Sicurezza informatica: perché istruire i propri dipendenti alla “discrezione” sui social?

Ecco un esempio di qualche tempo fa: alcuni esperti di sicurezza furono invitati a fare un tour dietro le quinte delle operazioni di sicurezza di un noto casinò di Las Vegas. Prima di poter entrare, tuttavia, dovettero spegnere i telefoni e metterli via. Nessuna foto, fu detto, perché potrebbe rivelare informazioni che potrebbero compromettere la sicurezza del casinò. Il personale del casinò chiese anche di non condividere sui social media alcun dettaglio su ciò che avrebbero visto o sentito. In una stanza, qualcuno cercò di tirare fuori furbescamente il telefono per scattare una foto. Il personale del casinò li ha scortò rapidamente fuori dalla stanza e fuori dal tour. Queste persone non stavano scherzando sulla protezione dei dettagli sulle loro operazioni di sicurezza. Le organizzazioni e le aziende dovrebbero prendere spunto da questo episodio quando si tratta di formazione sulla sicurezza informatica?

La maggior parte delle organizzazioni non è così severa sulle foto scattate in loco o su ciò che finisce sui social media. Non è che non vogliano proteggere la loro proprietà intellettuale o i segreti commerciali. Piuttosto, la dirigenza potrebbe non essere consapevole di ciò che i propri dipendenti condividono sui social media. Oppure, potrebbero non avere politiche in atto su ciò che può e non può essere pubblicato online. In effetti, alcuni dipendenti pensano di fare un favore ai loro datori di lavoro pubblicando foto e video che mostrano il posto di lavoro o qualsiasi cosa con il logo aziendale. Invece, questa mancanza di discrezione professionale sui social media potrebbe portare a potenziali danni alla sicurezza.

Tutte le foto e i video condivisi dai luoghi di lavoro possono contenere informazioni sensibili che i dipendenti, in buona fede, non si rendono nemmeno conto di condividere. La pubblicazione di foto e video è un marchio personale per molti. Pubblicano decine di volte al giorno senza mai rendersi conto delle ricadute sulla sicurezza o della minaccia di furto di identità personale e aziendale. E non si rendono conto che è un problema perché non è al centro della formazione sulla consapevolezza della sicurezza informatica. È un problema in svariati settori.

Ecco alcune delle possibili minacce

Sai cosa c’è sulla tua scrivania?

Alla gente piace fotografare i propri spazi di lavoro. I social media ispirano questo tipo di condivisione, con post virali che ti chiedono di mostrare la tua scrivania pulita (o disordinata). Forse vuoi mostrare cosa è appeso alle pareti del tuo cubicolo. Ma una buona formazione sulla sicurezza informatica dovrebbe aiutare le persone a pensare per un momento a ciò che c’è sulla scrivania o sui muri: le informazioni di cui il lavoratore ha bisogno per il proprio lavoro. Un’inquadratura della parete di un cubicolo potrebbe includere una lavagna con i dettagli di nuovi prodotti non ancora resi pubblici. Un’immagine del tuo computer potrebbe finire per condividere informazioni sensibili e private con tutti nel tuo universo di social media. Un rappresentante ha pubblicato una foto dello schermo del suo computer su Twitter, senza rendersi conto che stava anche condividendo la sua password e-mail e un PIN.

Necessità di formazione sulla sicurezza informatica nel settore sanitario.

Tra le condivisioni più eclatanti di informazioni personali del 2021 ci sono i Green Pass. Un documento che  è l’equivalente di una carta “uscire di prigione gratis”. Naturalmente, volevamo tutti condividere quella notizia. Ma le persone non coprivano le loro informazioni personali sulla carta. Condividono nomi completi e date di nascita là fuori perché il mondo lo veda. Ma non solo. Questo ha anche condiviso la posizione in cui si è effettuato lo scatto e i dettagli sul vaccino stesso.

La condivisione di foto scattate durante una procedura medica su Instagram? Nessuno ha il permesso dei pazienti di condividere i dettagli intimi del loro intervento chirurgico. In altri incidenti di sicurezza sui social media, i professionisti medici pubblicano immagini, video e storie su pazienti e personale. Ciò può mettere il loro posto di lavoro a rischio di violazioni della conformità. Allo stesso modo, i pazienti non dovrebbero condividere le foto dei loro braccialetti di identificazione medica, bottiglie di medicinali o carte d’identità sulle culle dell’asilo. Non SCHERZIAMO.

Industria al dettaglio

Molti rivenditori si avvalgono dei social media come un modo per attirare clienti e costruire il proprio brand. Ma non tutte le immagini sempre raccontano la storia che l’azienda vuole raccontare. Una divertente foto del personale scattata in ufficio/negozio potrebbe mostrare informazioni finanziarie sensibili o informazioni riservate sui fornitori.

Non è solo la mancanza di consapevolezza della sicurezza informatica a preoccupare. E’ vero che una scarsa condivisione sui social media potrebbe mettere a rischio la sicurezza fisica dei negozi. Un fotomontaggio pensato per essere uno strumento di marketing offre però a potenziali ladri una buona occhiata a quali e dove si trovano gli oggetti più preziosi. Le foto scattate nelle aree di stoccaggio e nel retro bottega mostrano i punti di ingresso e di uscita. E quelle foto dell’ufficio? Potrebbero ad esempio rivelare dove si trova la cassaforte o mostrare le chiavi appese al muro.

Settore finanziario

Il settore finanziario si è rivolto ai social media come un modo per aggiornare la propria immagine e navigare nei nuovi modi in cui le persone gestiscono i propri soldi. Sembra inoltre che i dipendenti tendano a condividere eccessivamente sui social media professionali. Forse non pubblicano molto le immagini visive, ma possono pubblicare post in cui trasmettono le loro lamentele. Barclays, ad esempio, ha scoperto che i reclami dei dipendenti sui nuovi sistemi software e sulle politiche si riversano nel marchio aziendale. Se i dipendenti dimostrano di non fidarsi del software che stanno utilizzando, solleva interrogativi sulla sicurezza dei dati dei clienti. I consumatori perdono fiducia.

Naturalmente, le istituzioni finanziarie trattano informazioni molto sensibili. Pertanto, i dipendenti che condividono le foto scattate al lavoro sono ad alto rischio di violare le politiche sulla privacy dell’ufficio. Una foto o un video possono facilmente catturare i numeri di conto o i portafogli dei clienti.

Sfide di formazione sulla sicurezza informatica

Tenere traccia dei social media è difficile. Non Mission Impossible ma difficile. Un numero crescente di aziende e agenzie dipende dai social media come strumento di marketing. I membri dello staff interagiscono con i loro follower come parte del loro lavoro. Foto e video aggiungono un tocco umano a un’attività altrimenti anonima.

E i dipendenti sono consumatori di social media a cui piace condividere parti della propria vita. Le foto innocenti del pranzo alla tua scrivania potrebbero rivelare informazioni sensibili.

Chi ha il tempo di vigilare su tutto ciò che i dipendenti condividono sui loro social? Nel frattempo, i dipendenti non hanno la più pallida idea che ciò che stanno facendo sta causando problemi.

L’istruzione è tutto e le aziende dovrebbero includere i rischi e i comportamenti dei social media in qualsiasi formazione sulla sicurezza informatica. Non si tratta solo di insegnare ai dipendenti cosa NON fare, ma di come le loro azioni possono avere un impatto sull’azienda (e sulla privacy del dipendente stesso).

La formazione dovrebbe includere i rischi nella pubblicazione di immagini e video sui social media, ma considerare anche i seguenti aspetti:

• La necessità di un’autenticazione a più fattori nel caso in cui le persone condividano le password
• Come memorizzare le password in modo sicuro
• Stabilire politiche sull’uso della fotocamera (come non consentire mai le fotocamere in aree che rivelano proprietà intellettuale, ad esempio)
• Impostazione dei dispositivi in ​​modo che entrino in modalità stand-by quando non sono in uso
• Usa immagini di sfondo nelle videochiamate (non sai mai quando uno screenshot della chiamata finirà sulla pagina Facebook di qualcuno!)

Nessuno sarà (mai?) in grado di impedire ai dipendenti di condividere sui social media. Garantire che abbiano la giusta formazione sulla consapevolezza della sicurezza informatica su come la loro condivisione può essere dannosa per la sicurezza aziendale e personale, dovrebbe però incoraggiarli a pensarci due volte prima di condividere un post.

Nella tua azienda è stata implementata una politica di sicurezza e di verifica per arginare queste problematiche? Raccontaci nei commenti cosa è stato implementato.