L’espressione security awareness identifica l’attività posta in essere dalle aziende per sensibilizzare il personale sul tema della sicurezza informatica, fornendogli gli strumenti necessari per la prevenzione e la risposta efficace a eventuali attività sospette.
L’evoluzione degli attacchi e la necessità di prevenirli, così come la conformità normativa, rendono la security awareness una questione centrale, da non considerare meno strategica e importante di altre attività, come la protezione degli endpoint o i servizi del SOC.
Sommario
Italia nel mirino: cresce la quantità e la severità degli attacchi
Che cos'è la security awareness
-
La consapevolezza dei rischi di sicurezza, nella vita privata e professionale
-
Security awareness: un percorso di sviluppo della consapevolezza
4 pilastri per una security awareness efficace
Strumenti ed esempi di security awareness efficace
Security awareness, perché affidarsi a un partner
Italia nel mirino: cresce la quantità e la severità degli attacchi
Negli ultimi cinque anni gli attacchi informatici rilevati sono aumentati dell’86%, passando da 745 nel 2018 a 1.382 nel 2023 (Rapporto Clusit 2023). Una crescita importante, che conferma un trend pressoché inalterato dal 2014 ad oggi.
Fig. 1 – Andamento degli attacchi informatici in Italia per semestre, nel periodo H1 2014 – H1 2023
Fonte: Rapporto Clusit 2023.
Oltre all’aspetto quantitativo, anche l’indice di gravità (“Severity”) è cresciuto costantemente. In più dal 2022, sempre secondo il Clusit “siamo entrati in una nuova fase di guerra cibernetica diffusa”, date le tensioni internazionali e i conflitti in corso.
In tale scenario, includere la security awareness all’interno delle proprie strategie di sicurezza è una mossa fondamentale per indirizzare l’intera security posture dell’organizzazione, un’attività da non considerarsi meno urgente o subalterna ad altri interventi come invece accade in molte aziende.
Che cos’è la cyber security awareness
L’espressione security awareness, o cyber security awareness, può avere diversi significati a seconda del contesto. Vediamoli nel dettaglio.
1. La consapevolezza dei rischi di sicurezza, nella vita privata e professionale
A livello più alto, ma anche letterale, essa identifica il grado di consapevolezza di ogni individuo sui rischi di sicurezza cui è soggetto. La cyber security awareness riguarda quindi tutte le persone, sia nella loro vita privata sia in quella lavorativa.
A titolo d’esempio, chi usa ogni giorno lo smartphone deve essere consapevole che al suo interno sono memorizzate le credenziali d’accesso a sistemi e applicazioni e che, di conseguenza, un malware potrebbe permettere ai malintenzionati di accedervi. Per questo stesso motivo sono state sviluppate, e in alcuni verticali sono obbligatorie (come in ambito bancario), tecnologie di autenticazione multi-fattore o biometrica.
Se la cyber security awareness è fondamentale per proteggere la sfera (digitale) privata, lo è a maggior ragione in azienda, laddove dipendenti e collaboratori sono soliti accedere alla posta elettronica, condividere file e informazioni usando svariati sistemi e dispositivi.
In molte realtà, la frammentazione applicativa è ancora marcata e gli esiti possono essere drammatici: file riservati inviati via e-mail al destinatario sbagliato, copie di documenti memorizzate in dispositivi non protetti, accesso ai sistemi aziendali da reti non sicure e – cosa particolarmente comune da quando il lavoro è diventato smart – utilizzo, come strumento di lavoro, di dispositivi personali non aggiornati.
Se a tutto ciò aggiungiamo gli errori e i rischi cyber in senso stretto, ovvero le minacce provenienti dall’esterno come gli attacchi di ingegneria sociale, malware, ransomware e molti altri, otteniamo una situazione preoccupante in cui il fattore umano risulta davvero l’anello debole della catena, come gli specialisti di settore sono soliti ripetere da tempo.
Secondo il 2023 Security Awareness Report di SANS, i 4 elementi che rappresentano il maggior rischio per le aziende sono difatti:
- truffe come il phishing, il vishing e lo smishing (vale a dire le tipologie più comuni di attacchi di social engineering protratti via e-mail -phishing-, basati sulla voce -vishing- o tramite SMS -smishing-, e che l’evoluzione dell’intelligenza artificiale rende sempre più facili da creare);
- furto di credenziali e le criticità nei processi di autenticazione;
- mancata attività di detection e reporting in azienda (il rilevamento e la segnalazione degli incidenti in modo tempestivo, riduce il tempo a disposizione degli aggressori, ma quanto è probabile che le persone segnalino un incidente anche se sanno di averlo causato? Creare una cultura della sicurezza che non sia tossica e punitiva è fondamentale, così come formare il personale su cosa può rappresentare un rischio e rendere semplice il processo di segnalazione);
- errate configurazioni degli amministratori IT, che possono esporre accidentalmente dati altamente sensibili.
Fig. 2 – I principali rischi legati al fattore umano, secondo le aziende
Fonte: SANS 2023 Security Awareness Report.
In effetti, le cronache recenti sono ricchissime di casi in cui i data breach si originano da un errore o da una leggerezza da parte di qualche dipendente. Tutto ciò trova riscontro anche nei dati del Data Breach Investigation Report di Verizon, che segnala come il 74% di tutte le violazioni include l'elemento umano, con persone coinvolte per errore, abuso di privilegi, uso di credenziali rubate o tecniche di social engineering.
In una situazione del genere, è inevitabile che i cyber criminali prendano di mira proprio le persone. Puntare sulla mancanza di consapevolezza dei rischi informatici garantisce agli hacker buone probabilità di successo ed è molto meno costoso di attacchi più sofisticati, come quelli basati sulle vulnerabilità zero-day. Dunque, come possono le aziende correre ai ripari?
2. Security awareness: un percorso di sviluppo della consapevolezza
La Cyber security awareness ha anche un’ulteriore accezione, pur ovviamente connessa alla precedente: l’espressione identifica l’attività posta in essere dalle aziende per sensibilizzare il personale sul tema della sicurezza delle informazioni, fornendo loro gli strumenti necessari per la prevenzione e la risposta efficace a eventuali attività sospette. I processi di Cyber security awareness includono dunque sia la coscienza di ciò che si sta facendo, sia tutti gli interventi attuati dalle aziende per migliorare la propria cyber security posture.
Obiettivo finale di un percorso aziendale di awareness non è tanto la conoscenza, per la quale sarebbe sufficiente un corso di formazione, bensì lo sviluppo e la diffusione della cultura della sicurezza in tutta l’azienda. In altri termini, le persone devono adottare gradualmente dei comportamenti virtuosi sotto il profilo della security, e far sì che questo si traduca in un mindset e delle best practice condivisi da tutta l’organizzazione.
4 pilastri per una security awareness efficace
Tuttavia, un conto è intraprendere un percorso aziendale di security awareness, un altro far sì che sia efficace. A titolo di esempio, le aziende devono saper integrare svariati elementi; dunque le attività rivolte alla security awareness:
- vanno estese a tutto il personale. I manager sono i primi a dover essere coinvolti, ma anche la partecipazione e il contributo dell’area HR sono decisivi per riuscire a progettare e personalizzare correttamente, a seconda dei gruppi di lavoro, i percorsi di formazione;
- vanno svolte su base continuativa, perché le minacce cambiano ed evolvono ogni giorno;
- devono essere finalizzate a creare non solo una security culture, ma anche a fornire tutti gli strumenti per la prevenzione delle minacce e per la risposta a eventi pericolosi. I programmi di security awareness sono fondamentali per apprendere le policy di sicurezza dell’azienda, comprendere i tipi di attacchi e le dinamiche più comuni, sviluppando un bagaglio di conoscenze tale da mettere in atto comportamenti virtuosi e risposte efficaci;
- In ultimo, devono assicurare l’engagement, ovvero il coinvolgimento attivo di tutta la workforce. Contenuti formativi, simulazioni e test che compongono il percorso devono coinvolgere, incuriosire, attrarre i destinatari, perché solo così potranno dirsi realmente efficaci
Strumenti ed esempi di security awareness efficace
Parlando di strumenti dedicati a una security awareness efficace, le aziende possono contare su svariate opzioni, alcune delle quali tradizionali e altre certamente più innovative e di elevato livello tecnico.
La security awareness ha solitamente un approccio top-down e segue il forte progresso degli ultimi anni in quanto a strumenti di formazione: si parte quindi dal tipico incontro in aula, che però è complesso da organizzare e non riesce a tenere alta la concentrazione, e si passa a piattaforme di e-learning, a comunicazioni ad hoc, a pillole video on-demand.
Se invece parliamo di soluzioni avanzate, vengono in soccorso piattaforme e soluzioni dedicate. Il momento di formazione teorica, che oggi viene fornita on-demand dalla piattaforma stessa, va affiancato ad elementi pratici che permettano ai destinatari di migliorare strada facendo la propria cultura e la capacità di affrontare le sfide della sicurezza. Ci riferiamo, a titolo d’esempio, alle attività di simulazione, cioè a veri e propri attacchi simulati sempre diversi (es., attacco di phishing via e-mail), dalla cui reazione è possibile valutare la consapevolezza soggettiva e, di conseguenza, avere un’idea della security posture di tutta l’azienda.
Sono poi fondamentali i test, con cui ciclicamente le aziende verificano non tanto il livello generale di conoscenza e di consapevolezza, ma il progresso graduale verso, appunto, la cultura della sicurezza.
In ottica di massimo engagement, tutte le attività possono essere assistite da dinamiche di gamification (punti, classifiche, giochi…), così da rendere ancor più efficace e coinvolgente il percorso.
Grazie ad apposite piattaforme, quindi, le aziende possono raggiungere un obiettivo che non è quello di obbligare le persone a seguire un corso (come si faceva un tempo e, almeno parzialmente, si fa ancora oggi), ma facilitare la costruzione di una vera e propria consapevolezza. Le piattaforme gestiscono la parte teorica, le simulazioni, i test permettono la personalizzazione del percorso, hanno contenuti interattivi e un potente motore di analisi in grado di rilevare il progresso a livello individuale, di dipartimento e di azienda.
Security awareness, perché affidarsi a un partner
I percorsi di security awareness si basano su piattaforme di mercato. A livello teorico, quindi, l’azienda potrebbe semplicemente acquistare le licenze ed erogare i servizi ai suoi utenti.
Per diversi motivi, però, molte organizzazioni preferiscono affidarsi a un partner: in primis perché gestire un percorso che deve essere continuativo e quotidiano richiede tempo e questo va gestito il più proficuamente possibile; inoltre, servono competenze dedicate, come per esempio la capacità di analisi dei report della piattaforma e la successiva personalizzazione delle attività non solo a livello di dipartimento, ma anche di singola persona con l’obiettivo primario di assicurare il necessario engagement.
Fig. 3 – Tra le sfide più comuni da affrontare per costruire e gestire un programma di security awareness efficace, spiccano i limiti di tempo per la formazione dei dipendenti, la mancanza di tempo per la gestione gestione dei percorsi, la mancanza di personale e di budget.
Fonte: SANS 2023 Security Awareness Report.
Il partner è poi colui che si occupa dell’integrazione della piattaforma, collabora con l’area HR e supporta la comunicazione interna per le attività dedicate, monitora il percorso e valuta concretamente i progressi, riportando ai manager aziendali e proponendo, grazie alla sua esperienza, interventi correttivi efficaci.
La security awareness è uno dei servizi di sicurezza che WIIT eroga ai propri clienti, con l’obiettivo di aiutarli a migliorare la security posture a 360 gradi. Grazie ai nostri servizi, che comprendono un Security Operations Center (SOC) con finestra di servizio h24, abbiamo l’ambizione di essere un partner a tutto tondo, che parte dalla progettazione e dall’implementazione di complessi modelli enterprise a supporto dei processi critici e li potenzia con servizi come quelli dedicati alla continuità del business e, appunto, alla cybersecurity. Limitatamente a quest’ultimo comparto, il nostro approccio è quello della protezione sinergica di tutti i possibili elementi di vulnerabilità, dalle reti agli endpoint, ma senza dimenticare, appunto, la risorsa più importante di tutte: la persona.
