AWS: la sicurezza è parte della cultura aziendale

AWS: la sicurezza è parte della cultura aziendale

La sicurezza deve diventare parte integrante della cultura aziendale per poter superare le difficoltà tradizionali. Il punto di vista di Antonio d'Ortenzio, manager solutions architecture di AWS

di pubblicata il , alle 19:01 nel canale Security
AWS
 

Quello della sicurezza è un tema che ricopre sempre maggiore importanza all'interno delle aziende, visto l'aumento costante delle minacce. Tuttavia la sicurezza non è soltanto una questione di attenzione a installare gli ultimi aggiornamenti e a configurare correttamente i sistemi, ma anche (e soprattutto) una questione culturale e di formazione interna all'azienda. Riprendiamo le parole di Antonio d'Ortenzio, manager solutions architecture di AWS, per fare il punto su alcuni elementi che devono essere punti cardinali della strategia di sicurezza di ogni azienda.

La sicurezza come cultura: il punto di vista di AWS

d'Ortenzio

Quello della sicurezza come parte della cultura e forma mentis aziendale e personale è un concetto che si sta diffondendo sempre più, andando oltre i discorsi teorici per incontrare la vita quotidiana di molte realtà. Nel mondo in continua mutazione della tecnologia la sicurezza è diventata una responsabilità di ogni persona all'interno dell'azienda, andando ben oltre i soli gruppi di specialisti. Ciascuna persona all'interno dell'organizzazione deve usare l'approccio alla sicurezza come "un modello positivo per il comportamento, per costruire tecnologie e prendere decisioni", afferma d'Ortenzio.

Ma cos'è un modello positivo? "Una cultura della sicurezza positiva è quella in cui il team di sicurezza lavora in collaborazione con il resto dell'azienda. Se presupponiamo che le persone vogliano fare la cosa giusta, allora dovremmo fare dell'opzione sicura l'opzione più semplice. Questo vuol dire guardare oltre la tecnologia, per arrivare a porre l’attenzione sulle persone che la utilizzano e sulla cultura dell'organizzazione."

Questo è un approccio che sta lentamente diventando il più diffuso e il più accettato: il modo "giusto" per creare la sicurezza come approccio all'interno di un'azienda è quello di accompagnare le persone verso le scelte corrette, educandole e formandole perché siano le prime a voler lavorare con modalità che guardano alla sicurezza.

"Tradizionalmente le organizzazioni trattavano la sicurezza come un cancello da attraversare o come qualcosa che veniva chiuso a chiave alla fine di un progetto. La sicurezza era considerata responsabilità delle persone con questo titolo di lavoro. Al contrario," afferma d'Ortenzio, "le aziende di successo pensano alla sicurezza e alla resilienza in modo positivo, come fondamentali per la cultura di un'azienda e come una preoccupazione per tutti i dirigenti, i manager e i dipendenti. Questo approccio fa sì che la sicurezza sia centrale in tutti i processi aziendali quotidiani, aumentando la resilienza e migliorando la capacità dell'organizzazione di rispondere in caso di problemi."

Sarebbero cinque i punti principali di una strategia efficace per creare una cultura della sicurezza aziendale:

  • Aggiornamento: è fondamentale "mantenere la forza lavoro aggiornata sulle tecnologie disponibili, chiedere consigli agli specialisti della sicurezza e lavorare per comprendere le politiche e le regole di sicurezza. In questo modo si massimizza la capacità di ogni dipendente di essere la prima linea di difesa nel programma di sicurezza della propria azienda, riducendo la possibilità di semplici errori che potrebbero portare a un problema di sicurezza." Non bisogna dimenticare, però, di attribuire responsabilità precise all'interno dell'azienda.
  • Formazione: è importante formare i dipendenti cosicché possano essere partecipi in prima persona alle pratiche di sicurezza e possano "comprendere i pericoli derivanti da pratiche di sicurezza inadeguate, come la condivisione di nome utente e password". Fare formazione, però, non esime le aziende dal fornire strumenti che rendano a tutti gli effetti più semplice lavorare in sicurezza. "Ad esempio, i servizi AWS offrono credenziali temporanee che possono durare minuti o ore, dopo le quali l'accesso al sistema non è più possibile. Ciò rende più rigoroso il controllo sull'accesso ai servizi, riducendo la possibilità di accesso involontario ai dati aziendali."
  • Imparare dai problemi serenamente: per creare un clima sereno e in cui le persone possano imparare realmente dagli errori per non commetterli più è necessario "creare una cultura in cui l'analisi delle cause alla radice sia fatta in modo oggettivo e senza colpe, quindi serenamente, [e ciò] aiuta a far sì che un’organizzazione possa apprendere. Se un dipendente ha commesso un errore, è fondamentale chiedersi cosa si potrebbe fare per garantire che la prossima volta venga fatta la scelta giusta. Inoltre, è importante che le persone all’interno di un’organizzazione si sentano sicure nel sollevare questioni legate alla sicurezza perché sanno che saranno supportate dal team."
  • Andare incontro ai collaboratori: i team che si occupano specificamente di sicurezza devono lavorare con i colleghi e aiutarli nel loro percorso trovando con loro le informazioni e gli strumenti di cui hanno bisogno per lavorare al meglio. "Ad esempio, l'integrazione di una piattaforma cloud con il fornitore di identità aziendale e la garanzia che gli sviluppatori possano creare permessi all'interno di perimetri comprensibili aiuta a rimuovere il concetto di sicurezza come barriera. Fornire controlli automatizzati che vengono eseguiti in pipeline può dare un feedback tempestivo agli sviluppatori per aiutarli a costruire la configurazione di sicurezza desiderata."

Creare una cultura della sicurezza all'interno dell'azienda la rende più sicura perché rende ogni persona partecipe e responsabile, promuovendo comportamenti coscientemente mirati a migliorare la sicurezza aziendale. In più si motivano maggiormente i lavoratori, dando loro ulteriori preziose competenze che si rivelano utili anche nelle loro vite personali, oltre che professionali.

0 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^