Punti chiave
Quante informazioni, password, accessi e conoscenze ha un collaboratore fidato dopo anni di lavoro insieme? E che danni potrebbe provocare alla vostra azienda se per un licenziamento o l’incrinarsi dei rapporti, decidesse di usare tutto quello che sa contro la vostra azienda per vendetta?
Per quanto ci si possa illudere di avere tutto sotto controllo e di avere a che fare con gente onesta non è possibile non considerare la variabile della vendetta, che in un contesto lavorativo può essere espressa in tanti modi. Il più pericoloso è senza dubbio quello della vulnerabilità di sistema e di sfruttamento delle falle nello stesso, facilmente utilizzabili da coloro che lo conoscono e che in passato ne hanno avuto accesso.
Per i dirigenti che si possono trovare in questa situazione, esiste una strategia di risposta elaborata dall’esperto statunitense William Evanina, che ha collaborato con l’FBI.
Approcciare questo tema con la giusta serietà, non concentrando in un solo reparto le responsabilità della sicurezza ma creando un network di risorse in grado di collaborare per far sì che nulla metta in pericolo l’azienda ed il suo lavoro.
Costruisci una squadra per elaborare la strategia migliore
La sicurezza informatica è tra le basi del corretto funzionamento di qualsiasi società, soprattutto in tempi in cui anche una stampante in linea, se dotata di una porta di accesso alla rete, può trasformarsi in una falla da eliminare. Per prima cosa, sono così tante le possibili minacce al sistema aziendale che risulta controproducente dare la responsabilità della protezione dello stesso ad una sola persona, incaricata di risolvere la questione.
E’ necessario piuttosto dare vita ad una squadra “interdisciplinare”: è il gruppo delle risorse umane e le autorità specializzate in questo tipo di crimini che si rivelano essere la soluzione migliore. Quando un attacco è in corso, la velocità è la base del successo nel difendere e solo un network di specialisti ben preparato sarà in grado di affrontare il problema con velocità ed il massimo della pulizia.
Una buona squadra potrebbe essere composta dal responsabile IT, da un manager, dai collaboratori più stretti del licenziato e da un esperto di sicurezza informatica, magari assunto per il caso.
Create una squadra di 5/6 persone, non di più.
Stabilisci che cosa bisogna proteggere
Quando si ha a che fare con informazioni aziendali importanti, definite Critical Business Information (CBI), per essere certi di fare un ottimo lavoro non si deve pensare di difendere “dati” o “processi”, ma considerare gli stessi come “persone”. In fin dei conti è proprio ciò che accade: quando si protegge un’azienda in realtà ci si prende cura del potenziale cliente finale che utilizzerà quello specifico prodotto.
Un concetto valido per qualsiasi tipo di produzione e qualsiasi tipologia di approccio difensivo che deve far parte della routine aziendale. Un buon ragionamento potrebbe essere: “Dobbiamo proteggere il nostro amministratore delegato e la privacy dei suoi familiari, il dirigente che ha assunto l’ex collaboratore e i nostri fornitori con cui il licenziato era in contatto”.
In questo modo capire automaticamente che cosa dovete proteggere: il pc dell’amministratore, il suo smartphone, gli account social della famiglia. E ancora: il conto Paypal del dirigente e il tablet dove sono registrate le consegne dei fornitori”. Pensare al “Chi”, vi aiuterà a capire immediatamente “Cosa” dovete difendere.
Identifica dove si trovano i dispositivi a rischio
Proteggere le informazioni riservate in una azienda significa non solo conoscerne il funzionamento e la struttura ma anche l’esatta posizione, virtuale e fisica, all’interno del proprio sistema. Questo consente di poter approcciare qualsiasi problema con maggiore facilità anche se, è doveroso sottolineare, spesso il processo è molto più difficile quando ad essere presa in considerazione è una grande società con molte sedi rispetto ad un’azienda più piccola.
In ogni caso tale conoscenza è basilare per capire quanto e come le proprie informazioni siano esposte al pericolo: basta un piccolo errore e documenti di vitale importanza possono essere disponibili alla consultazione di personale non autorizzato a visionarli.
La protezione passa in questo caso anche attraverso una collaborazione molto stretta tra il team che si occupa della sicurezza virtuale della risorsa e la squadra di lavoro adibita alla protezione fisica della struttura: non si può escludere che un dipendente deluso possa trovare il modo di mettere a repentaglio la sicurezza dell’azienda attraverso una filiale vicina a dove abita.
Una volta che avrete una squadra di esperti, consapevoli di chi bisogna proteggere, di cosa bisogna difendere e di dove si trovano i terminali da mettere in sicurezza, sarete nelle condizioni di reagire adeguatamente e di passare all’atto pratico. Cambio delle password, dei conti correnti, degli accessi a gestionali e archivi.
Accorgersi prima di un dipendente potenzialmente pericoloso
Ovviamente, la prevenzione è l’arma migliore. Proteggere le informazioni aziendali in generale, è palese, è un lavoro che deve essere portato avanti in squadra, attraverso la messa a punto di un network importante in grado di funzionare in modo adeguato. Questo perché non si ha mai la certezza della tipologia di problema che si potrà affrontare. Si è fatto l’esempio del collaboratore licenziato e scontento che potrebbe tentare di rivalersi sull’azienda sfruttandone le falle.
In questo caso qualsiasi dispositivo in linea e qualsiasi uso dei computer aziendali differente da quelli stabiliti dai protocolli può inficiare l’intero sistema, mettendolo alla mercé di malintenzionati e di gravi perdite. Comprendere quali possano essere le risorse umane delle quali fidarsi e quelle delle quali avere paura non è semplice.
La chiave per anticipare il problema sta nell’avere il controllo delle informazioni: queste devono essere gestite secondo la legge e da risorse umane non solo in grado di lavorare virtualmente in maniera etica ma che siano affidabili in termini di mantenimento degli alti standard di sicurezza.
Per questo motivo, per mantenere alta la protezione di informazioni sensibili, iniziare con una selezione scrupolosa del personale diventa basilare.
Lo stesso deve essere preparato, sapere come agire ed essere motivato al punto giusto: il coinvolgimento nella sicurezza deve essere vissuto come personale e nessuna capacità mai essere data per scontata.
Devono essere messe a punto delle regole pratiche, che diano la possibilità ai reparti dedicati dell’azienda di verificare periodicamente non solo che la preparazione dei propri dipendenti sia adeguata, ma anche che il loro comportamento rimanga ideale e costante nel tempo. Qualsiasi condotta sospetta (ad esempio un cambio di password improvviso e non giustificato da parte di un dipendente) deve poter essere scoperta e approcciata nell’immediato con il supporto di mezzi adeguati.
La dirigenza dell’azienda dovrebbe prevedere degli standard ben precisi da rispettare per poter lavorare con informazioni di tale importanza che possano essere applicati non solo sulla condotta lavorativa del personale che lavora in sede, ma anche dei dipendenti che operano in filiali.
Se il problema sicurezza viene affrontato in maniera errata da parte dei responsabili interni i protocolli rischiano di saltare, le risorse ad esse dedicate potrebbero non funzionare al 100% nel loro ruolo ed in generale si potrebbe arrivare non solo una perdita di dati ma anche alla potenziale effrazione di leggi a propria insaputa.
Un programma “difensivo” di qualità, basato su un network di risorse ben strutturate può fare la differenza, portando ad un funzionamento migliore dell’azienda.