Security awareness, che cos’è, perché ne parliamo… e perchè, oggi, è una priorità, per tutti. Una guida preziosa sviluppata in collaborazione con Errevi System.
Intanto andiamo con ordine.
Gli investimenti nella sicurezza informatica sono costantemente in aumento da qualche anno a questa parte. Eppure, gli incidenti e le sottrazioni di dati non fanno che crescere, tanto che ormai è difficile trovare delle organizzazioni che siano rimaste completamente immuni. La colpa, certamente, è di attacchi che si sono fatti sempre più numerosi e sofisticati, ma non solo. In effetti, nonostante le aziende si dotino sempre di più di tecnologie di cybersecurity ottimali, esiste un fattore che, purtroppo, viene ancora molto spesso trascurato: parliamo del fattore umano. Dipendenti e collaboratori, quasi sempre, costituiscono l’anello più debole nel sistema di sicurezza digitale di qualsiasi organizzazione.
Le persone non avvezze alla cybersecurity, infatti, tendono a commettere errori prestando il fianco alle azioni fraudolente del cybercrime, specialmente facendo qualche click di troppo.
In questo senso il nostro è un Paese che fa scuola se si considera che già nel 2019, età pre-covid, secondo una ricerca Vansonbourne proprio l’Italia risultata essere il primo Paese in Europa per uso di cloud non autorizzato in azienda… per lavorare. Il tutto aprendo scenari di “insicurezza” enormi in tutte le imprese.
Un primato che, con l’accelerazione digitale scatenata dalla pandemia, ha portato oggi ad una situazione che, il Clusit su tutti, definisce ampiamente fuori controllo: oltre il 47 per cento degli attacchi cyber censiti dal 2019 a oggi sono avvenuto nel 2023 con impatti gravissimi nell’80% dei casi… all’origine di un simile impatto, nella maggior parte dei casi, proprio le fughe in avanti verso il digitale senza un corredo adeguato di competenze e, soprattutto, percezione del rischio.
È qui che entra in gioco la security awareness.
Che cos’è dunque la security awareness? Una buona definizione arriva dal Nist, l’ente di sicurezza statunitense, secondo cui la security awareness costituisce un processo di apprendimento che pone le basi per la formazione, modificando gli atteggiamenti individuali e organizzativi così da rendere chiara l’importanza della politica di sicurezza informatica e le conseguenze negative del suo fallimento.
Security awareness, in altre parole, significa mettere in atto un processo di formazione dei dipendenti sui diversi rischi e minacce alla sicurezza informatica esistenti, nonché sui potenziali punti deboli. Ne consegue, dunque, che dipendenti e collaboratori devono apprendere le best practice e le procedure per mantenere le reti e i dati al sicuro, cercando così di commettere meno errori possibili.
Parte centrale della security awareness, dunque, è l’avvio di appositi programmi di formazione, che possano garantire che aziende, dipendenti, appaltatori esterni e partner commerciali seguano dei processi in grado di proteggere il sistema informatico di un’organizzazione dalle violazioni dei dati.
[Vuoi avviare un programma efficace di security awareness? Guarda e ascolta la guida multimediale di Enrico Nasuto, Business Development Manager Cyber Security di Errevi System e scopri tutti i vantaggi di un training di valore]
Che cos’è la security awareness?
Ma quali sono i benefici della security awareness? Il primo, naturalmente, è piuttosto facile da comprendere: uno staff ben addestrato in materia di sicurezza informatica rappresenta un rischio minore per la sicurezza complessiva di un’organizzazione. Tale abbattimento dei rischi ha delle conseguenze anche economiche: non bisogna dimenticarsi, infatti, che gli attacchi informatici andati a buon fine comportano un costo per le aziende, in termini di dati sottratti, tempi persi, costi di ripristino, ecc.
In linea di principio, dunque, gli investimenti nella security awareness dovrebbero essere ripagati grazie alla minore esposizione alle minacce del cybercrime.
Ovviamente, poi, c’è un aspetto reputazionale da non trascurare: gli incidenti di sicurezza hanno un impatto negativo su partner commerciali e clienti. Dunque, un’azienda che trascura la security awareness rischia di essere considerata come inaffidabile, perdendo dunque affari e commesse.
C’è poi il tema della compliance da non trascurare: da quando è entrato in vigore il GDPR, le aziende devono dimostrare di avere fatto il possibile per proteggere i dati in proprio possesso. E non avere intrapreso programmi di security awareness, in caso di attacco a buon fine, potrebbe essere considerato come un segnale di non conformità alle disposizioni normative, con rischi di multa connessi.
Come renderla efficace?
Ma come si può fare una buona security awareness? In primo luogo la formazione sulla sicurezza deve essere complessiva: non può essere trascurato nessun ruolo né area aziendale, altrimenti si avrebbe sempre un anello debole della cybersecurity nella propria organizzazione. Diventa dunque fondamentale coinvolgere tutti i dipendenti e collaboratori, ma anche il management. Anzi, i quadri intermedi dovrebbero essere coinvolti nella redazione e nella gestione dei programmi di security awareness aziendali, così da verificarne il corretto avanzamento nel corso del tempo e la formazione dei dipendenti.
Da un punto di vista pratico, occorrerebbe cercare di rendere la formazione coinvolgente e persino divertente. Riunioni e seminari aziendali eccessivamente frontali, su un argomento ostico per la maggioranza delle persone come la cybersecurity, potrebbero rivelarsi persino controproducenti, o comunque spingere una fetta importante della popolazione aziendale a mettere in atto numerosi escamotage per sfuggire alla partecipazione.
Una possibilità, dunque, è quella di puntare al coinvolgimento emotivo del personale, ad esempio attraverso il “gaming” inteso non come “divertimento” ma come riproduzione di video emozionali con scene di vita quotidiana e ingaggio diretto, semplice degli utenti . Allo stesso tempo, pur senza essere eccessivamente insistente, ogni organizzazione dovrebbe essere in grado di far passare il messaggio di come la sicurezza informatica rappresenti un argomento molto rilevante.
Gli aspetti più importanti della security awareness andrebbero anche affrontanti in modo ripetitivo, considerato che la sicurezza informatica è un percorso continuo, mentre le persone tendono a dimenticare insegnamenti e buone pratiche apprese in passato.
[Vuoi avviare un programma efficace di security awareness? Guarda e ascolta la guida multimediale di Enrico Nasuto, Business Development Manager Cyber Security di Errevi System e scopri tutti i vantaggi di un training di valore]
Quali sono le best practices della security awareness
In questa fase, probabilmente l’aspetto più importante è la difesa dal phishing: i dipendenti devono imparare a diffidare delle e-mail provenienti da fonti non riconoscibili, evitando click di troppo ad allegati o collegamenti che possono permettere il dilagare del malware nell’intera rete aziendale. Allo stesso modo, va fatta un’adeguata formazione sulle azioni di social engineering: è fondamentale aumentare la consapevolezza di tutto il personale su questa tecnica, che cerca di manipolare i dipendenti per ottenere l’accesso al sistema o a informazioni aziendali riservate.
Le password restano però fondamentali: i dipendenti devono capire i pericoli delle credenziali lasciate in bella vista sui post-it vicino al computer, oppure troppo semplici. Infine, non va trascurata la formazione sulla sicurezza fisica: badge, dispositivi mobili e i laptop forniti dall’azienda devono essere sempre sotto controllo e non essere mai ceduti a terzi.
Security awareness, l’approccio di Errevi System
Investire nella formazione dei dipendenti per renderli consapevoli dei rischi degli attacchi informatici rappresenta dunque, oggi più che mai. una delle principali armi di difesa che le aziende possono mettere in campo. Ma, concretamente, chi e come si è già mosso in questa direzione e con quali risultati?
Una storia di eccellenza in questo senso è quello di Errevi System, system integrator di eccellenza sul territorio che proprio intorno ad un particloare programma di Security Awareness ha costruito, per i propri clienti, una serie di casi di successo molto interessanti.
«Attraverso la nostra proposta di percorso, gli utenti verranno formati e acquisiranno best practice per lavorare in sicurezza dall’ufficio e in mobilità – racconta Enrico Nasuto, Business Development Manager Cyber Security di Errevi System -. Impareranno a riconoscere reti wifi attendibili, a utilizzare correttamente le password, a proteggere le informazioni archiviando i file correttamente, a navigare sul web in sicurezza, a riconoscere una email di phishing e le tecniche di social engineering… Non si tratta solo di lezioni ma di un vero e proprio programma strutturato con test e anche con simulazioni. Questo permetterà ai tuoi utenti di “sapere” ma anche di “saper fare”. Potrai quindi assicurarti che quanto appreso venga messo in pratica nella quotidianità.
Il training viene infatti proposto mediante piattaforme appositamente ideate che consentono di erogare contenuti seguiti da test per valutare il livello di apprendimento.
Ma non si tratta solo di formazione e verifica, la caratteristica fondamentale del servizio è la fase di allenamento. Infatti vengono pianificati veri e propri campagne di phishing nei confronti degli utenti. Proprio come avviene negli attacchi hacker, anche nelle simulazioni i messaggi vengono personalizzati in funzione delle dinamiche quotidiane di lavoro all’interno dell’azienda. Gli hacker infatti studiano i comportamenti e i flussi di comunicazione degli utenti mediante attività di social engineering e sfruttano queste informazioni per creare email verosimili rivolte agli utenti. Queste email sono studiate per portare l’utente a fare azioni utili all’attacco hacker.
Il servizio di awareness training di Errevi – aggiunge Nasuto – agisce nello stesso modo: invia email di finto phishing e allena i dipendenti a riconoscerle e ad agire nel modo corretto, rendendo così gli utenti un’arma di difesa aziendale.
Proprio perché l’allenamento è importante, potrai proseguire il programma di awareness training negli anni mantenendo sempre elevata la sensibilità degli utenti.
«Nello sviluppo di simili attività – conclude Nasuto – un ruolo chiave lo ha poi sempre tutta l’attività di reportistica che permette di misurare il livello raggiunto nel tempo da tutte le persone coinvolte a beneficio anche dei dipartimenti HR sempre coinvolti nella formazione del personale. In un nostro recente ciclo di training, a inizio percorso 80 utenti hanno abboccato al phishing simulato, dopo tutti i corsi di formazion e le attività di sensibilizzazione siamo scesi a quota 3. Ma come in tema di security, proprio per la delicatezza della “posta in palio”, dei dati coinvolti e dei rischi collegati ad una cattiva percezione del rischio digitale, questa fase di analisi, reportistica e misurazione diventa vitale per capire se linguaggio, sistemi, modalità scelte stanno avendo l’impatto desiderato»
