Security Culture
Adottare una Cultura della Sicurezza condivisa significa avere una visione comune, un atteggiamento e un comportamento uniformi verso la sicurezza informatica, a seconda del ruolo svolto all’interno dell’azienda.
Le aziende devono affrontare la sicurezza informatica come una questione cruciale per aumentare la loro competitività in un mondo sempre più digitalizzato e interconnesso. Analogamente, la Cybersecurity deve essere considerata un aspetto fondamentale, che interessa ogni livello dell’organizzazione e nel quale ogni individuo ha un ruolo specifico da svolgere.
Cos'è il percorso S.E.C.U.R.E.
Il percorso di trasformazione culturale S.E.C.U.R.E. ha origine dall’approccio People-Centric che Safecore ha nei confronti della Cybersecurity. Tale approccio si basa sul presupposto che il fattore umano debba essere posto al centro della sfida della sicurezza informatica: ogni persona, di qualsiasi livello aziendale, gioca un ruolo essenziale nel processo di implementazione della sicurezza interna. Processi e tecnologie diventano quindi strumenti di rinforzo, volti ad implementare l’efficacia dell’intero sistema e non protagonisti assoluti, come troppo spesso succede.
Pertanto S.E.C.U.R.E. , ha l’obiettivo di far crescere la responsabilità e la resilienza interne nei confronti delle minacce informatiche, con effetto duraturo, trasformando la cultura della sicurezza informatica interna all’azienda e verso l’intero ecosistema costituito da clienti e fornitori.
Le 5 fasi del percorso S.E.C.U.R.E.
Il processo S.E.C.U.R.E. si struttura in un ciclo di 5 macro fasi:
Analisi della sicurezza informatica in ambito aziendale, effettuata attraverso due processi principali:
- La distribuzione di una Security Culture Survey a tutti i dipendenti, per identificare il grado di consapevolezza e conoscenza dei rischi informatici, fornendo una visione generale di come la sicurezza è percepita e praticata dal personale;
- Un Security Assessment, che mediante interviste e controlli tecnici determina il livello di gestione della sicurezza nell’ambito aziendale.
Questi sono uno o più incontri dedicati alla condivisione dei risultati raccolti nella fase antecedente. Lo scopo è aumentare la consapevolezza tra i dipendenti dell’azienda riguardo ai pericoli e rischi cyber, utilizzando esempi reali e impiegando tecniche di gamification per trasmettere il messaggio in modo più efficace e coinvolgente per i partecipanti.
Questa fase ha l’obiettivo di fornire le competenze necessarie per fronteggiare al meglio il rischio cyber. Pertanto, vengono proposte attività formative specifiche che hanno lo scopo di tenere alto il livello di attenzione al problema e di riconoscere le minacce che si presentano.
In risposta ai rischi effettivi identificati nelle precedenti fasi di valutazione, questa fase prevede l’implementazione di strumenti e processi per rafforzare la sicurezza aziendale. Ciò include l’adozione di tecnologie di sicurezza avanzate, servizi di gestione delle vulnerabilità e di intelligence sulle minacce, con controlli ricorrenti per identificare periodicamente nuove vulnerabilità.
Quest’ultima fase ha l’obiettivo di monitorare l’efficacia delle azioni intraprese e contestualmente, vengono analizzate ulteriori situazioni di rischio non ancora corrette o non precedentemente rilevate.
Lo sviluppo temporale del percorso S.E.C.U.R.E.
Il percorso S.E.C.U.R.E. viene di seguito rappresentato nel suo sviluppo temporale ipotizzando, in questo esempio, la durata di un anno.
Il percorso S.E.C.U.R.E.
Safecore pone grande enfasi sulla Cultura come strumento chiave per combattere i rischi cyber. Di conseguenza, il programma SECURE mira a sviluppare una maggiore responsabilità e resilienza interna contro le minacce informatiche, con un impatto a lungo termine. L’obiettivo è trasformare la cultura della sicurezza informatica all’interno dell’azienda e estenderla all’intero ecosistema di clienti e fornitori.
