Consapevolezza dei valori e la sicurezza in azienda

Tutti noi (o quasi) lo facciamo, e per lo più senza rendercene conto.

Di che cosa parliamo?

Del dare un valore alle cose.

Avete mai pensato a quante volte al giorno diamo un valore alle cose che ci circondano?
Pensiamo alla forza della concorrenza, le capacità professionali di un collega, le potenzialità di un nuovo software o persino l’abbigliamento degli altri?

Il lunedì diamo i voti alla nostra squadra del cuore, cambiamo piano telefonico (perché il valore del servizio dei competitor è migliore); persino dopo una cena con gli amici lasciamo le recensioni su TripAdvisor e al termine di una una vacanza lasciamo un commento sul sito web del nostro hotel.

E non è finita.

Passiamo ore sui social network a distribuire “like” e cuoricini, a condividere contenuti… tutti modi più o meno moderni o superficiali di dare un valore alle cose che facciamo e che amiamo fare.

Prendiamo carta e penna. Di primo acchito scrivete quali sono cinque capisaldi in cui la vostra azienda crede. Scrivete quali sono i valori in cui l’azienda regolarmente investe tempo, denaro e risorse.

Ecco, siamo certi di indovinare almeno alcuni:

• il personale
• i prodotti o servizi di qualità
• la ricerca di materie prime
• un’immagine impeccabile
• investimenti sicuri e etici
• stakeholder affidabili
• certificazioni internazionali
•  i marchi e i brevetti.

Abbiamo indovinato?

Per esperienza maturata quotidianamente nelle aziende, possiamo confermare che la consapevolezza dei capisaldi di una azienda si concentrano per lo più tra quelli sopra elencati;

Ma a proposito di valori, come contestualizzare il nostro preambolo con quello che è l’obiettivo del blog Cyberment?

Facciamo una breve premessa.
La stragrande maggioranza delle imprese non individua nel dato digitale un patrimonio da gestire, difendere e proteggere alla stregua di un cumulo di denaro o di un gruppo di persone. I dati sono impercettibili, volatili e difficilmente riusciamo a dare loro un peso.

Eppure, il numero di aziende cui vengono sottratti ogni anno decine e centinaia di GB di dati, cresce costantemente. E parallelamente, crescono anche le somme di denaro spese da queste società per riappropriarsene.

Oggi, le aziende iniziano a comprendere quali sono i problemi della sicurezza informatica, in particolar modo durante questo delicato periodo. Anche se, dobbiamo dirlo, siamo ancora lontani dall’obiettivo.

Letteralmente, con il termine consapevolezza dei rischi, facciamo riferimento alla capacità di essere a conoscenza di ciò che viene percepito e delle proprie risposte comportamentali.

Per contestualizzare i termini di consapevolezza e sicurezza informatica vi diremo che oggi parlare di cyber security è complesso.

Questo accade perché, il vero problema del nostro interlocutore è proprio prendere coscienza del valore che il patrimonio digitale rappresenta.

Ma perché?

• Perché al parco macchine aziendali viene dedicata costante attenzione e le vetture sono regolarmente revisionate?
• Perché il logo di una azienda è sottoposto a restyling?
• Perché si investe in formazione permanente per i dipendenti?
• Perché si scelgono materie prime innovative e con elevati standard di qualità?

E dunque,

Tra le principali cause che portano l’imprenditore a sottovalutare il problema della sicurezza informatica in azienda annotiamo sicuramente la mancanza di organizzazione e di conoscenze in materia informatica. Questo in particolare per le imprese più piccole, quelle che non sempre hanno un tecnico informatico in organigramma.

Parliamo invece delle società strutturate, le cosiddette “grandi aziende” che rappresentano un punto di riferimento per le PMI.
Molte tra loro possiedono un intero reparto IT interno ma che ahimè non sempre svolge un lavoro ordinato e strutturato come dovrebbe ma non per colpa, quanto più per mancanza di solide basi cyber security.

Pensiamo sempre all’IT manager o al tecnico informatico in azienda, come all’uomo che viene chiamato in ufficio perché il computer di un impiegato amministrativo non funziona, o che viene sollecitato dall’amministratore per installare un videogioco sul computer del figlio, fino al dover fronteggiare un attacco informatico in pieno weekend.

Parliamo di figure che vengono impiegate in azienda per le più svariate mansioni tecnologiche e come spesso accade, non resta tempo o alcuna risorsa da spendere nella messa in sicurezza dei sistemi.

A questo punto mi piace potere riprendere un concetto che meglio spiega il mio pensiero: il ruolo dell’ipengiofobia.

Probabilmente, la maggior parte dei lettori non ha idea di cosa si tratti ma il solo fatto che contenga l’affisso “fobia” fa venire in mente la paura di un qualcosa.

Tal Katz-Navon è una professoressa israeliana che si occupa di studi sul comportamento organizzativo presso la Arison School of Business del Centro Interdisciplinare (IDC) Herzliya.

La Prof.ssa Tal Katz-Navon studia i modelli organizzativi, la motivazione dei dipendenti, i processi di apprendimento, l’autonomia e addirittura il tono della voce, che mirano a migliorare i dipendenti e le prestazioni organizzative degli stessi.
In un suo studio, analizzò il livello di dettaglio delle regole di 47 dipartimenti sanitari di diversi ospedali israeliani con l’obiettivo di mettere in relazione il numero e il dettaglio delle regole con il numero e la gravità degli incidenti. Il risultato, in parte inaspettato, fu che nei dipartimenti con poche regole era stata rilevata una media di 13 incidenti all’anno, media che cresceva parallelamente al numero di regole a cui il personale doveva attenersi in ogni struttura oggetto dell’indagine.

La particolarità che emerse dallo studio, fu che la relazione tra regole ed incidenti non era lineare bensì curvilinea con una tendenza esponenziale.
L’ipengiofobia rappresenta pertanto la paura delle regole; troppe regole finiscono per immobilizzare la capacità decisionale delle persone.

Le regole producono certezze. Troppe regole producono incertezze.

Quando ci sono troppe regole, le persone cominciano ad aver paura di infrangerle.
Cogito ergo sum, LE PERSONE SMETTONO DI PENSARE.

Valutare e gestire il rischio cyber security (ovvero diminuire la probabilità che l’errore umano possa compromettere la sicurezza del sistema informatico) rappresenta un’attività cardine per l’azienda.

Si tratta di un’attività che si realizza introducendo controlli sui processi e standard di comportamento (policy, regole di condotta) per le persone ed i sistemi.

Parliamoci chiaro, ipotizzare e sostenere che regole comportamentali possano realizzare un sistema informatico perfetto è un azzardo. Non è mai esistito e non esisterà ancora per molto un sistema infallibile, nel quale i rischi sono azzerati.

Il principio previsto dall’art. 25 del GDPR – protezione dei dati fin dalla progettazione e protezione per impostazione predefinita – è in parte uno strumento di lavoro nuovo e la bibliografia di riferimento è ancora troppo scarna e soprattutto per lo più priva di esempi applicati ed affidabili.

Il controllo totale delle persone e dei processi finirebbe per annientare le persone e l’organizzazione, motivo per cui risulta fondamentale tracciare un percorso che rispecchi fin dalla sua progettazione quella che sarà la sua operatività.

Le imprese e gli imprenditori sono confrontati quotidianamente con tutta una serie di fattori interni (gestione del personale, organizzazione del lavoro e dei processi, gestione degli imprevisti, …) ed esterni (crisi economico-finanziarie, concorrenza, aumento dei costi delle materie prime, …) e non sempre le tematiche inerenti la sicurezza cibernetica hanno la massima priorità.

Probabilmente, anche perché ci si accorge della trascuratezza solo quando “il danno è fatto” e nella maggior parte delle situazioni non più rimediabile.

Solo allora l’azienda percepisce quali elementi sono in gioco e quali valori sono esposti al pericolo (consapevolezza dei valori).

Un test di vulnerabilità della rete informatica è la soluzione ai mali sopra descritti, è la cosiddetta ricetta della torta della nonna, il viatico a tanti mali che riporta la serenità operativa all’interno dell’azienda.

La consapevolezza dei valori generata da un problema alla rete informatica genera incertezze (vedi sopra) e il test di vulnerabilità è come l’occhio del grande fratello che tutto vede e tutto tiene sotto controllo, ma senza essere mai invasivo nelle attività lavorative quotidiane.

La necessità di avere una “entità di controllo” della rete informatica diventa una condizione sine qua non per garantire l’operatività dei processi, attività che si rende applicabile solo quando ho messo in essere una serie di controlli sui processi e sugli standard di controllo (sia per le persone che per i sistemi).

I test di vulnerabilità di Cyberment forniscono la reportistica mensile delle attività di sorveglianza e scansione con delle indicazioni precise sul come porre rimedio alle falle.
Nelle mani di un vostro tecnico informatico, questi documenti sono delle vere e proprie stelle guida: contengono il problema e la relativa soluzione per ristabilire correttamente la completa sicurezza del sistema informatico.

Il test offre non solo una certificazione dei processi ma anche una importante attività di monitoring sull’efficacia delle misure correttive messe in atto.

Il test di vulnerabilità non è una regola che appesantisce la responsabilità ed i compiti a cui un dipendente deve dedicarsi e rendere atto con le conseguenze che abbiamo visto, ma un valido sostegno alle attività lavorative.

Un sistema di verifica e di controllo che opera in background ed in grado di rilevare anche la più piccola configurazione errata: come una password desueta che non rispecchi i parametri aziendali o una rete Wi-Fi senza protezione. Tutti elementi a rischio.

Uno dei grandi vantaggi che il test di vulnerabilità offre è l’“effetto drone”, un sistema di controllo sopra le righe.

Quando la consapevolezza dei valori di un imprenditore verso il proprio patrimonio digitale raggiunge massimi livelli, il test di vulnerabilità informatica rappresenta la soluzione che tiene monitorato quanto è già stato fatto in termini di sicurezza.

Articolo di:

• DPO certificato UNI:11697 e professionista certificato CSF NIST
• Lead auditor ISO 27001, 27701, 22301

Visita il profilo Linkedin