Protezione dati: attenzione ai dipendenti
Uno studio mostra come quasi la metà dei data breach sia causato dai dipendenti. E dal poco investimento nella formazione.
Un report di Intel Security ha indicato che circa il 40% degli attacchi in cui vengono esposti i dati sono causati da impiegati e dipendenti. Il dato è piuttosto allarmante, dal momento che rivela una grossa falla di natura umana nel sistema di protezione dati delle aziende: in un contesto dove strumenti di sicurezza e mezzi d’attacco sono in continua evoluzione per avere la meglio l’uno sull’altro, uno dei principali fattori risulta invece essere e legato a chi utilizza tali strumenti e che, apparentemente, manca delle dovute competenze.
Sull’argomento, che verrà trattato anche nel prossimo Privacy Day Forum, si è espresso anche il presidente di Federprivacy, Nicola Bernardi, il quale ha sottolineato come le aziende dedichino, erroneamente, grandi somme all’acquisto di sistemi di sicurezza, tralasciando i costi per impiegare personale preparato e qualificato nella gestione di grandi flussi di dati.
L’importanza della formazione nei dipendenti
La scarsa preparazione del personale ad affrontare le minacce non rappresenta solo una falla in caso di attacchi a segno (con i conseguenti effetti economici e reputazionali), ma anche per quel che riguarda l’intera struttura del meccanismo di difesa, poiché, come sottolinea Umberto Rapetto, comandante del Nucleo Speciale Frodi Telematiche della Guardia di Finanza, i danni causati dal personale richiedono tempistiche più ampie per individuare il responsabile e le meccaniche di svolgimento.
Diventa perciò fondamentale il ruolo delle azioni di formazione, le quali permettono alle aziende di disporre di personale preparato non solo a gestire gli attacchi, ma anche a riconoscere le varie minacce, le quali stanno sempre più puntando sul fattore umano (vedi il phishing): in questo caso le imprese possono avvalersi di strumenti efficaci come la certificazione ISO/IEC 27001:2013, normativa che fornisce una serie di requisiti e standard sulla sicurezza delle informazioni, utile anche ai fini dell’adattamento al nuovo Regolamento Privacy UE, a cui le imprese devono adeguarsi entro il 25 maggio 2018.