Security Culture
Condividere la stessa Cultura della Sicurezza significa avere un modo comune di vedere le cose, di comportarsi e di agire nei confronti della sicurezza informatica, in relazione al proprio ruolo aziendale.
La sicurezza informatica è un problema che le aziende devono affrontare per far crescere la propria competitività in un mondo dove la digitalizzazione è ubiqua e trasversale. Allo stesso modo lo deve essere la Cybersecurity, un tema che coinvolge l’azienda nel suo complesso a tutti i livelli aziendali e rispetto al quale ognuno gioca il proprio ruolo
Cos'è il percorso S.E.C.U.R.E.
Il percorso di trasformazione culturale S.E.C.U.R.E. ha origine dall’approccio People-Centric che Safecore ha nei confronti della Cybersecurity. Tale approccio si basa sul presupposto che il fattore umano debba essere posto al centro della sfida della sicurezza informatica: ogni persona, di qualsiasi livello aziendale, gioca un ruolo essenziale nel processo di implementazione della sicurezza interna. Processi e tecnologie diventano quindi strumenti di rinforzo, volti ad implementare l’efficacia dell’intero sistema e non protagonisti assoluti, come troppo spesso succede.
Pertanto S.E.C.U.R.E. , ha l’obiettivo di far crescere la responsabilità e la resilienza interne nei confronti delle minacce informatiche, con effetto duraturo, trasformando la cultura della sicurezza informatica interna all’azienda e verso l’intero ecosistema costituito da clienti e fornitori.
Le 5 fasi del percorso S.E.C.U.R.E.
Il processo S.E.C.U.R.E. si struttura in un ciclo di 5 macro fasi:
Valutazione della sicurezza informatica aziendale, attraverso due attività:
- La somministrazione a tutto il personale di una Security Culture Survey, che permette di mappare il livello di consapevolezza e conoscenza interno dei rischi informatici, ottenendo una chiara visione d’insieme su come la sicurezza viene percepita e vissuta dalle persone;
- Un Security Assessment, che tramite interviste e verifiche tecniche valuta il livello di governance della sicurezza aziendale;
Si tratta di uno o più momenti di condivisione dei risultati ottenuti dalla fase precedente. L’obiettivo è di sensibilizzare le persone dell’azienda sul problema e rischio cyber, portando esempi concreti e ricorrendo anche all’uso della gamification, per veicolare il messaggio in un modo più incisivo e piacevole per l’audience.
Questa fase ha l’obiettivo di fornire le competenze necessarie per fronteggiare al meglio il rischio cyber. Pertanto, vengono proposte attività formative specifiche che hanno lo scopo di tenere alto il livello di attenzione al problema e di riconoscere le minacce che si presentano.
A fronte dei reali rischi comprovati dalle precedenti attività di assessment, in questa fase vengono introdotti eventuali strumenti e processi a supporto della protezione aziendale, quali l’introduzione di tecnologie di sicurezza, servizi di Vulnerability Management e Threat Intelligence ricorsive, per la verifica periodica della presenza di nuove vulnerabilità.
Quest’ultima fase ha l’obiettivo di monitorare l’efficacia delle azioni intraprese e contestualmente, vengono analizzate ulteriori situazioni di rischio non ancora corrette o non precedentemente rilevate.
Lo sviluppo temporale del percorso S.E.C.U.R.E.
Il percorso S.E.C.U.R.E. viene di seguito rappresentato nel suo sviluppo temporale ipotizzando, in questo esempio, la durata di un anno.
Il percorso S.E.C.U.R.E.
Safecore crede fortemente nella Cultura come principale strumento per contrastare il rischio cyber. Pertanto, SECURE ha l’obiettivo di far crescere la responsabilità e la resilienza interne nei confronti delle minacce informatiche, con effetto duraturo, trasformando la cultura della sicurezza informatica interna all’azienda e verso l’intero ecosistema costituito da clienti e fornitori.
