L’incessante susseguirsi di problematiche riguardanti la sicurezza informatica, sta convincendo dell’importanza della cyber security applicata ad aziende di ogni dimensione e settore economico di appartenenza.
Da qui, soprattutto nelle aziende di media e grande portata, si osserva l’aumento di figure preposte a tali funzioni, che si deve far carico di una responsabilità non indifferente, sempre più spesso decisiva nelle sorti dell’impresa.
CISO, chi è e cosa fa
Il Chief Information Security Officer è, come dice il nome, il responsabile della sicurezza delle informazioni, e all’interno dell’organizzazione ha il compito di definire strategie e tattiche mirate a mantenere i dati al sicuro, riducendo al minimo l’esposizione agli attacchi informatici.
Da una lato, il CISO deve possedere capacità tecniche e di analisi che gli permettano di comprendere l’intero ecosistema di cui è responsabile, riconoscere le evoluzioni del cyber crime, creare politiche, processi e sistemi in grado di sopportare possibili Data Breach e scongiurare eventuali Data Leak.
Dall’altro, deve essere dotato di spiccate capacità comunicative e relazionali, in modo da poter trasferire alla dirigenza e al suo team le sue idee e considerazioni in modo efficace.
L’importanza della formazione
Parte importante della strategia di protezione dell’azienda è data dalla formazione del personale.
Ogni figura dovrebbe essere informata delle proprie responsabilità in tema di sicurezza, e preparata ad agire nel modo più appropriato, in modo da non ampliare il margine di rischio.
La formazione dovrà essere destinata non solo a dipendenti e manager aziendali, ma anche a figure esterne come fornitori e partner.
I casi di attacchi informatici come quello subito da SolarWinds nel 2020, fornitore di servizi di gestione IT (anche) del governo americano, hanno evidenziato l’importanza della gestione del rischio di sicurezza informatica di terze parti.
Programmi su misura
La formazione del personale interno ed esterno all’azienda si pone sempre il massimo obiettivo: la massima efficacia.
Alcune delle domande che un CISO si pone in fase di analisi della strategia formativa, possono essere:
- Come diversifichiamo l’offerta formativa in base ai ruoli?
- Quali sono le informazioni necessarie alle varie figure aziendali?
- Che tipo di strumenti e supporti funzionano meglio con i dipendenti?
In base alla nostra esperienza non basta distribuire dei rapporti o delle check-list da seguire, il personale deve essere informato sì, ma soprattutto coinvolto, preparato e messo alla prova costantemente.
Sono disponibili ottime piattaforme di “addestramento esperienziale” che operano sulle principali vulnerabilità interne, aumentando la preparazione e la resistenza del personale coinvolto.
Per fornitori e partner possono essere creati dei questionari ad hoc, chiedendo in che modo gestiscono dati e password (ad esempio), e seguendoli nella messa in sicurezza qualora ce ne fosse bisogno.
Professionisti capaci e fedeli
Incoraggiare il proprio staff a raggiungere degli obiettivi chiari, attraverso una formazione ben progettata, rende certamente il percorso formativo più stimolante e appagante, e in più rende il team maggiormente integrato nelle dinamiche dell’azienda, e di conseguenza più propenso ad esserle fedele nel tempo.
E sappiamo quanto sia diventato difficile reperire e trattenere i bravi professionisti.
La formazione fa la differenza
È evidente che una buona formazione sulla cyber security, su base periodica, è diventata sempre più importante e non è più possibile rimandarla.
Tutte le aziende, da quelle grandi alle medie e piccole, devono adottare misure per proteggere i propri dati e garantire la propria sicurezza come quella dei propri dipendenti e clienti.
Non farlo potrebbe avere conseguenze disastrose.