Una violazione dei dati all’interno dell’azienda (il cosiddetto data breach) ha costi ingenti e costituisce un danno enorme: è fondamentale quindi che i professionisti HR comprendano i diversi modi in cui un hacker può tentare di accedere alle informazioni ed essere in grado di riconoscerli e per certi versi prevenirli.
In prima istanza l’HR dovrebbe provvedere a una adeguata formazione di tutti i dipendenti, collaborando con l’IT che non può più essere ritenuto l’unico responsabile della protezione delle informazioni e dei sistemi.
È fondamentale che le risorse umane siano quindi parte integrante nello sviluppo, nell’implementazione e nella comunicazione di politiche e procedure di sicurezza aziendale.
In secondo luogo, il team HR è uno dei più esposti agli attacchi esterni: solitamente i dipendenti di un’azienda vengono abituati a non aprire e-mail sospette con allegati o a cliccare su link inviati da sconosciuti; nel caso dell’HR, tuttavia, le e-mail esterne provengono spesso da sconosciuti e in molti casi contengono un cv allegato o un link di riferimento per gli endorsement e i materiali a supporto di una candidatura.
I professionisti delle risorse umane devono quindi implementare le migliori strategie per educare e far applicare le politiche aziendali di sicurezza, ponendo sempre particolare attenzione al proprio lavoro e alla propria particolare condizione di “esposizione” al rischio.
Di seguito i suggerimenti di Kaspersky, leader globale nella sicurezza informatica, per proteggere “l’anello debole” dell’HR in azienda.
- Isolare tutti i device dell’HR in una sottorete separata;
- Non memorizzare password e info di autenticazione sul proprio device: meglio gestirle attraverso un server separato protetto con autenticazione multifattore;
- Seguire i consigli dei migliori professionisti in ambito cybersecurity: una risorsa di incredibile valore è rappresentata dalla piattaforma KASAP di cui è possibile scaricare una lezione di prova cliccando qui ;
- Prestare molta attenzione alla formazione del personale in modo che ogni utente sia in grado di riconoscere negli allegati ricevuti un file eseguibile (e non eseguirlo). Stilare quindi un elenco dei formati cv accettati e condividerlo attraverso i propri canali di recruitment.
- Gestire la policy sulla sicurezza informatica in maniera chiara e precisa, imponendo l’utilizzo di password non deboli e periodicamente aggiornate.