Benvenuti al primo di quattro appuntamenti dove daremo uno sguardo d’insieme ad alcune strategie che gli MSP devono implementare per accompagnare i propri clienti all acompliance GDPR.
Possiamo definirla una Guida rapida alle Strategie GDPR che ogni MSP dovrebbe avere ben presente. In questi quattro appuntamenti affronteremo i seguenti argomenti e le strategie per gestirli:
Blog 1 – Fornire formazione sulla sicurezza ai dipendenti dei clienti
Blog 2 – Protezione della posta e whitelisting delle applicazioni
Blog 3 – Gestione delle patch, le regole dei privilegi di amministratore e la crittografia dell’hard disk…
Blog 4 – le tecnologie di difesa dell’endpoint
Iniziamo dunque il nostro percorso:
I vantaggi della formazione sulla sicurezza dei dipendenti
I fornitori di servizi gestiti (MSP) sono un gruppo scettico. Poiché i fornitori e gli esperti di canale abbondano, molti MSP e fornitori di servizi IT tendono a mettere a punto i contenuti dai fornitori. Se hai intenzione di provare a vendere Servizi gestiti su un’idea, è meglio che questa sia orientata al valore. E devi arrivare al punto, in fretta.
Se qualcuno venisse nella tua attività e dicesse: “Posso aiutarti a ridurre le chiamate all’assistenza clienti, migliorare le relazioni con i clienti, rendere i tuoi clienti più sicuri e aiutarli ad avvicinarsi alla preparazione al GDPR, per pochi soldi”, la maggior parte degli MSP che conosco farebbe rispondere educatamente con “Ho un incontro in questo momento”. (E potrebbero anche non essere così educati.)
Ma per i tuoi clienti esiste una soluzione del genere: la formazione sulla consapevolezza della sicurezza dei dipendenti.
Sebbene non sia certamente un proiettile d’argento, è un modo economico per i tuoi clienti di migliorare la loro sicurezza. La formazione dei dipendenti può essere una parte cruciale della protezione delle imprese dei tuoi clienti dalle multe relative a violazioni del Regolamento generale sulla protezione dei dati (GDPR). Se il tuo bouquet di servizi non offre ai tuoi clienti un programma di formazione sulla sicurezza dei dipendenti, perdi una grande opportunità.
Perché la formazione sulla sicurezza dei dipendenti è così importante? Molto semplicemente, aiuta a prevenire incidenti di sicurezza informatica che potrebbero essere causati da errori dell’utente. La formazione dei loro dipendenti è un servizio essenziale da fornire ai clienti che ti pagano già per i servizi di sicurezza.
Se il tuo cliente cade vittima di un attacco informatico ad alta o bassa tecnologia, potrebbe non avere i fondi per pagarti o potrebbe contestare o mettere in discussione la tua competenza. Indipendentemente dalla causa dell’incidente, potrebbero incolpare alcuni dei tuoi servizi MSP. Tuttavia, se hai erogato un programma di formazione sulla sicurezza, questo può aiutare a mitigare la percezione che il problema si ripercuota esclusivamente sulle tue spalle. E, naturalmente, se i dipendenti praticano una buona sicurezza, la probabilità di un incidente di sicurezza informatica di successo si riduce.
Con l’entrata in vigore del GDPR, la formazione sulla sicurezza fornita potrebbe aiutarli a prevenire attacchi volti a rubare dati di informazioni personali (PII) (e potrebbe aiutarli a evitare situazioni in cui i criminali informatici tentano di ingannare i dipendenti in modo fraudolento trasferimento di denaro). La divulgazione non autorizzata di informazioni personali ai sensi del GDPR può comportare gravi sanzioni e pregiudicare la reputazione dell’azienda. In breve, un cliente con violazione dei dati è dannoso per l’azienda.
Quanto è importante la formazione sulla consapevolezza?
Quattro delle cinque maggiori perdite cybercriminali negli Stati Uniti sono state realizzate senza salire al livello di un “sofisticato” attacco cybercriminale. Ad esempio, compromissione della posta elettronica aziendale, truffe fraudolente e romantiche, truffe per mancato pagamento e mancata consegna e truffe sugli investimenti hanno causato perdite per oltre $ 840 milioni per le persone di età superiore ai 40 anni 1 .
La cosa triste di queste statistiche è che, in molti casi, non esiste una soluzione tecnica semplice: la formazione sulla consapevolezza della sicurezza degli utenti a volte potrebbe essere l’unica opzione. Ciò vale anche per le famigerate truffe del supporto tecnico, in cui qualcuno afferma fraudolentemente di appartenere a una società di supporto tecnico. IC3 riferisce che “IC3 ha ricevuto migliaia di denunce di frode relative al supporto tecnico. Le vittime hanno perso milioni di dollari per gli autori. Nel 2016, l’IC3 ha ricevuto 10.850 denunce di frodi nel supporto tecnico con perdite superiori a $ 7,8 milioni. ” 2
Quando un MSP offre formazione sulla sicurezza dei dipendenti per i propri clienti, aiuta a rafforzare il processo decisionale di sicurezza informatica di base. Se eseguita correttamente, questa formazione migliora la sicurezza dei dipendenti sia negli ambienti IT domestici che di lavoro, il che fornisce valore ai dipendenti dei clienti e al business.
E infine, è spesso richiesto dalla legge. Praticamente tutti i regimi di conformità includono un requisito per un programma di formazione e sensibilizzazione sulla sicurezza 3 .
Ciò include il GDPR, che richiede un’ampia gamma di misure per ridurre il rischio di violazione dei dati PII e richiede che il responsabile della protezione dei dati, “monitora la conformità … compreso l’assegnazione di responsabilità, la sensibilizzazione e la formazione del personale coinvolto in operazioni di elaborazione “. 4 Il GDPR richiede che gli addetti siano informati e formati.
In definitiva, fornire formazione sulla consapevolezza della sicurezza degli utenti offre un valore immenso ai tuoi clienti senza sovraccaricare il personale. Ridurrete il rischio di violazione dei dati aiutando nel contempo gli sforzi dei vostri clienti nel processo per raggiungere la compliance al GDPR.
Si noti che questo contenuto rappresenta un’opinione e che nulla in esso contenuto costituisce in alcun modo una consulenza legale. Ti consigliamo di parlare con esperti legali in materia per assicurarti di essere pronto per il GDPR e proteggere la tua azienda da eventuali multe.
fonti:
1 “Rapporto sulla criminalità su Internet 2016”, Ufficio federale di indagine. https://www.fbi.gov/news/stories/ic3-releases-2016-internet-crime-report (accesso ottobre 2017).
2 “ Rapporto sul crimine su Internet 2016 ” , Centro federale per i reclami contro il crimine su Internet (IC3). https://pdf.ic3.gov/2016_IC3Report.pdf (consultato a ottobre 2017).
3 “Requisiti di conformità per la consapevolezza della sicurezza”, SANS. https://securingthehuman.sans.org/media/resources/business-justific/sans-compliance-requirements.pdf (consultato a ottobre 2017).
4 “Art. 39 GDPR, ”Regolamento generale sulla protezione dei dati (GDPR). https://www.privacy-regulation.eu/en/39.htm (consultato a ottobre 2017).