La Cybersecurity Awareness
Essere consapevoli dell’esistenza di un pericolo e delle conseguenze che questo comporta, rappresenta il primo strumento di difesa.
La cybersecurity awareness trasforma i dipendenti nella prima linea di difesa contro il cyber crime, sensibilizzandoli, rendendoli consapevoli circa le tipologie, i metodi e gli impatti degli attacchi cyber ai danni di computer, server, reti, dispositivi mobili e dati aziendali.
Il fine è elevare il livello di sicurezza dell’intera organizzazione, trasformando i comportamenti e migliorando la security posture.
Cos’è la cybersecurity awareness
La traduzione letterale dell’espressione “security awareness” rimanda al concetto di consapevolezza: essa va acquisita attraverso un processo di formazione puntuale e costante destinato a tutti gli utenti di dispositivi connessi e, più in particolare, ai dipendenti considerati figure centrali nel tradurre in pratica quotidiana quanto contenuto nelle policy di security aziendale.
Per semplice disattenzione, dimenticanza o scarsa conoscenza relativa alle misure di sicurezza da adottare, accade che il dipendente si trovi ad abilitare un accesso illecito alla rete aziendale. Le cause possono essere diverse, dal cliccare banalmente su un link contenuto in un messaggio di posta elettronica sospetto, all’aprire un allegato proveniente da un mittente sconosciuto e, magari, scaricando del contenuto non sicuro.
Tuttavia, la security awareness in un’organizzazione non riguarda solo i dipendenti, bensì tutto il personale, compresi il management e le figure direzionali.
Pensare il contrario, equivale a una visione limitata della sicurezza, che non tiene conto di tutte le sue dinamiche e di tutti i suoi attori, inclusi coloro i quali, proprio per l’alta carica che ricoprono e per l’elevato livello di responsabilità, fanno ampio uso di dispositivi mobili contenenti una vasta mole di informazioni sensibili dell’azienda, del suo business o dei suoi clienti.
Inoltre, il management è soggetto a frequenti spostamenti il che li espone ad ulteriori rischi, in quanto spesso si avvalgono (senza conoscerne il livello di protezione) di infrastrutture pubbliche per l’accesso wireless a Internet, col rischio di incorrere in attacchi esterni volti al furto di dati.
Dunque, tutti in azienda devono essere consapevoli delle diverse tipologie di minacce, dei loro impatti sull’operatività dell’azienda, sulla continuità dei servizi erogati, sul business, sulla privacy e la riservatezza dei dati, ed è fondamentale essere a conoscenza del ruolo che la componente umana ricopre come prima misura di difesa.
Tipologie ed obiettivi della cybersecurity awareness
A seconda del tipo di azienda e delle sue peculiarità sotto il profilo organizzativo, l’informazione e la formazione possono seguire canali differenti, che vanno dalla didattica in aula a cura di formatori interni o esterni all’azienda, passando per programmi di e-learning specificatamente sviluppati in base al livello generale di preparazione del personale fino a tecniche di gamification o alla messa a punto di materiale informativo specifico erogato per mezzo di newsletter o mediante la Intranet aziendale.
I contenuti dovranno innanzitutto partire dalle basi, spiegando quali sono i cyber attack più comuni, come poterli identificare e come vanno protetti computer e dispositivi mobili, come vanno rese inviolabili le proprie credenziali di accesso e le informazioni personali.
Successivamente, ci si potrà focalizzare su tematiche più complesse, che concernono, ad esempio, le concrete soluzioni di controllo e prevenzione, nonché di risposta efficace agli attacchi.
L’obiettivo principe è quello di far sì che tutti, in azienda, indipendentemente dai singoli ruoli e dalle singole mansioni, si impossessino delle competenze e dei metodi di base della sicurezza informatica, atti a fare prevenzione e, in caso di criticità, a difendersi. Ma non solo.
A un livello più profondo, lo scopo della security awareness è portare la cultura della cybersecurity nelle aziende, rendendo gli utenti più responsabili sul tema, motivandoli a un atteggiamento più attivo nei confronti delle possibili minacce alle quali essi stessi, in quanto parte del “sistema azienda”, sono esposti.
Le minacce dalle quali difendersi
Conoscere il male per potersi difendere: questo il principio cardine della security awareness. Il male, in questo caso, è dato dalle minacce alla sicurezza IT, tra cui – solo per citare alcuni esempi – la più comune è il malware.
Si tratta, in sostanza, di un software – in molti casi fatto circolare mediante allegati email o download apparentemente insospettabili – finalizzato alla messa fuori uso del computer della vittima. Ne esistono di diversi tipi, tra i quali ricordiamo i virus e i trojan: programmi dal codice malevolo in grado di riprodursi ed infettare i file all’interno del sistema.
Gli spyware, invece, sono un’altra pericolosa tipologia di malware capaci di registrare – senza che l’utente se ne accorga – le azioni di quest’ultimo, riuscendo, ad esempio, a impossessarsi dei dati della sua carta di credito e di altre informazioni sensibili.
Mentre il ransomware è quel malware in grado di impedire alla vittima di accedere ai suoi file e ai suoi dati (spesso criptandoli), a meno che non paghi al criminale un riscatto in denaro.
Un altro genere di attacco, del quale occorre avere piena consapevolezza per poterlo prevenire e combattere, riguarda il phishing: in questo caso l’utente riceve una email non sospetta che, in realtà, cela lo scopo di estorcergli informazioni personali, tra cui le credenziali di accesso a siti (spesso relativi al settore bancario e social).
Sempre finalizzato alla sottrazione di dati è l’attacco Man in the Middle, che agisce intercettando le comunicazioni fra due utenti, mentre l’attacco DoS (Denial of Service) sovraccaricando le reti e i server, punta a rendere inutilizzabile il sistema informativo o l’applicazione esposta sul web.
Nelle aziende, tra le misure di difesa alle minacce citate figurano i protocolli per crittografare messaggi email, file e informazioni riservate, proteggendo, in questo modo, i dati in transito, i canali utilizzati e difendendosi da eventuali tentativi di furto.
Inoltre, ai protocolli di sicurezza si deve combinare un costante aggiornamento dei database delle minacce per abilitare la rilevazione in tempo reale dei malware e di quei virus che si “mimetizzano” cambiando codice o forma nel tempo. E alcuni programmi consentono anche di isolare (nei cosiddetti sandbox) quei software ritenuti potenzialmente dannosi, per studiarli e arrivare a comprendere come poterli intercettare più rapidamente e con maggiore efficienza.
La cybersecurity awareness di Telsy
Secondo un rapporto Gartner del 2021, l’elemento umano (85%) ha continuato a essere un catalizzatore principale per violazioni di dati nei precedenti 12 mesi, con il phishing che ha rappresentato il 36% delle violazioni.
Per far fronte alla necessità di affrontare la grande varietà di rischi cyber, Telsy ha costruito un percorso di formazione per la sensibilizzazione del personale verso le principali tematiche di sicurezza informatica, trasformando l’utente nella prima linea di difesa.
Lo scopo è aumentare la consapevolezza degli utenti e ridurre la superficie complessiva esposta ad attacchi cyber. Alcuni studi stimano infatti che una corretta formazione sulla sicurezza informatica riduca l’indice di propensione a cadere vittima di attacchi di phishing fino al 90%.
Il percorso è rivolto a dipendenti, ad impiegati nella Pubblica Amministrazione nonché dedicato anche ai vari livelli di management. La soluzione di security awareness di Telsy si compone di un percorso di apprendimento strutturato in moduli che sfruttano diverse metodologie interattive e di neuroapprendimento, mettendo alla prova l’utente in scenari tanto esplicativi quanto attuali (gamification).
Oltre ai fini sopracitati, la soluzione permette di:
- Adottare metodologie e strumenti capaci di misurare il grado di maturità attuale dei dipendenti in relazione alle tematiche di cybersecurity, con telemetria per tracciarne i miglioramenti;
- Preparare il personale per identificare, gestire e segnalare ogni anomalia, potenziale sintomo di un attacco informatico;
- Creare una cultura della sicurezza nella quale le buone pratiche diventino abitudini usuali e non suggerimenti occasionali;
- Accrescere la consapevolezza del top management nella valutazione e mitigazione del rischio cyber tramite report dettagliati.
Scopri le altre soluzioni di Prevention di Telsy
Leggi gli altri report sul blog di Telsy
Claudio Di GiuseppeVedi tutti gli articoli
Diplomato in chimica a Roma, si laurea in sociologia per poi specializzarsi in comunicazione, valutazione e ricerca sociale. Si dedica allo studio di internet, della comunicazione digitale e del marketing, conseguendo un master negli Stati Uniti, a Los Angeles. Successivamente consegue un master di II livello in geopolitica e sicurezza globale, in Italia. Attualmente è Junior Communication Specialist per Telsy, Gruppo TIM. Collabora con la Croce Rossa Italiana come operatore volontario e operatore in attività di protezione civile (OPEM).