Praticare la cultura della cibersicurezza
Un aspetto importante ma spesso dimenticato della cibersicurezza è la relativa cultura. Una forte cultura della sicurezza è caratterizzata dall’effettiva attuazione di progetti di sicurezza come la gestione delle vulnerabilità o l’organizzazione di crisi in caso di incidente. Anche il contributo dei singoli collaboratori alla sicurezza in un’organizzazione è decisivo: ad esempio, come ci si comporta correttamente in caso di tentativo di phishing o com’è attuata la sicurezza delle password?
In una situazione di emergenza, come lo potrebbe essere un incendio, l’infarto di un collega oppure anche un ciberincidente, la vostra organizzazione si trova ad affrontare questioni fondamentali che non si presentano necessariamente nella vita quotidiana. Per essere preparati ad affrontare una situazione del genere, è necessario un piano di emergenza che includa un piano di comunicazione e un’organizzazione di crisi nonché un contatto d’emergenza. Queste sono le basi per reagire correttamente nelle situazioni urgenti. Quanto maggiore è la comprensione di tutti i collaboratori per determinate misure e quanto più queste ultime riflettono i valori dell’organizzazione, tanto più è probabile che vengano capite, sostenute e quindi attuate dai collaboratori.
Team di sicurezza come elemento centrale
I collaboratori conoscono il responsabile della sicurezza? Come interagisce con voi, ad esempio quando deve essere eseguito un aggiornamento del software? Quanto è facile per i collaboratori segnalare un incidente o esprimere un sospetto? I responsabili della sicurezza devono trovare un linguaggio comune con i collaboratori, devono essere disponibili e costruttivi per far sì che le misure vengano attuate possibilmente senza resistenze.
Motivare anziché proibire
Nella cibersicurezza, l’elenco delle cose da non fare è infinito. I comuni dovrebbero pertanto concentrarsi sull’insegnare ai propri collaboratori alcune regole comportamentali di base formulate in maniera comprensibile, invece di distribuire un elenco di divieti. Idealmente, ogni comunicazione dovrebbe sottolineare i benefici che le misure proposte porteranno ai singoli collaboratori in quanto parte dell’organizzazione e il motivo per cui è importante attuarle, contribuendo così a garantire la sicurezza. Più i vantaggi sono visibili, minore è la resistenza e maggiore è il sostegno.
Definizione «cultura organizzativa»
Con il termine «cultura organizzativa» si intendono essenzialmente atteggiamenti, percezioni e valori condivisi. La cultura definisce ciò che viene promosso, accettato o rifiutato in un’organizzazione, ad esempio nel vostro comune. Il Sans Institute distingue tra culture organizzative flessibili, interdipendenti, durature e autonome. A seconda del tipo, l’accento viene posto su qualità come assistenza, autorità, interesse o sicurezza. Le culture assistenziali, ad esempio, si basano su rapporti stretti, lealtà e fiducia reciproca tra i collaboratori. Gli ambienti di lavoro sono calorosi, collaborativi e accoglienti, dove le persone si aiutano e si sostengono a vicenda. I dirigenti danno importanza alla sincerità e al lavoro di squadra. Una cultura di questo tipo è spesso presente nel settore sanitario. Un altro esempio è la cultura autoritaria definita dalla fermezza e, a volte, dall’impudenza. È caratterizzata da un ampio controllo e dall’operato tendenzialmente dominante della direzione. Una cultura autoritaria è riscontrabile, ad esempio, nell’esercito. L’obiettivo non è cambiare la cultura organizzativa, ma integrarvi la sicurezza.
Guida per comuni digitali
Al giorno d’oggi, quasi nessun comune può «sfuggire» alla digitalizzazione. Mentre alcuni comuni sono già a buon punto, altri sono solo all’inizio del processo. Avete una domanda sulla digitalizzazione o sull’e-government nel vostro comune? Scriveteci e sottoporremo la vostra domanda agli esperti della nostra sezione «Guida per comuni digitali».