Proteggere le informazioni aziendali è un problema. Ogni giorno il cybercrime cerca di appropriarsi dei dati sensibili delle organizzazioni per scopi malevoli. Chi lavora nell’ambito della sicurezza sa quanto sia stressante in questo ambito: in primo luogo per le responsabilità che si hanno nei confronti dell’azienda e, in secondo luogo, perché si ha di fronte un nemico imprevedibile e tecnologicamente avanzato.
Gli esperti suggeriscono ai CISO di potenziare il gioco di squadra, coinvolgendo tutti i vari team che lavorano sul fronte della sicurezza per condividere tutto quello che è stato fatto per proteggere l’azienda. Conoscere le misure difensive che hanno bloccato sul nascere un attacco, ad esempio, li gratificherà del lavoro eseguito, mitigando quel senso di impotenza e negatività legato al dover contrastare ogni giorno sempre nuove minacce
La sicurezza è la risultante di un gioco di squadra intelligente
La sicurezza informatica, per sua natura, si basa su azioni difensive. La aziende sono soggette a un continuo fuoco di attacchi da parte di hacker davvero molto preparati. Per i professionisti della sicurezza bloccare nuovi attacchi è una sfida continua e le misure precauzionali, che consistono nel monitoraggio e nel predisporre rimedi in caso di attacco, possono sembrare banali e poco costruttive.
Contrastare gli attacchi è un compito gravoso e in gioco non c’è solo la competenza tecnologica ma anche una questione di vera e propria empatia verso soluzioni tecnologiche che cambiano di continuo. I sistemi sono tanti, diversi e sempre più complessi e fare in modo di integrare soluzioni funzionali e non ridondate non è un compito facile. La natura complessa delle attività legate alla sicurezza delle informazioni è anche ciò che rende questa professione estremamente eccitante. Sempre e in ogni caso, sottolineano gli esperti, il livello di passione che il personale addetto mette nelle operazioni necessarie a implementare una strategia di successo per la sicurezza dei dati aziendali è un riflesso di quanto il leader del team riesce a trasmettere ai suoi dipendenti.
Smart working nella sicurezza: 3 cose da sapere
Si parla sempre più spesso di smart working, ma l’intelligenza nel modo di lavorare dipende prima di tutto dalla qualità delle relazioni. Ci sono tre aree che possono essere utilizzate per motivare il personale addetto alla sicurezza delle informazioni e creare così un ambiente di lavoro positivo, funzionale, efficace ed efficiente: dare il buon esempio, formare il personale e riconoscere i meriti di ciascun componente del team.
1) Dare il buon esempio
Date il buon esempio e ispirate il personale con la vostra passione. Comunicate anche al vostro team il vostro interesse e la vostra motivazione nei confronti della sicurezza informatica. Insegnate al vostro personale che svolgere un ruolo determinante per la sicurezza anche dei colleghi di altri reparti porta tanta soddisfazione, indipendentemente dal fatto che il resto dell’azienda sia o meno a conoscenza del vostro contributo. Il personale che possiede una salda etica professionale e un legame profondo con l’azienda è un valore strategico. La soddisfazione personale nello svolgere il proprio lavoro spesso ha un significato intrinseco, spesso superiore anche a un aumento di stipendio.
2) Fare formazione continua
Investire nella formazione è un altro valore strategico. Migliorare la conoscenza del personale con cui lavorare, fornendo una formazione continua sulla sicurezza informatica, porta qualità e innalza i livelli di presidio. Le fonti per la formazione dovrebbero includere i programmi di sicurezza offerti da associazioni di settore o aziende quali ISACA (Information Systems Audit and Control Association), ISSA (Information System Security Association) o OWSAP (Open Web Application Security Project). Inoltre bisogna:
- programmare sessioni di training, assegnando progetti speciali per sviluppare o aggiornare le politiche interne di sicurezza, programmare meeting per le sensibilizzazione alla sicurezza con gli altri dipendenti aziendali, facendo tenere questi corsi al personale del team addetto alla sicurezza
- dare rilievo alle operazioni di monitoraggio degli incidenti, di reporting e quelle che concernono la riparazione di vulnerabilità scovate
- Controllare i test di conformità
- fare prove per capire se acquistare o meno un nuovo prodotto sono altre attività che devono essere fatte dal team di sicurezza e aiuteranno nella loro motivazione
- acquisire le certificazioni CISSP (Certified Information Systems Security Professional) CISM (Certify in Info Security Management) CEH (Certified Ethical Hacker) e CIS (Certified Information Systems Auditor). Ci sono anche i corsi di certificazione offerti dal SANS Istitute (SysAdmin, Audit, Networking, and Security), una organizzazione dedita a fornire formazione informatica e addestramento in materia di sicurezza informatica dal 1989. Questi corsi sono però molto costosi, e nel budget da predisporre dovrete tenere conto anche di viaggio e alloggio per i vostri dipendenti (i corsi si tengono in varie località durante l’anno, come Amsterdam, Londra , Abu Dabi e via dicendo) che però se dovessero essere iscritti vedrebbero accrescere la loro motivazione e la loro fedeltà all’azienda
3) Riconoscere pubblicamente i meriti
Chiunque lavora vorrebbe avere un riconoscimento per quanto realizza. Questo genera orgoglio e maggiore coesione tra i membri del team. Come si fa? Ad esempio sviluppando una specialità per ciascuno dei membri, facendoli diventare esperti in materia, il che accresce la sicurezza dei dipendenti rispetto alle proprie competenze e capacità. Un altro sistema è di riconoscere pubblicamente, attraverso newsletter o durante riunioni con i dirigenti di alto livello, le persone e il ruolo svolto. È possibile indicare il nome e cognome del dipendente che si è particolarmente distinto, oppure permettergli di partecipare a progetti, dando credito a quelli che stava seguendo direttamente. Molte volte il responsabile della sicurezza (CISO) avrà tutta la gloria, ma riceverà anche tutta la colpa in caso di problemi. I membri del personale hanno bisogno di credere che il CISO è lì per costruire, proteggere e difendere i loro sforzi. Favorendo questo tipo di approccio si potrà avere personale disposto a essere estremamente più collaborativo e proattivo, il che permetterà addirittura di superare le aspettative.
