Il cybercrime è un fenomeno in preoccupante aumento, sia nella potenza, sia nella diffusione, sia nella varietà degli attacchi.
Ma indovinate un po’ quale è una delle cause principali del Data Breach (incidenti privacy)?
Il fattore umano:
Il 24% degli attacchi infatti dipende da errori commessi da dipendenti e fornitori, nel 51% dei casi è dovuto ad attacchi perpetrati dall’esterno che sfruttano comportamenti incauti del personale.
Esistono numerose abitudini non propriamente corrette che permettono di abbassare la guardia aziendale e lasciare campo agli attacchi di Cyber Crime.
I dati raccolti presentano un quadro decisamente allarmante:
- Il 71% degli account aziendali è protetto da password utilizzate su più siti web;
- Il 51% degli utenti utilizza le stesse password per account personali e lavorativi;
- Il 57% delle vittime di phishing non cambia la propria password.
Questi numeri mostrano come la custodia delle credenziali di accesso sia altamente vulnerabile.
Un comportato scorretto reso ancor più pericoloso dall’errato uso o diffusione di informazioni confidenziali o dall’accesso non autorizzato a sistemi e dati sensibili.
Come ben sappiamo, nella maggior parte dei contesti e in particolar modo nell’ambito di trattamento e gestione di dati personali, la prevenzione è molto più efficace della cura.
Se individuare un rimedio valevole per ogni circostanza è complicato da attuare, trasferire consapevolezza e metodo per attuare azioni atte a prevenire e tutelare riservatezza, integrità e disponibilità dei dati, risulta decisamente più facile.
Occorre utilizzare lo strumento giusto a seconda dell’obiettivo che ci si pone, ma gli strumenti possono essere classificati in 3 categorie:
- Formazione interna e sensibilizzazione:
workshop con top management e/o collaboratori, webinar, video pillole e testimonianze; - Informazione:
eventi aziendali, newsletter, Intranet, banner, questionari, portali dedicati e FAQ; - Comunicazione interna:
infografiche, manifesti, simulazioni, flyer, installazioni, gadget, pubblicazioni aziendali, intranet, banner.
Quali sono le fasi e le attività principali
- Creare il messaggio attraverso storytelling e piano editoriale;
- Tastare il polso dell’organizzazione con il coinvolgimento del top management;
- Comunicare il messaggio nei modi, nei tempi e ai soggetti giusti grazie a scouting e ambassador interni;
- Supportare le persone attraverso piani di formazione online e in presenza;
- Valutare i risultati misurando l’efficacia di queste attività.
Personalizzare strumenti e messaggi in base al target
- La sensibilizzazione del Top Management ha come target un numero limitato di figure apicali e si pone come obiettivo il coinvolgimento del top management nelle iniziative formative, trasmettendo messaggi che possano essere interiorizzati e comunicati efficacemente al proprio personale.
Spesso il mezzo ideale è la formazione in aula; - InFormazione per i dipendenti ha come target un ampio numero di persone non specializzate che dovrebbero essere sensibilizzate in merito ai rischi connessi all’uso degli strumenti informatici e alle buone pratiche da osservare.
Solitamente per veicolare messaggi semplici si utilizzano video pillole, webinar, infografiche e newsletter.
Raffaella Sella – Risk Manager – Privacy Consultant