Punti chiave
Quante informazioni, password, accessi e conoscenze ha un collaboratore fidato dopo anni di lavoro insieme? E che danni potrebbe provocare alla vostra azienda se per un licenziamento o l’incrinarsi dei rapporti, decidesse di usare tutto quello che sa contro la vostra azienda per vendetta?
Per quanto ci si possa illudere di avere tutto sotto controllo e di avere a che fare con gente onesta non รจ possibile non considerare la variabile della vendetta, che in un contesto lavorativo puรฒ essere espressa in tanti modi. Il piรน pericoloso รจ senza dubbio quello della vulnerabilitร di sistema e di sfruttamento delle falle nello stesso, facilmente utilizzabili da coloro che lo conoscono e che in passato ne hanno avuto accesso.
Per i dirigenti che si possono trovare in questa situazione, esiste una strategia di risposta elaborata dallโesperto statunitense William Evanina, che ha collaborato con l’FBI.
Approcciare questo tema con la giusta serietร , non concentrando in un solo reparto le responsabilitร della sicurezza ma creando un network di risorse in grado di collaborare per far sรฌ che nulla metta in pericolo lโazienda ed il suo lavoro.
Costruisci una squadra per elaborare la strategia migliore
La sicurezza informatica รจ tra le basi del corretto funzionamento di qualsiasi societร , soprattutto in tempi in cui anche una stampante in linea, se dotata di una porta di accesso alla rete, puรฒ trasformarsi in una falla da eliminare. Per prima cosa, sono cosรฌ tante le possibili minacce al sistema aziendale che risulta controproducente dare la responsabilitร della protezione dello stesso ad una sola persona, incaricata di risolvere la questione.
E’ necessario piuttosto dare vita ad una squadra โinterdisciplinareโ: รจ il gruppo delle risorse umane e le autoritร specializzate in questo tipo di crimini che si rivelano essere la soluzione migliore. Quando un attacco รจ in corso, la velocitร รจ la base del successo nel difendere e solo un network di specialisti ben preparato sarร in grado di affrontare il problema con velocitร ed il massimo della pulizia.
Una buona squadra potrebbe essere composta dal responsabile IT, da un manager, dai collaboratori piรน stretti del licenziato e da un esperto di sicurezza informatica, magari assunto per il caso.
Create una squadra di 5/6 persone, non di piรน.
Stabilisci che cosa bisogna proteggere
Quando si ha a che fare con informazioni aziendali importanti, definiteย Critical Business Information (CBI), per essere certi di fare un ottimo lavoro non si deve pensare di difendere โdatiโ o โprocessiโ, ma considerare gli stessi come โpersoneโ. In fin dei conti รจ proprio ciรฒ che accade: quando si protegge unโazienda in realtร ci si prende cura del potenziale cliente finale che utilizzerร quello specifico prodotto.
Un concetto valido per qualsiasi tipo di produzione e qualsiasi tipologia di approccio difensivo che deve far parte della routine aziendale.ย Un buon ragionamento potrebbe essere: “Dobbiamo proteggere il nostro amministratore delegato e la privacy dei suoi familiari, il dirigente che ha assunto l’ex collaboratore e i nostri fornitori con cui il licenziato era in contatto”.
In questo modo capire automaticamente che cosa dovete proteggere: il pc dell’amministratore, il suo smartphone, gli account social della famiglia. E ancora: ilย conto Paypal del dirigente e il tablet dove sono registrate le consegne dei fornitori”. Pensare al “Chi”, vi aiuterร a capire immediatamente “Cosa” dovete difendere.
Identifica dove si trovano i dispositivi a rischio
Proteggere le informazioni riservate in una azienda significa non solo conoscerne il funzionamento e la struttura ma anche lโesatta posizione, virtuale e fisica, all’interno del proprio sistema. Questo consente di poter approcciare qualsiasi problema con maggiore facilitร anche se, รจ doveroso sottolineare, spesso il processo รจ molto piรน difficile quando ad essere presa in considerazione รจ una grande societร con molte sedi rispetto ad unโazienda piรน piccola.
In ogni caso tale conoscenza รจ basilare per capire quanto e come le proprie informazioni siano esposte al pericolo: basta un piccolo errore e documenti di vitale importanza possono essere disponibili alla consultazione di personale non autorizzato a visionarli.
La protezione passa in questo caso anche attraverso una collaborazione molto stretta tra il team che si occupa della sicurezza virtuale della risorsa e la squadra di lavoro adibita alla protezione fisica della struttura: non si puรฒ escludere che un dipendente deluso possa trovare il modo di mettere a repentaglio la sicurezza dell’azienda attraverso una filiale vicina a dove abita.
Una volta che avrete una squadra di esperti, consapevoli di chi bisogna proteggere, di cosa bisogna difendere e di dove si trovano i terminali da mettere in sicurezza, sarete nelle condizioni di reagire adeguatamente e di passare all’atto pratico. Cambio delle password, dei conti correnti, degli accessi a gestionali e archivi.
Accorgersi prima di un dipendente potenzialmente pericoloso
Ovviamente, la prevenzione รจ l’arma migliore. Proteggere le informazioni aziendali in generale, รจ palese, รจ un lavoro che deve essere portato avanti in squadra, attraverso la messa a punto di un network importante in grado di funzionare in modo adeguato. Questo perchรฉ non si ha mai la certezza della tipologia di problema che si potrร affrontare. Si รจ fatto lโesempio del collaboratore licenziato e scontento che potrebbe tentare di rivalersi sullโazienda sfruttandone le falle.
In questo caso qualsiasi dispositivo in linea e qualsiasi uso dei computer aziendali differente da quelli stabiliti dai protocolli puรฒ inficiare lโintero sistema, mettendolo alla mercรฉ di malintenzionati e di gravi perdite. Comprendere quali possano essere le risorse umane delle quali fidarsi e quelle delle quali avere paura non รจ semplice.
La chiave per anticipare il problema sta nell’avere il controllo delle informazioni: queste devono essereย gestite secondo la legge e da risorse umane non solo in grado di lavorare virtualmente in maniera eticaย ma che siano affidabili in termini di mantenimento degli alti standard di sicurezza.
Per questo motivo, per mantenere alta la protezione di informazioni sensibili, iniziare con una selezione scrupolosa del personale diventa basilare.
Lo stesso deve essere preparato, sapere come agire ed essere motivato al punto giusto: il coinvolgimento nella sicurezza deve essere vissuto come personale e nessuna capacitร mai essere data per scontata.
Devono essere messe a punto delle regole pratiche, che diano la possibilitร ai reparti dedicati dellโazienda di verificare periodicamente non solo che la preparazione dei propri dipendenti sia adeguata, ma anche che il loro comportamento rimanga ideale e costante nel tempo. Qualsiasi condotta sospetta (ad esempio un cambio di password improvviso e non giustificato da parte di un dipendente) deve poter essere scoperta e approcciata nell’immediato con il supporto di mezzi adeguati.
La dirigenza dell’azienda dovrebbe prevedere degli standard ben precisi da rispettare per poter lavorare con informazioni di tale importanza che possano essere applicati non solo sulla condotta lavorativa del personale che lavora in sede, ma anche dei dipendenti che operano in filiali.
Se il problema sicurezza viene affrontato in maniera errata da parte dei responsabili interni i protocolli rischiano di saltare, le risorse ad esse dedicate potrebbero non funzionare al 100% nel loro ruolo ed in generale si potrebbe arrivare non solo una perdita di dati ma anche alla potenziale effrazione di leggi a propria insaputa.
Un programma โdifensivoโ di qualitร , basato su un network di risorse ben strutturate puรฒ fare la differenza, portando ad un funzionamento migliore dellโazienda.
