Presentazione
La sicurezza delle informazioni quando si lavora in smart working dipende da aspetti tecnici (accessi remoti, tecnologie, ecc.), organizzativi (regolamenti, reingegnerizzazione dei flussi operativi e dell’interazione tra i dipendenti e gestione degli stessi), legali (norme relative, controlli, ecc.).
Per essere affrontato in maniera efficace, però, il tema va inquadrato in un ambito più esteso, che comprenda e che traguardi l’intera organizzazione, sia per quanto riguarda ovviamente organizzazione e legalità, ma anche la gestione della sicurezza delle informazioni nel suo complesso, non tanto dal punto di vista tecnologico, ma soprattutto da un punto di vista comportamentale.
L’innovativo percorso innovativo proposto da W.Training in collaborazione con Eris Consulting, società specializzata nella sicurezza e tutela del patrimonio informativo aziendale, ha un taglio operativo: alla teoria sarà concesso meno spazio rispetto al fare concretamente e i partecipanti al percorso formativo saranno chiamati a un ruolo da protagonisti.
I responsabili aziendali saranno inizialmente coinvolti dagli esperti di Eris Consullting in un Light Assessment che individuerà le problematiche di sicurezza e i comportamenti più a rischio all’interno della propria azienda.
A due seminari “introduttivi” sarà poi affidato il compito di avviare un “percorso di consapevolezza” in azienda, fornendo le indicazioni tecniche, organizzative e comportamentali necessarie per salvaguardare le informazioni.
Toccherà quindi ai dirigenti, durante workshop condotti in assoluta autonomia, senza la supervisione dei docenti – una sorta di micro self-assessment -, testare con i propri gruppi di lavoro il grado di consapevolezza riguardo la sicurezza dei dati in azienda e individuare eventuali rischi per l’organizzazione.
A questo punto, i dirigenti torneranno in aula virtuale per approfondire la conoscenza delle normative legate alla sicurezza dei dati e al rispetto della privacy, nonché gli aspetti organizzativi, manageriali e della gestione del capitale umano che soprattutto le imprese che operano in modalità “agile” si trovano ad affrontare.
I partecipanti alla formazione avranno poi modo, durante un altro workshop condotto in autonomia senza l’ausilio dei docenti, di applicare il modello GROW, una metodologia che consente di definire obiettivi condivisi e motivanti ed individuare il percorso reale per raggiungerli.
Durante l’ultima giornata, infine, i dirigenti e gli esperti di Eris Consulting analizzeranno quanto emerso dal Light Assessment iniziale e dai vari workshop effettuati in autonomia dai dirigenti per individuare le criticità e le relative contromisure.
Programma del corso
Affiancamento e Light assessment
Questa fase si compone di due momenti distinti, ma integrati, durante i quali ci si confronterà con i dirigenti dell’azienda analizzando ad alto livello l’organizzazione ed i processi aziendali, sia per le attività svolte all’interno dell’azienda, sia per quelle svolte da remoto; questo confronto ha l’obiettivo, inoltre, di aiutare il management a focalizzarsi sulle peculiarità dei due modi di lavorare ed iniziare ad introdurre alcuni concetti sulla sicurezza.
- Snapshot sull’organizzazione e verifica dei processi IT
Uno sguardo all’organizzazione ed ai processi IT con particolare riguardo alla gestione della sicurezza delle informazioni, sia per chi opera in azienda, sia per i lavoratori remoti o in smart-working. L’attività consiste in una serie di interviste che saranno principalmente rivolte alla Direzione dei Sistemi Informativi, alla Direzione del Personale, al Responsabile della Sicurezza, al Direttore di Produzione, alla Direzione Generale, al Direttore Ricerca e Sviluppo, al responsabile della gestione degli asset… ad un paio di utenti presi a campione, e nella raccolta della documentazione presente (Policy, procedure, organigrammi, nomine, ecc.).
- Osservazioni comportamentali
Come ormai è risaputo, la sicurezza non è una questione di prodotti e tecnologie ma di processi, e i comportamenti sono il fulcro di questi ultimi. A nulla servono infatti procedure e regolamenti se poi questi non sono conosciuti o se ancor peggio vengono disattesi, spesso inconsapevolmente, talvolta volutamente, magari per creare una facile scorciatoia nello svolgere le proprie attività. Questa parte del percorso formativo ha l’obiettivo di osservare i comportamenti delle persone in azienda (talvolta interagendo con i dipendenti tramite piccole attività di social engineering), osservando come si relazionano con i principi base sulla sicurezza, con quale attenzione trattano le informazioni riservate, comprese quelle cartacee (non è infrequente fare, ad esempio una verifica di cosa si trova nei cestini a fine giornata lavorativa) e quelle verbali. L’obiettivo è quello di fornire indicazioni sui comportamenti per eventualmente rilevare la necessità di creare maggiore consapevolezza, o rafforzare la diffusione delle politiche di sicurezza.
Seminari
Persone consapevoli, informazioni più sicure
L’obiettivo di questa parte del percorso formativo è quello di informare e sensibilizzare i partecipanti in merito alla sicurezza delle informazioni e ai principali aspetti e rischi ad essa connessi. Saranno prese in esame anche le diverse tipologie di attacco più comuni, comprese quelle di tipo “social engineering”, ecc.
Il modulo aiuta a creare consapevolezza negli impiegati, che sono in genere chiamati alle funzioni più operative, e a sensibilizzare i responsabili ed i manager a porre la giusta attenzione al fenomeno degli attacchi informatici e delle frodi finanziarie, all’importanza di adottare opportuni accorgimenti per la protezione delle informazioni aziendali.
Lo smart working e la sicurezza
Operare in smart working comporta necessariamente variazioni nel modo di operare e soprattutto nel modo in cui ci si approccia alle informazioni dell’azienda ed alle tecnologie che le gestiscono.
Le informazioni aziendali sono a rischio quando i dipendenti che lavorano in modalità “agile” utilizzano una connessione privata che nella quasi totalità dei casi dispone di livelli di sicurezza molto inferiori a quelli delle reti aziendali, così come pericoloso è l’utilizzo da parte dei lavoratori dei propri strumenti che, non essendo sotto il dominio IT aziendale, sono molto difficilmente gestibili e monitorabili, costituendo pertanto un vero e proprio tallone di Achille.
L’obiettivo di questo modulo, da un lato è quello di fornire qualche indicazione tecnica e organizzativa, dall’altro quello di fornire le indicazioni comportamentali per poter operare in maggior sicurezza.
Workshop svolti in autonomia
La consapevolezza sulla sicurezza in azienda dal punto di vista del personale
Obiettivo
- Comprendere il livello di consapevolezza di dipendenti e collaboratori in merito alla sicurezza delle informazioni
- Trasferire in Azienda alcuni dei concetti discussi durante il Seminario sulla sicurezza delle informazioni
Modalità
Incontro/intervista con i propri collaboratori e con i dipendenti in genere; ogni dirigente incontrerà singolarmente almeno 5 persone del proprio reparto, discuterà con loro dei concetti di sicurezza cercando di comprendere se i dipendenti conoscono le regole aziendali in merito alla sicurezza delle informazioni, con particolare riferimento allo smart-working, se le seguono, se conoscono, anche per linee generali i rischi relativi alla sicurezza delle informazioni e quali sono i loro comportamenti.
Ogni dirigente riporterà in formato tabellare quanto emerso dagli incontri e lo spedirà al coordinatore del corso.
Durante l’ultima giornata del corso i risultati degli incontri saranno discussi collegialmente.
Come traccia generale viene fornita una lista di domande che possono essere utilizzate per l’incontro con i dipendenti.
Uno sguardo dall’alto sui rischi per l’organizzazione e per il business
Obiettivo
Fermarsi un momento e fare una riflessione sulla propria organizzazione e sul proprio business, con particolare riferimento alla sicurezza delle informazioni, cercando di focalizzare quali sono gli elementi principali che fanno funzionare l’azienda, quali sono le minacce ai quali questi elementi sono sottoposti e quali contromisure sono state implementate per limitare i rischi.
Modalità
Si tratta di una sorta di micro self-assessment; utilizzando come spunto le domande fornite, fare una riflessione sui vari argomenti, esponendo le peculiarità di ogni area/macro-servizio, dando una prima stima della sua criticità in Azienda (cosa succederebbe se questo elemento smettesse di funzionare? Per quanto tempo posso accettare che questo elemento non funzioni senza che il funzionamento o il business dell’azienda ne risenta seriamente? Ecc.).
Durante l’ultima giornata del corso i risultati degli incontri saranno discussi collegialmente.
Come traccia generale viene fornita una lista di domande da usare come spunto per la riflessione.
Prepararsi a discutere domande quali: cosa avete fatto/state facendo per contrastare questa minaccia? Cosa sarebbe opportuno fare?
Ultima giornata
Analisi e discussione di quanto emerso dal Light Assessment, dai risultati dei workshop e indicazioni delle eventuali contromisure
Questa sessione prevede un momento di affiancamento e un confronto con i dirigenti ed il management dell’Azienda per operare in maniera congiunta una analisi delle evidenze raccolte durante le interviste e dei workshop effettuati in autonomia dai dirigenti, per discuterne, per approfondire eventuali punti e per individuare eventuali azioni correttive e/o evolutive da adottare per migliorare il livello di sicurezza, sia per l’azienda, sia per i dipendenti.
