La data protection ha implicazioni fondamentali per la reputazione aziendale e la continuità operativa del business, garantendo la riservatezza, l’integrità e la disponibilità dei dati aziendali che potrebbero essere compromessi da attacchi informatici a causa di errori umani o di sistema.
Secondo una recente indagine dell’Osservatorio Information Security & Privacy, della School of Management del Politecnico di Milano, l’82% delle imprese ritiene che la principale causa di vulnerabilità sia il fattore umano, dato confermato da Office of the Data Protection Authority, secondo il quale dei 48 data breach denunciati in Gran Bretagna negli ultimi due mesi del 2019, ben 39 sono derivati da errori umani.
Data protection: quale ruolo ha l’errore umano
Data protection: quale ruolo ha l’errore umano
Per errore umano, s’intende un’azione involontaria di un dipendente o di un utente che potrebbe causare (o di fatto determina) una violazione di sicurezza dei dati. Di seguito indichiamo alcuni casi tipici:
- Il phishing (e-mail ingannevoli che spesso contengono link o allegati malevoli) e il pretexting (simulare l’identità di qualcun altro al fine di ottenere informazioni private) contano sull’errore umano per poter attaccare i dati aziendali;
- L’invio di un’e-mail, contenente informazioni o allegati riservati, al destinatario errato, o inviata a più destinatari con indirizzi in chiaro, è una palese violazione della riservatezza dei dati;
- L’utilizzo di password deboli, l’uso di password personali su sistemi aziendali, o il riutilizzo della stessa password in più ambiti, può consentire all’hacker di rubare la password in un ambiente poco protetto per poi riutilizzarla in ambito aziendale per accedere ai dati; l’esposizione della password sulla scrivania o sul PC, la mette alla portata di tutti;
- Lasciare documenti sensibili incustoditi sulla scrivania, nelle sale riunioni, nelle stampanti condivise li rende visibili a chi non è autorizzato e può sottrarli;
- Un dispositivo aziendale contenente informazioni aziendali può essere perso per disattenzione o rubato;
- Un dipendente distratto può cancellare dati di cui non è disponibile la copia (o la versione aggiornata) o modificarli in modo errato.
Dalla comprensione delle cause degli errori umani a una data protection efficace
Dalla comprensione delle cause degli errori umani a una data protection efficace
Per mettere in atto strategie adeguate di data protection è utile suddividere gli errori umani sopra esemplificati in due categorie:
- Piccoli errori, causati da distrazione o disattenzione, nell’eseguire compiti e attività ben note e per le quali si ha un’adeguata competenza;
- Errori che derivano da scelte errate a causa di un livello di competenza o conoscenza inadeguato; rientra nella seconda categoria anche l’inazione inconsapevole che può determinare di fatto una decisione errata.
Gli errori, non del tutto evitabili, si compiono principalmente se c’è l’opportunità, se l’ambiente lo favorisce, sia per l’organizzazione fisica del luogo di lavoro sia per il contesto culturale di scarsa attenzione alla sicurezza, e soprattutto se è scarsa la consapevolezza del rischio.
Come realizzare data protection prevenendo gli errori umani
Come realizzare data protection prevenendo gli errori umani
Non vanno trascurate le misure tecniche per ridurre le opportunità di errore: è utile limitare l’accesso solo ai dati di cui le persone hanno bisogno per svolgere le loro attività; in questo modo si riduce la quantità di informazioni esposte. Aiutano anche applicazioni di password management, che consentono di creare e memorizzare strong password senza la necessità per l’utente di doverle trascrivere o sistemi di autenticazione a due fattori, che aumentano di un livello la protezione.
Le misure tecniche non sono tuttavia sufficienti per una data protection a prova di errore umano. Occorrono una diffusa cultura della sicurezza e una strategia volta a superare i gap di conoscenza e consapevolezza attraverso formazione e training continui.
Per realizzare una data protection efficace, la formazione dovrà riguardare tutte le esperienze e le possibili minacce, come phishing e malware, che i dipendenti possono incontrare quotidianamente usando e-mail, internet, social media, ecc. Perché l’apprendimento risulti efficace è indispensabile il loro coinvolgimento attivo, attraverso percorsi di training come il Cyber Security Awareness Programme, che mantengano alto il livello di interesse e aiutino a sensibilizzare e responsabilizzare il personale sulle conseguenze delle proprie azioni.
NovaNext, system integrator, security advisor e training center per i professionisti dell’ICT, progetta e realizza le più avanzate soluzioni in ambito Security, Data Center, Networking, Collaboration e offre una gamma completa di Managed Security Services. Gli esperti NovaNext accompagnano i Clienti nella scelta, nell’attivazione e nella gestione dei mezzi di protezione più adeguati a supportare l’evoluzione strategica dell’Azienda, in tutta sicurezza.
