Poste Italiane: la formazione cyber non è solo interna
Luca Raschi
Published on 30/04/2018
Last update: 20/06/2018 at 15:26
Una delle sessioni di conferenze avvenute al Cybersecurity Summit 2018 tenutosi a Roma era interamente incentrata sulle strategie e sulle soluzioni per la prevenzione e la risposta ad attacchi cyber, anche su larga scala.
Come sempre più spesso accade durante questi incontri, il focus principale non era sulle “attrezzature” e “barriere” informatiche da adottare per proteggersi, ma sulle responsabilità delle persone, sia come singoli sia come anelli di una catena organizzativa.
Si diffonde l’idea che per fare cybersecurity, non è sufficiente occuparsi delle singole macchine, ma è necessario considerare l’intero ecosistema (che è formato sia da strumenti tecnologici sia da esseri umani).
Allo stesso modo, per mettere in sicurezza i beni di un’azienda non basta tracciare confini e diramare policy interne, ma bisogna a tutti i costi entrare in relazione con tutti i possibili attori che con quell’azienda interagiscono.
Questo Poste Italiane sembra averlo capito appieno. Alla discussione infatti ha preso parte Nicola Sotira, il Responsabile della Sicurezza delle Informazioni presso tale azienda, che ha illustrato i sistemi e le tecnologie su cui l’organizzazione sta investendo molto per tutelare la sicurezza delle comunicazioni digitali e contrastare le minacce informatiche. Il Cert di Poste Italiane sta infatti creando un centro specializzato sulla sicurezza informatica, collabora attivamente con Enisa e prende parte a diversi progetti europei.
Ricordando come la mail sia ancora lo strumento più utilizzato per la diffusione dei malware o la messa in atto di tecniche di social engineering, Nicola Sotira invita a ragionare dinamicamente e ad aumentare la condivisione e la reportizzazione degli eventi in maniera più rapida e frequente. In tal modo si aumenta anche la consapevolezza e la capacità di prevenire gli attacchi.
Per questo motivo, Poste Italiane lavora molto sulla formazione e sull’e-warning a tutto tondo e su più livelli. A tutto tondo perché non si concentra solo sulla cybersecurity, ma mira ad aumentare la consapevolezza d’uso degli strumenti digitali, accorciando il gap tra l’evoluzione delle tecnologie a disposizione e le capacità tecniche delle persone. A più livelli perché l’attività è diretta sia verso l’interno, dall’amministrazione fino ai dipendenti, che verso l’esterno ai clienti stessi dell’azienda. Mentre gli impiegati hanno a disposizione una web app apposita per l’e-learning e la gestione dei cyber risks, la clientela di Poste Italiane può, tramite il sito, avvalersi di un test di autovalutazione (che, oltre a dare un risultato alla fine, implicitamente tramite le diverse domande porta all’attenzione della persona quelle che sono le tematiche principali).
L’obiettivo è quello di diramare la comunicazione e arrivare a più persone possibili: l’enorme numero di dispositivi adottati dalle aziende rende spesso impossibile la gestione efficace degli stessi da parte di un’unico centro addetto alla sicurezza. Più i dipendenti e i clienti sono consapevoli del loro utilizzo, più si riduce il rischio.