Nell'ottica di una buona strategia di cyber security, anche la formazione dei dipendenti gioca un ruolo cruciale.
Nel nostro piccolo viaggio nella cyber security, manca ancora una delle principali vulnerabilità da tenere in considerazione: i lavoratori stessi.
E con questo non intendiamo dire che i dipendenti siano dannosi o disattenti, ma semplicemente che sono parte attiva nella sicurezza informatica, tanto quanto il vostro antivirus o i dispositivi utilizzati: capita sovente, infatti, che i malintenzionati facciano leva sulle debolezze “umane” per andare a segno con i propri attacchi.
Ma anche qui, c’è la soluzione: una formazione attenta e costante dei propri collaboratori.
Come e perché formare il personale sulla cyber security?
Potrebbe sembrare ridondante, ma dobbiamo ricordare che i veri nativi digitali stanno entrando solo ora nel mondo del lavoro, e che l’attuale forza lavoro, invece, non ha uguale dimestichezza con tutti gli strumenti a disposizione.
Perché tutto il team sia allineato almeno sulle procedure standard di sicurezza informatica, potreste cominciare da qui:
- Direttive dettagliate, chiare, ma senza sovraccarico.
I dipendenti hanno bisogno di istruzioni chiare e dettagliate, ma non troppo “tecniche”, se non è il loro ambito di competenza. È inutile sovraccaricare di informazioni in aggiunta a quelle della normale giornata lavorativa (che sappiamo non essere poche!), si rischierebbe solo di creare confusione e di non far permeare i concetti importanti.
Vanno invece rispettati i tempi e le modalità di apprendimento individuali, e vanno spiegate (anche se solo basilarmente, o con analogie) le motivazioni dietro alle procedure: a livello formativo, superata l’adolescenza, l’adulto apprende molto meglio se le informazioni sono legate alle motivazioni, e se ha una visione d’insieme del processo – per intenderci, il “perché no!” che può bastare ai vostri figli in età scolare, farà sentire il lavoratore frustrato e non preso in considerazione, inficiando tutto il percorso formativo. - Aggiornamenti e continuità.
È importante ricordare regolarmente le direttive al personale, in modo tale che lo staff possa capire in modo chiaro cosa ci si aspetta da loro; così seguire queste regole diventerà normale e naturale.
Bisogna però ricordare che le direttive vanno costantemente aggiornate: i pirati informatici sono sempre all’opera per sperimentare nuovi modi per ingannare le loro vittime, pertanto è importante stare al passo ed aggiornare costantemente i propri dipendenti.
Una volta all’anno potrebbe non bastare, e si dovrebbe considerare di programmare delle giornate di formazione a cadenza più ravvicinata, o comunque condividere le disposizioni ad ogni loro mutamento. - Motivazione, inclusione, condivisione.
Queste accortezze sociali sono valide anche nell’informatica, e portano sempre ottimi risultati in termini di apprendimento e produttività: ad esempio, sappiamo che a livello psicologico fa molta più presa la promessa di un premio, che la paura di una punizione. Motivare e premiare i dipendenti (e non solo premi materiali, ma anche premi emotivi) darà uno sprint alla volontà ed all’impegno che verrà profuso nel percorso di apprendimento.
Includere tutti i comparti aziendali è un’ottima regola, e non solo per la percezione del valore delle informazioni che volete trasmettere: avere tutti i dipendenti allineati vi farà dormire sonni più tranquilli, sul tema sicurezza! Anche se i training non dovrebbero essere solo generici, ma andrebbero introdotti incontri segmentati per approfondire le tematiche relative ad ogni singola mansione.
La condivisione, infine, è una delle componenti più spontanea della natura umana: spronando alla condivisione (di informazioni, opinioni, idee), tutti i concetti che tratterete verranno assimilati in maniera più proficua e duratura da parte di tutti i dipendenti, già solo per il fatto che “se ne è discusso”!
Intangibile non significa privo di valore.
La cyber security non è qualcosa di “concreto”, non può essere toccata con mano, e varie ricerche condotte dai nomi più noti in ambito informatico rivelano che le PMI non le danno il giusto peso, proprio per questa sua intangibilità.
Ma è importante investire tempo e denaro anche nella formazione del personale, perché un’azienda – e di conseguenza i suoi collaboratori – che non riconosce il rischio, diventa automaticamente un pericolo per se stessa e per le altre imprese che entrano in affari o in contatto con essa.
Anche la vostra reputazione non può essere “concretizzata”, ma il suo valore, come quello di una buona educazione alla sicurezza informatica, è decisamente inestimabile.
