SICUREZZA INFORMATICA

Cybersecurity in azienda: il ruolo centrale della Direzione HR

Home Change Management Processi e organizzazione
Indirizzo copiato

Gli incidenti informatici sono all’ordine del giorno e nessuna organizzazione resta immune agli attacchi dei cybercriminali, che rendono le imprese vulnerabili ed esposte al rischio. Se investire in tecnologia è indispensabile, è altrettanto fondamentale agire sulla formazione dei dipendenti, con attività che promuovano e diffondano competenze e awareness in materia

Pubblicato il 26 feb 2025
hr cybersecurity

Attacchi di phishingmalwarefurti di identità digitale, campagne di password spray: si moltiplicano a ritmi allarmanti le incursioni da parte dei cybercriminali, così come il numero di incidenti che ogni giorno colpiscono individui e organizzazioni in Italia e nel mondo. Parliamo di minacce che non richiamano solo l’attenzione dei reparti IT – e sarebbe anche sbagliato crederlo – ma coinvolgono trasversalmente tutte le funzioni aziendali, comprese le Risorse Umane (HR). Basta pensare alla funzione stessa di questo dipartimento che gestisce una mole significativa di dati sensibili – come informazioni personali dei dipendenti, dettagli contrattuali – rendendolo un bersaglio privilegiato per i cybercriminali. E non solo, c’è poi il ruolo che gioca nel guidare i comportamenti delle persone, anche dal punto di vista dell’utilizzo degli asset aziendali.

Ecco perché è fondamentale che le risorse umane assumano un ruolo proattivo nella promozione di una cultura aziendale orientata alla sicurezza informatica.

Cybersecurity management ed HR: il ruolo delle formazione nella diffusione di una cultura della sicurezza

Perché la cybersecurity è fondamentale per le aziende

Oggi le organizzazioni operano in un contesto altamente digitalizzato in cui la protezione dei dati diventa un elemento imprescindibile per garantire la continuità, evitare perdite finanziarie significative, danni reputazionali e sanzioni legali. Per capire meglio l’impatto di un’incursione da parte di cybercriminali, il Ransomware Trends Report 2024 di Veeam indica che il 43% delle informazioni compromesse da un attacco ransomware viene perso in modo definitivo, senza possibilità di recupero.

Potrebbe sembrare un paradosso ma l’evoluzione delle modalità di lavoro degli ultimi anni complica, per certi versi, lo scenario. Sempre più spesso si lavora da remoto, utilizzando una molteplicità di dispositivi (PC, smartphone, tablet, ecc.), sia aziendali sia personali. Un approccio multidevice se da un lato offre più flessibilità e contribuisce a mantenere un work-life balance sostenibile, dall’altro espone le aziende a nuovi rischi legati alla sicurezza informatica e rende fondamentale l’adozione di strategie di protezione avanzate, oltre a un monitoraggio costante delle vulnerabilità. Anche perché, 3 data breach su quattro (74%) sono causati da errori e negligenze, se non addirittura da scarse conoscenze informatiche da parte dei dipendenti. Ma c’è forse un’altra evidenza che rende la situazione ancora più allarmante: secondo lo State of the Phish 2024 di Proofpoint, ben il 72% dei dipendenti italiani ha minato la sicurezza della propria azienda, sospettando che ciò che stava facendo poteva essere rischioso.

Le motivazioni?

  • Comodità (34%);
  • Desiderio di risparmiare tempo (41%);
  • Senso di urgenza (24%).

Il ruolo delle risorse umane come presidio della sicurezza informatica

È attraverso politiche chiare, aggiornamenti continui e procedure di sicurezza integrate nei processi aziendali che la Funzione Risorse Umane può contribuire a ridurre il rischio di incidenti informatici. Infatti, oltre agli aspetti amministrativi legati alla gestione delle credenziali e degli accessi, il Dipartimento HR è responsabile della formazione e della sensibilizzazione dei dipendenti in merito ai rischi legati alle minacce informatiche, che oggi sono sempre più diffuse e “gravi”; basti pensare che, secondo l’ultimo Rapporto Clusit, sono stati ben 1.637 i cyber attacchi registrati nel mondo nel primo semestre del 2024 e classificati come “particolarmente critici” (+23% rispetto al Q2 del 2023). A conti fatti, sono numeri che si traducono in 9 incidenti significativi al giorno.

Protezione della sicurezza: un compito condiviso tra HR e IT

Una gestione efficace della sicurezza informatica non può, quindi, prescindere da una collaborazione stretta tra IT e Direzione HR, così da costruire un ambiente solido, sicuro e resiliente.

Mentre ai primi spetta implementare misure di sicurezza tecniche come la crittografia, i controlli di accesso e il monitoraggio delle reti, il Dipartimento HR ha, come accennato, il compito di gestire le policy aziendali, formare i dipendenti, assicurarsi che le pratiche di protezione dei dati siano rispettate a tutti i livelli, ma anche definire protocolli chiari per l’accesso alle informazioni sensibili, ponendo particolare attenzione ai processi di inserimento dei nuovi dipendenti e di cessazione del rapporto di lavoro.

Approvato il DDL sulla Cybersicurezza, formazione pilastro per la diffusione della cultura del rischio

Pratiche di onboarding e offboarding sicure

Ad esempio, in fase di onboarding è fondamentale garantire che i nuovi dipendenti abbiano accesso solo alle risorse strettamente necessarie per il loro ruolo come credenziali sicure, abilitazione di autenticazioni a più fattori, senza tralasciare una formazione iniziale sulle politiche aziendali di sicurezza informatica. Non meno importante è la necessità di sensibilizzare fin da subito i neoassunti sui rischi legati alla gestione delle informazioni, fornendo indicazioni chiare sull’uso di password robuste, sul riconoscimento dei tentativi di phishing e sulle buone pratiche per la protezione e la conservazione dei dati sensibili.

Gli errori più comuni nelle fasi di onboarding

Non è raro, infatti, che durante le fasi di onboarding possano verificarsi errori “involontari” che compromettono la sicurezza informatica e la protezione dei dati aziendali, come ad esempio:

  • Accessi non controllati – Spesso, i nuovi dipendenti ricevono autorizzazioni troppo ampie, senza un criterio di “least privilege” (minimo privilegio). Ciò aumenta il rischio di potenziali violazioni di sicurezza.
  • Mancata formazione sulla sicurezza informatica – Trascurare la formazione iniziale sui protocolli di sicurezza aziendale espone i neoassunti a minacce come phishing, ingegneria sociale o uso improprio delle credenziali. È essenziale che comprendano subito le politiche interne e le migliori pratiche per la protezione dei dati.
  • Condivisione non sicura di credenziali – Un errore comune è l’invio di username e password tramite e-mail non protette o canali non sicuri. È preferibile utilizzare sistemi di gestione delle credenziali sicuri e l’autenticazione a più fattori (MFA) fin dal primo accesso.
  • Mancata verifica dell’identità – Non adottare procedure di verifica rigorose può portare a errori nell’assegnazione degli accessi o, nei casi peggiori, a tentativi di furti di identità da parte di malintenzionati.
  • Assenza di un processo strutturato – Un onboarding caotico, senza checklist o protocolli ben definiti, aumenta il rischio di dimenticanze, come l’abilitazione tardiva di accessi critici o la mancata registrazione delle attività di ingresso per eventuali audit futuri.

Allo stesso modo, l’offboarding deve essere gestito con la massima attenzione per evitare che ex dipendenti possano mantenere accessi a dati dell’organizzazione. È indispensabile che HR e IT operino congiuntamente per disattivare immediatamente account e credenziali, revocare i permessi e recuperare eventuali dispositivi aziendali. Inoltre, nel caso di ruoli sensibili, potrebbe essere utile monitorare eventuali attività sospette nei giorni precedenti all’uscita dall’azienda. Un processo strutturato di offboarding riduce il rischio di fughe di dati e garantisce che l’organizzazione mantenga il pieno controllo delle informazioni anche dopo la cessazione del rapporto di lavoro.

Formazione e sensibilizzazione: elementi chiave per la protezione

Un sistema di cybersecurity è tanto forte quanto il livello di consapevolezza e preparazione dei dipendenti. Serve agire sulla formazione attraverso corsi, attività e iniziative che coinvolgano l’intera popolazione aziendale. Oltre a ridurre il rischio di violazione, investire nella formazione in sicurezza contribuisce, infatti, a costruire una cultura di consapevolezza e prevenzione. E vediamo subito il perché. Nonostante nell’ultimo anno il numero di aziende che ha subito attacchi ransomware sia aumentato del 27%, meno della metà delle organizzazioni ha un piano formale in atto, rivela il Data Threat Report 2024 di Thales.

Programmi di formazione: come mantenerli efficaci nel tempo e coinvolgere i dipendenti

Gli attacchi cyber evolvono rapidamente, e colpiscono le organizzazioni con modalità sempre nuove e differenti. Ecco perché, per garantire che i programmi di formazione sulla sicurezza informatica rimangano efficaci nel tempo, è necessario adottare un approccio dinamico e basato su aggiornamenti continui. Vediamo come declinarlo nella pratica:

Sessioni regolari e costanti

Un primo passo è rendere la formazione continua, evitando di limitarsi a un’unica sessione durante l’onboarding. Organizzare corsi periodici, workshop pratici e simulazioni di attacchi informatici, come test di phishing, aiuta a mantenere alta l’attenzione e a rafforzare le competenze nel tempo. È fondamentale che i contenuti siano aggiornati periodicamente, includendo le nuove minacce e best practice di sicurezza. Collaborare con esperti IT per integrare casi reali e scenari pratici nei moduli di formazione permette ai dipendenti di riconoscere i rischi in contesti concreti.

Feedback continuo

Per misurare l’efficacia del programma, è utile implementare test periodici e report di valutazione. Analizzare il livello di preparazione dei dipendenti e raccogliere feedback consente di individuare eventuali lacune e migliorare continuamente le strategie di formazione. Solo così si può costruire una cultura aziendale in cui la sicurezza informatica non sia percepita come un obbligo, ma come una responsabilità condivisa e integrata nella quotidianità lavorativa.

Creazione di corsi dinamici e personalizzati

Un altro aspetto chiave è l’utilizzo di simulazioni e scenari reali per mantenere alta l’attenzione e migliorare l’apprendimento, che deve variare in base ai ruoli, alle responsabilità e alle attività svolte.

Strumenti e tecnologie per individuare e mitigare le vulnerabilità

Si possono suddividere in 3 diverse categorie:

1. Strumenti di identificazione delle vulnerabilità

Questi tool aiutano a rilevare i punti deboli nei sistemi informatici:

  • Scanner di vulnerabilità: software come Nessus, OpenVAS, Qualys, Acunetix che eseguono scansioni automatiche per identificare falle nei sistemi e nelle applicazioni;
  • Penetration Testing Tools: strumenti come Metasploit, Burp Suite, Kali Linux permettono di simulare attacchi per valutare la sicurezza di una rete o applicazione;
  • Monitoraggio della sicurezza in tempo reale: SIEM (Security Information and Event Management) come Splunk, IBM QRadar, ArcSight analizzano i log di sistema per rilevare anomalie e tentativi di intrusione.

2. Tecnologie per la mitigazione delle minacce

Una volta individuate le vulnerabilità, è essenziale adottare misure per mitigare i rischi:

  • Firewall: dispositivi hardware o software come pfSense, Cisco ASA, Fortinet per filtrare il traffico di rete e bloccare accessi non autorizzati;
  • Sistemi di prevenzione e rilevamento delle intrusioni (IDS/IPS): strumenti come Snort, Suricata, Palo Alto Networks monitorano la rete per individuare e bloccare attività sospette;
  • Endpoint Detection and Response (EDR): soluzioni come CrowdStrike Falcon, Microsoft Defender for Endpoint proteggono i dispositivi aziendali rilevando e rispondendo alle minacce in tempo reale;
  • Patch Management: software come Microsoft WSUS, ManageEngine Patch Manager per automatizzare l’aggiornamento delle patch di sicurezza nei sistemi operativi e nelle applicazioni.

3. Strategie per ridurre il rischio di attacchi informatici

Oltre agli strumenti, è fondamentale adottare agire in modo proattivo, attraverso:

  • Segmentazione della rete: separare le reti interne per ridurre il rischio di propagazione di attacchi;
  • Autenticazione forte e gestione delle identità: implementare MFA (Multi-Factor Authentication) e soluzioni di gestione delle identità come Okta, Microsoft Azure AD;
  • Cifratura dei dati: proteggere i dati sensibili con algoritmi di crittografia avanzati come AES-256 per garantire la riservatezza;
  • Backup e disaster recovery: soluzioni come Veeam, Acronis per garantire il ripristino rapido dei dati in caso di attacco ransomware.
@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Redazione People&Change 360

Argomenti

Canali

Articoli correlati

  • TREND

    Ascolto attivo: partire dalla comprensione reciproca per raggiungere la coralità organizzativa

    28 Ago 2024

    di Giovanni Di Muoio

    Condividi

  • GUIDE E HOW-TO

    Pensiero laterale: allenarsi a cambiare prospettiva e risolvere i problemi in modo alternativo (anche in azienda)

    07 Ago 2024

    di Chloe Meni

    Condividi

  • STRATEGIE

    Azienda data-driven, HR e Operation devono collaborare: ecco come

    03 Mag 2024

    di Maura Valentini

    Condividi

Prossimo

Ascolto attivo: partire dalla comprensione reciproca per raggiungere la coralità organizzativa

Articolo 1 di 4