HR e cybersecurity: il ruolo delle risorse umane nella sicurezza informatica

pittogramma Zerouno

TechTarget Technology HowTo

HR e cybersecurity: il ruolo delle risorse umane nella sicurezza informatica

Le HR devono considerare la sicurezza durante tutto l’Employee Lifecycle Management, tenendo conto anche delle politiche sulla privacy dei dati. Dall’assunzione, all’inserimento dei dipendenti fino alla chiusura del rapporto, Safety, Security e Cybersecurity richiedono programmi più coinvolgenti e dedicati

27 Set 2022

di Laura Zanotti - Fonte TechTarget

HR e cybersecurity come tassello strategico di una buona governance.

Mentre i CISO e i team di sicurezza sono responsabili della creazione delle politiche di sicurezza, le risorse umane sono responsabili della loro applicazione in tutta l’organizzazione.

Cybersecurity ed Employee Lifecycle Management

Le Hr sono responsabili della sicurezza informatica per tre motivi principali:

  1. Assicurare il worklife balance del dipendente, occupandosi di presidiare e garantire la sua salute e la sua sicurezza
  2. Proteggere i dati personali dei dipendenti: indirizzo, numero di cellulare o di casa, dettagli bancari, numero di previdenza sociale e via dicendo.
  3. Garantire che ogni dipendente assunto, indipendentemente dal dipartimento o dal ruolo, rappresenti una bassa minaccia per la sicurezza informatica dell’organizzazione. Ciò include lo svolgimento della due diligence e la garanzia che i dipendenti ricevano un’adeguata formazione sulla sicurezza durante l’onboarding.

HR e cybersecurity: i punti di attenzione

L’interdipendenza tra HR e cybersecurity è più stretta di quanto si posa immaginare. Presidiare gli ambienti fisici e digitali in cui le persone lavorano e si muovono implica una visione molto ampia dei rischi, delle procedure e di una serie di garanzie.

WHITEPAPER
Trend e prospettive future nel mercato del log management
Sicurezza
Cybersecurity

#1 Presidiare le procedure

La gestione del ciclo di vita dei processi occupazionali è parte integrante della sicurezza di dipendenti e collaboratori aziendali. Alcune delle procedure che dovrebbero essere gestite per garantire la sicurezza del personale includono:

  1. Procedure di screening dell’occupazione: prima di assumere dipendenti, un’organizzazione deve disporre di procedure di assunzione che garantiscono che i membri del personale assunto siano adatti ai ruoli che ricopriranno nell’organizzazione. Queste procedure solitamente includono screening dei farmaci, controlli del credito e requisiti di autorizzazione di sicurezza.
  2. Politiche e accordi occupazionali: per garantire la sicurezza del personale e di un’organizzazione dalle minacce provenienti dai dipendenti, a seconda della tipologia di business, prima di assumerli un’organizzazione deve assicurarsi che firmino i seguenti documenti: accordi di non divulgazione (NDA), accordi etici, codice di condurre politiche e politiche sui conflitti di interesse e via dicendo. Questi documenti garantiscono che i dipendenti seguano il comportamento previsto e aiutano a proteggere le risorse informative all’interno di un’organizzazione.
  3. Procedure di cessazione del rapporto di lavoro: si tratta di procedure di sicurezza seguite quando un dipendente viene licenziato o viene risolto il suo contratto. Queste procedure comprendono azioni come il completamento di un colloquio di uscita, la revisione dell’NDA, la revoca dei badge identificativi (ID) dell’azienda, la restituzione delle chiavi aziendali e di qualsiasi altra risorsa aziendale, la disabilitazione degli account utente, la modifica delle password e l’accompagnamento dell’individuo fuori dai locali.

#2 Pratiche di assunzione rigorose

HR e cybersecurity sono strettamente relazionati in fase di onboarding. Nel processo di assunzione i responsabili delle risorse umane per sicurezza dovrebbero controllare i precedenti di ogni nuovo membro del personale. Un utente malintenzionato, infatti, può farsi assumere per ottenere all’interno un accesso a sistemi e dati. Le HR devono lavorare con i CISO, investendo tempo e risorse nell’esecuzione di controlli in background e analisi comportamentali. Questa è un’importante misura di sicurezza che aiuta un’azienda a salvaguardare i propri sistemi. I controlli in background possono essere costosi e un’organizzazione potrebbe non disporre delle risorse per eseguirli in modo efficace. In questo caso, è consigliabile esternalizzare questi servizi a società di sicurezza professionali che possono condurre efficaci controlli in background per rivelare più informazioni di quelle che il dipartimento delle risorse umane può accedere. I controlli in background possono essere eseguiti non solo sui dipendenti, ma anche sui partner commerciali e sui fornitori. Prima di assumere un fornitore o di esternalizzare un lavoro che potrebbe richiedere la concessione dell’accesso ai sistemi, un’organizzazione deve eseguire controlli in background per garantire l’integrità dei partner commerciali o dei fornitori.

#3 Presidiare la gestione di fornitori, appaltatori e consulenti

Sicurezza fisica e sicurezza logica vanno monitorate e controllate anche nel caso delle terze parti come fornitori, appaltatori e consulenti. Ci sono alcune procedure che dovrebbero guidare le loro visite alle strutture organizzative ed altre che riguardano la gestione delle politiche di accesso. Ecco una lista di cose da tenere a mente:

  • Accompagnare i visitatori mentre si trovano all’interno dei locali dell’organizzazione.
  • Verificare le loro identità e garantire che siano in atto adeguati meccanismi di controllo degli accessi.
  • Verifica delle licenze dei visitatori e altre forme di identificazione che potrebbero avere.
  • Chiedere ai visitatori di completare un foglio di accesso e di disconnettersi quando lasciano le strutture.
  • Rilasciare ai visitatori un badge nominativo e richiedere loro di portare sempre con sé questi badge mentre si trovano all’interno dei locali.
  • Assicurarsi che siano in atto accordi appropriati con questi visitatori.
  • Garantire che firmino accordi di non divulgazione.
  • Garantire che questi visitatori siano adeguatamente controllati prima di coinvolgerli su base contrattuale.
  • Stabilire una gestione degli accessi circoscrivendo le informazioni e i sistemi.
  • Assicurarsi di togliere gli accessi alle terze parti non appena sia terminato l’accordo.
  • Avvisare le persone in tempo utile che gli si stanno inibendo gli accessi anche per capire se ci sono ritardi nell’erogazione del servizio concordato a contratto e predisporre le opportune estensioni delle attività.

Tante le interdipendenze tra HR e cybersecurity

Le risorse umane svolgono un ruolo cruciale nella formazione e nel coinvolgimento dei dipendenti. HR e cybersecurity hanno una relazione stretta nell’ambito di tutti i programmi di sensibilizzazione come, ad esempio, le regole per una buona gestione delle password. dipendenti dovrebbero essere istruiti sulla necessità di utilizzare password complesse per i loro sistemi informatici. Inoltre, dovrebbero essere dissuasi dall’utilizzare la stessa password che utilizzano sui dispositivi personali e sugli account online per salvaguardare i beni aziendali. Gli aggressori che si concentrano su un dipendente hackeranno account più semplici per determinare una password utilizzata altrove e proveranno la stessa password, poiché molti dipendenti preferiscono password facili che hanno utilizzato nel corso degli anni. Queste abitudini dovrebbero essere scoraggiate poiché mettono a rischio enorme un’azienda. L’MFA è una delle soluzioni che possono essere utilizzate per migliorare la sicurezza delle password.

Protezione dell’accesso a Internet

Le aziende possono aiutare a proteggere i propri computer dall’accesso a determinati siti e quindi tenere sotto controllo i propri dipendenti. HR e cybersecurity convergono nel momento in cui è necessario collaborare con i CISO per impostare i criteri di profilazione dei gruppi per impostare i dettagli di configurazione dei computer aziendali e l’abilitazione e prioritizzazione degli accessi necessari per il lavoro di un dipendente. L’accesso a determinati file aziendali dovrebbe essere limitato tra i dipendenti e dovrebbe essere consentito solo in caso di necessità.

La cultura dei log

I data log delle operazioni del personale interno sono un’importante fonte informativa che può essere utilizzata per eseguire indagini finalizzate al rilevamento di attività anomale della rete, specie quella locale (LAN). Recenti indagini sulle violazioni dei privilegi dimostrano che gli insider, rispetto agli hacker esterni, spesso non tentano nemmeno di coprire le proprie tracce poiché non pensano di essere scoperti. Gli esperti segnalano anche che la registrazione dei dati tra controller non di dominio come i server New Technology (NT)/Windows 2000 (Win2K) è spesso disabilitata a causa di un’impostazione predefinita, rendendo tutto molto complicato in fase di indagine a causa dell’insufficienza del logging sulle LAN interne. Invece è molto importante abilitare questi log e condividere con il personale questa policy di sicurezza.

Rifocalizzare strategie e strumenti perimetrali

Nella maggior parte delle strategie di sicurezza aziendali, l’attenzione si concentra sugli attacchi basati su Internet e sull’allontanamento degli aggressori. Gli strumenti perimetrali per tenere lontani gli aggressori esterni sono molto validi. Non è lo stesso per i sistemi interni. Rifocalizzando le strategie del muro perimetrale verso i meccanismi interni, è possibile elevare la sicurezza e scongiurare le minacce interne. Tra le correlazioni tra HR e cybersecurity i responsabili delle risorse umane devono progettare e pianificare insieme ai CISO attività di formazione che insegnino agli utenti interni l’importanza della gestione delle patch per proteggere la posta elettronica e i server. Le HR possono aiutare i CISO anche a preparare delle survey interne utili a mappare i server critici utilizzati dai dipendenti. In questo modo è possibile determinare eventuali punti deboli che possono essere sfruttati dal personale interno e adottare le misure necessarie per salvaguardare i sistemi dallo sfruttamento delle vulnerabilità.

Monitoraggio e azioni restrittive

Oltre ad avere politiche di sicurezza condivise con i dipendenti, molte aziende utilizzano videocamere e sistemi di registrazione delle sequenze di tasti come meccanismi di monitoraggio aggiuntivi. In alcuni casi questi sistemi possono essere illegali perché considerati un’invasione della privacy. La società può essere citata in giudizio e subire danni reputazionali e finanziari se trovata in violazione delle leggi sulla privacy ecco perché le HR vengono chiamate a presidiare anche questi aspetti. I filtri dei contenuti Web possono essere utilizzati per monitorare e limitare l’accesso dei dipendenti a siti Web della concorrenza, contenuti pornografici e siti a cui un dipendente può accedere per l’hacking. Nella relazione tra HR e cybersecurity sono sempre i responsabili delle risorse umane a informare i propri dipendenti di tutti i meccanismi utilizzati per monitorarli in modo che i dipendenti possano accettare consapevolmente monitoraggio o azioni restrittive all’interno del loro ambiente di lavoro.

Attenzione crescente alla privacy

Nel mondo sempre più Paesi stanno implementando normative sulla privacy che stabiliscono linee guida rigorose su come le organizzazioni raccolgono e utilizzano i dati delle persone come, ad esempio, il Regolamento generale sulla protezione dei dati dell’UE (GDPR), il California Consumer Privacy Act, il Biometric Information Privacy Act dell’Illinois e il NYSDFS Part 500, tra numerosi altri. La responsabilità per la gestione della conformità alle normative sulla privacy richiede un lavoro congiunto tra HR e responsabili della cybersecurity. Le HR, infatti, insieme all’IT sviluppano programmi di formazione sulla regolamentazione della privacy per i dipendenti e per i fornitori di terze parti che interagiscono con i dati dell’organizzazione.

Z

Laura Zanotti - Fonte TechTarget

Giornalista

Ha iniziato a lavorare come technical writer e giornalista negli anni '80, collaborando con tutte le nascenti riviste di informatica e Telco. In oltre 30 anni di attività ha intervistato centinaia di Cio, Ceo e manager, raccontando le innovazioni, i problemi e le strategie vincenti delle imprese nazionali e multinazionali alle prese con la progressiva convergenza tra mondo analogico e digitale. E ancora oggi continua a farlo...

Argomenti trattati

Approfondimenti

H
hacker

Articolo 1 di 4