I dati sono il nuovo petrolio? È molto probabile che sia proprio così. Diventa quindi fondamentale individuare dove risiedano e la loro criticità.
Una volta applicati tutti i meccanismi di protezione "standard" ovvero l'infrastruttura e gli aspetti applicativi, risulta strategico occuparsi dell'anello più debole della catena. L'aspetto umano. Come gestire il livello 8 del modello ISO/OSI?
La sensibilizzazione del personale aziendale
La formazione aziendale sulle tematiche di sicurezza dei dati, spesso richiesta da alcune certificazioni ISO, non viene sempre attuata.
Ci si concentra molto sugli aspetti tecnologici sottovalutando molto l'utente aziendale.
Non parliamo di corsi tecnici per professionisti del settore, ma corsi di "largo consumo" all'interno dell'azienda, sulla sensibilizzazione delle tematiche di sicurezza dei dati.
Ma quali dati sono rilevanti?
Spesso i dati sensibili, anche se largamente presenti all'interno dei sistemi informativi, non sono così facili da individuare, ad esempio:
- Dati relativi al personale nel caso in cui sia presente un sistema SAP HR/HCM
- Protezione dei documenti sensibili SAP DMS Document Management System. Ad esempio disegni tecnici (CAD) o allegati di documenti transazionali
- Scontistiche clienti
- Distinte base
- Elenco clienti o fornitori o dipendenti
Anche i dati personali devono essere gestiti nel modo adeguato, vedi GDPR.
Come intervenire?
Sono diversi i modi per promuovere queste iniziative all'interno dell'azienda, ne citiamo alcune:
- Pubblicazione messaggi su intranet aziendale/social aziendali
- Materiale e-learning (vedi esempio qui)
- Poster o cartellonistica presente in azienda
In quale momento è utile intervenire?
Nella nostra esperienza il primo momento dove conviene effettuare una sensibilizzazione sulle tematiche di sicurezza è subito dopo l'assunzione. Tramite un momento di formazione specifico.
Ma anche durante il ciclo di vita del personale è importante tenere alta l'attenzione sull'argomento.
Delle indagini survey o quiz mirati possono essere utile per capire dove ci sono lacune ed in che modo conviene correggere la rotta.
Come misurare l'efficacia della formazione?
Non è sempre immediato misurare il ritorno dell'investimento (ROI). Qualsiasi scelta si abbia deciso di fare.
A nostro avviso delle campagne di social engineering mirate e periodiche possono essere un modo per capire se la formazione ha avuto successo.
Oltre alla misurazione degli incidenti di sicurezza in un modello di gestione, prima e dopo la formazione.
Ma è possibile fare del social engineering anche in ambito SAP?
Sì certo! Sono infatti tantissimi i modi per carpire o trafugare informazioni.
In questo caso una formazione e sensibilizzazione al personale IT che segue gli applicativi SAP permette di capire le richieste che potrebbero essere sospette da parte di utenti interni o esterni. Leggi qui quali sono i corsi SAP disponibili.
Scarica l'elenco delle possibili richieste sospette o a cui prestare attenzione.