Le aziende di oggi sono sempre più informatizzate. E, come tali, sempre più soggette ai rischi informatici. 

Chi si occupa di IT nelle aziende conosce bene questo problema: la responsabilità di garantire la sicurezza informatica ricade spesso totalmente sugli IT Manager e i CIO, che hanno l’onere di adottare tutti gli strumenti necessari per difendere patrimonio informativo aziendale. 

Ma, nel mondo IT, esiste un fattore di rischio che non dipende dagli strumenti adottati: l’uomo. 

L’errore umano è la principale causa di perdita di dati aziendali. Gli hackers (o, meglio, i crackers) lo sanno bene e sfruttano proprio questo elemento per attaccare le aziende. Colpiscono, cioè, attraverso il loro punto più debole. 

Ma se la sicurezza informatica è in mano al reparto IT, come può un IT Manager controllare qualcosa che esula dagli strumenti informatici?  

La risposta è una: deve diffondere una cultura della sicurezza informatica a tutti i livelli aziendali. 

L’educazione alla cybersecurity è la miglior forma di prevenzione che un’azienda può adottare per proteggere il suo patrimonio informativo. 

Vediamo nello specifico come un responsabile IT può diffondere questa cultura, quali misure può adottare e quali sono le principali problematiche che deve affrontare nella gestione di uno strumento molto delicato: la Posta Elettronica Certificata. 

 

La sicurezza delle email PEC 

In questo articolo ci concentreremo sulla gestione delle email PEC per un motivo ben preciso: sebbene i concetti che affronteremo valgono in generale per l’intero ecosostema IT, la Posta Elettronica Certificata va trattata con un certo riguardo. Questo perché, per la sua natura probatoria, la PEC è a tutti gli effetti un documento legale. 

Ma, in quanto strumento informatico, è purtroppo soggetta agli stessi rischi della mail ordinaria. Vediamo quali sono. 

 

1. Password condivisa 


Il primo problema che si riscontra nella gestione delle PEC, a livello di sicurezza, è la condivisione della password. La casella PEC, infatti, non è nominale bensì aziendale. Ciò significa che se viene utilizzata da più reparti, tutti coloro che vi accedono lo fanno con le medesime credenziali. Il che comporta non solo problematiche di gestione dei messaggi PEC (chi li ha presi in carico?) ma anche di condivisione di un dato estremamente importante. Pensate se un dipendente che vi aveva accesso dovesse lasciare l’azienda: sarebbe necessario modificare la password ogni volta 

 

2. Documenti condivisi 


La seconda difficoltà in termini di sicurezza nella gestione delle PEC è la condivisione delle informazioni al suo interno.  In tutte le organizzazioni, però, si pone la necessità di non dare a tutti gli utenti le stesse policy di accesso 

 

3. Chi ha fatto cosa? 

Altro fattore che influenza la sicurezza delle PEC è l’impossibilità di tracciare le attività. Il motivo è il medesimo: se la casella PEC è una sola per tutti, è molto difficile capire chi ha preso in carico e sta gestendo un messaggio. E in caso di errore, è molto difficile risalire all’autore. 

New call-to-action

 

4. La casella PEC va periodicamente svuotata. 

Le caselle di Posta Elettronica Certificata hanno uno spazio limitato. Certo, è possibile acquistarne altro ma, prima o poi, anche questo si esaurirà. Dove sta il problema? Che se non ricevete un messaggio perché la vostra casella PEC è piena, sono affari vostri. Il messaggio del mittente risulta comunque consegnato. Subentra quindi la necessità di gestire la PEC in modo tale da prevederne anche la manutenzione. 

 

Il fattore di rischio numero uno nella gestione della PEC

Quelle sopra descritte sono problematiche legate allo strumento PEC. Ora invece passiamo all’argomento cardine di questo articolo: l’errore umano.  

Quali sono le cattive abitudini più frequenti tra gli utenti che gestiscono le PEC aziendali? 



  1. QUASI IL 50% DELLE PERSONE NON È IN GRADO DI RICONOSCERE UNA MAIL DI SPAM O DI PHISHING
    Entrambe, per quanto riguarda la PEC, sono pratiche illecite. Ma questo, di certo, non è un elemento che scoraggia i malintenzionati e, purtroppo, in molti casi anche le PEC sono state oggetto di attacchi informatici. 
  1. LA MAGGIOR PARTE DEGLI UTENTI NON SA SCEGLIERE PASSWORD SICURE
    Purtroppo, per comodità, si tende a scegliere password facilmente memorizzabili. Spesso, però, tali password sono sin troppo facili: basti pensare che ancora oggi la password più utilizzata è 1234, anche in ambito aziendale.

  2.  I DIPENDENTI TENDONO A SALVARE E/O TRASCRIVERE LE PASSWORD IN LUOGHI NON SICURI
    Sempre per gli stessi fattori di comodità, è un’abitudine frequente quella di memorizzare le password aziendali in posti facilmente accessibili a qualunque persona (non è raro il post it attaccato al monitor). 

  

Soluzioni gestire al meglio la sicurezza delle email PEC 

Cosa può fare il reparto IT per garantire la sicurezza informatica quando si parla di gestione delle PEC? 

È necessario, dicevamo, procedere parallelamente su due binari:  

  1. Adottare strumenti ad hoc per gestire le PEC.  
    Può rivelarsi molto utile, soprattutto per chi è responsabile di amministrare i sistemi informatici, dotare gli utenti PEC di un gestionale multiutente->. Grazie a un gestionale PEC ogni utente accede alla casella (o alle caselle) con le proprie credenziali e a livello admin è possibile stabilire per ognuno le policy di accesso. In tal modo la password della PEC non viene condivisa evitando così la dispersione di un dato aziendale. 
    Inoltre grazie a un buon gestionale PEC è possibili tracciare tutte le operazioni effettuati nella casella e risalire all’autore dell’attività. 
    Un’alternativa valida al gestionale PEC è l’integrazione della casella di Posta Certificata con la casella di posta aziendale “normale”->. Attenzione: molti gestori PEC permettono di inoltrare i messaggi di Posta Certificata nella casella normale ma questi non sono i messaggi originali bensì solo copie, e non hanno alcun valore probatorio. 

  2. Diffondere una cultura della sicurezza. 
    È in assoluto la cosa più importante da integrare in un’azienda. Ma è anche la più difficile e sottovalutata. Questo perché non vi è ancora una consapevolezza diffusa sui reali rischi che provocano i comportamenti scorretti.  

 

Come formare i dipendenti sulla sicurezza 

Quando si parla formazione alla sicurezza informatica l’IT Manager diventa una figura chiave. 

L’IT Manager, in questo contesto, deve farsi promotore di una cultura della prevenzioneproprio in quanto anello di punta del processo di informatizzazione aziendale.  

Nel paragrafo precedente parlavamo di consapevolezza: calare una serie di nozioni, a freddo, sui dipendenti è assolutamente inefficace. Studi recenti hanno dimostrato come i metodi formativi “tradizionali”, dove ci si limita a elencare le best practice per una corretta gestione degli strumenti IT, hanno un’efficacia molto vicina allo zero. È invece necessario agire in termini di sensibilizzazione 

Sono due le direzioni sulle quali sviluppare un piano formativo: sensibilizzare, da un lato, e responsabilizzare, dall’altro. 

Ecco alcuni punti chiave sui quali ragionare per strutturare un piano formativo veramente efficace: 


1. Iniziate dalla strategia di pensiero 

Che non significa diventare Di Caprio e innescare un’idea come in Inception (anche se in effetti semplificherebbe molto le cose), se pur il concetto è quello. È molto più efficace, per gli obiettivi che vi siete prefissati, indurre i vostri colleghi alla riflessione, piuttosto che calare dall’alto una sfilza di nozioni. 

La strategia di pensiero vi permetterà di far sedimentare nelle persone un senso di consapevolezza, che porterà, in seguito, a un apprendimento molto più rapido e, soprattutto, radicato. 
 

2. Non sottovalutate la comunicazione 

Quando si comunica un messaggio è necessario partire SEMPRE da un presupposto: se qualcuno non ti capisce, hai comunicato nel modo sbagliato.

Non date mai per scontato che gli altri comprendano il vostro linguaggio (essendo voi esperti IT potrebbe risultare troppo tecnico per i vostri interlocutori).

Potrebbe esservi molto utile chiedere il supporto di un professionista del settoreche potrebbe anche insegnarvi le giuste tecniche comunicative e di linguaggio verbale e non verbale. 

 

3. Fate in modo che il buon esempio arrivi dall’alto 

Mai predicare bene e razzolare male. Quando gli imprenditori delegano le responsabilità, come nel caso della sicurezza dei sistemi informatici, spesso dimenticano che la loro presenza risulta comunque fondamentale.

Se la direzione non è la prima ad adottare le vostre misure di sicurezza, difficilmente i dipendenti lo faranno.

Si tratta di un meccanismo deleterio per le imprese poiché col tempo i lavoratori perderanno fiducia nell’organizzazione, compromettendo la propria produttività.

È, a tutti gli effetti, una reazione a catena che va evitata. Coinvolgete perciò sempre i dirigenti in prima persona nel progetto formativo. 
 

4. Non limitatevi alla teoria

Un proverbio cinese recita: se ascolto dimentico, se vedo ricordo, se faccio imparo.

Questo dovrebbe essere il mantra del vostro progetto formativo legato alla sicurezza informatica.

È il Learning-by-doing, l’imparare facendo. Mettere le “mani in pasta”, ad esempio con esercitazioni e simulazioni di attacchi di Phishingvi permetterà non solo di rendere i vostri insegnamenti più efficaci ma anche di avere un quadro chiaro di quanto i vostri colleghi siano davvero preparati in materia di cybersecurity.  

 

5. Pianificate le attività di controllo dei comportamenti 

L’uomo medio, si sa, dimentica in fretta. È molto difficile acquisire un’abitudine. Ma è molto facile perderla. Programmate controlli ed esercitazioni periodiche. A vita. 
 

6. Favorite le relazioni e il coinvolgimento 

I dipendenti sono più efficienti quando si sentono coinvolti. Dovete perciò dare loro una motivazione, farli sentire fondamentali all’interno del sistema di sicurezza informatica aziendale.

Distribuite le responsabilità e fate in modo che i colleghi collaborino tra loro per il raggiungimento degli obiettivi.  

Ti è piaciuto questo articolo? Iscriviti alla nostra Newsletter!

Vuoi conoscere altro su questo argomento? Leggi gli articoli correlati.