano avanti il proprio lavoro con smartphone, portatile o tablet personali o, al contrario, si occupano di gestire questioni personali impiegando i dispositivi di lavoro. Le politiche aziendali non possono bloccare del tutto questa tendenza ma si può sempre informare i dipendenti sulle best practice da seguire (sta a loro farlo o meno) e su come proteggere i loro dispositivi.

Gamification Chiunque navighi su Internet o è appassionato di videogiochi sa cosa sia la gamification, anche se magari non ha mai sentito questo termine. Per svolgere l’attività X si ottengono dei punti e chi ottiene il miglior punteggio, riceve il premio Y. Quando si elabora un programma di formazione in sicurezza informatica, è un approccio che va tenuto in considerazione, decidendo anche in che modo ricompensare i lavorati più responsabili. Anche nel mondo della cybersecurity aziendale possiamo utilizzare il vecchio sistema del bastone e la carota.

Ogni azienda è differente e il modo in cui il personale reagisce alle formazioni può variare. Tuttavia, se si tengono in considerazione tematiche sull’interazione con le tecnologie e che interessano tutte le generazioni in modo trasversale, sarà possibile creare un programma di formazione in sicurezza informatica utile per tutti.

Consigli