In passato erano sicuramente una nicchia le tematiche legate alla sicurezza dei dati. Oggi gli aspetti di Cyber Security sono tenuti in considerazione in maniera molto maggiore, in parte anche per i nuovi paradigmi di accesso es. le soluzioni SAP cloud.
Ma quanto parlare di Cyber Security fa riferimento al solo dipartimento IT? Probabilmente una visione completa di questi aspetti deve andare ben oltre il solo dipartimento dei sistemi informativi.
Cyber Security Culture
Ma cosa significa Cyber Security Culture (CSC)? Perché CSC riveste un ruolo fondamentale per quanto scritto sopra?
CSS significa definire in azienda un programma di sensibilizzazione e conoscenza degli argomenti relativi alla Cybersecurity, tra questi anche gli aspetti di cyber security awareness.
Diverse possono essere le discipline coinvolte oltre alla cybersecurity anche gli aspetti legati e psicologici.
L'ENISA (European Union Agency for Cybersecurity) ha definito un framework per semplificare l'adozione di una CSC, tramite 8 punti operativi e 5 linee guida principali
- Secure buy-in at the highest level
- Coinvolgimento dei vertici aziendali
- Follow the CSC Framework for the implementation of the programme
- Attiva il programma seguendo il modello definito da ENISA
- Know your organization so as to ensure success
- Una componente fondamentale del successo è conoscere la propria azienda al fine di adottare e calare sui propri processi il modello proposto
- Measure the current cybersecurity level of the target audience
- Misurare l'efficacia del programma, usando anche gli esempi forniti dal framework
- Draw upon the good practices identified in this report
- Utilizza quanto già fatto da altre società e quanto riepilogato nel report per migliorare il tuo programma
Cyber Security Culture le raccomandazioni finali
- Senior management support.
- L'importanza di coinvolgere il personale dirigente e C-level diventa fondamentale. Se il management non crede in queste iniziative perché i collaboratori dovrebbero? Ma chi deve essere coinvolto secondo le statistiche raccolte nel report.
Fonte: pag. 56 (Cyber Security Culture in organisations)
- “Keep it simple” and “start small”
- Di fondamentale importanza, soprattutto nel caso dei sistemi SAP. Possono esserci moltissime complicazioni, a livello tecnologico in ambienti complessi. Per questo motivo è importante definire una propria strategia security SAP e fare piccoli passi. Essendo consapevoli di non puntare subito a risultati eclatanti.
- CSC is about people
- Gli strumenti possono fare molto ma non sono sufficienti. Bisogna puntare sulle persone. Ovvero l'aspetto umano. Cosa viene fatto oggi dalle statistiche del report?
Fonte: pag. 54 (Cyber Security Culture in organisations)
- The importance of metrics
- Quanto è importante misurare per capire come sta andando e su cosa intervenire. Se non ha un modello autorizzativo che supporti la definizione di KPI (non significa il numero di ticket risolti o ricevuti) allora può essere molto difficile governare la situazione. Leggi qui per definire un modello autorizzativo SAP (Authorization Concept SAP) che permetta una facile misurazione e definizione di KPI.
- The importance of supportive IT infrastructure and technology
- Anche gli aspetti tecnologici sono ovviamente fondamentali qui trovi l'elenco dei principali software e componenti (non tutti richiedono una licenza) che puoi utilizzare ed attivare (Cyber Security Framework)
- Don’t go it alone
- Non lasciare che chi guidi il programma di security SAP sia poi l'unico a portare avanti queste iniziative. Fai in modo che le procedure definite facciano parte del DNA aziendale e non ci sia solo uno oppure un gruppo che segua questi aspetti.
- Don’t rely solely on eMedia
- Purtroppo, non è sufficiente mandare solamente mail di alert. Oggi siamo inondati da mail più o meno rilevanti. Bisogna svolgere della formazione specifiche oltre agli aspetti di social media (anche interni all'azienda)
Questo articolo è stato ispirato da: