Categorie: Cyber Security

Com’è noto, l’espressione “security awareness” identifica l’attività posta in essere dalle aziende per sensibilizzare il personale sul tema della sicurezza delle informazioni, fornendo loro gli strumenti necessari per la prevenzione e la risposta efficace a eventuali attività sospette. In un periodo storico contraddistinto da una crescita importante degli attacchi gravi (e pubblici), che negli ultimi tre anni sono aumentati del 48% (fonte: Rapporto Clusit 2020), investire in security awareness è una mossa fondamentale in grado di indirizzare l’intera security posture dell’organizzazione.

Non sempre, però, chi opera nell’IT riesce ad avere una visione distaccata e oggettiva del fenomeno, poiché tende a considerare scontati alcuni comportamenti virtuosi, come se facessero parte della cultura aziendale e fossero comuni a tutto il personale. I dati, purtroppo, ci dicono altro: a 2020 inoltrato, il 43% degli employee non è ancora consapevole che cliccare un link o aprire un allegato sospetto conduca con buona probabilità a un malware, mentre il 33% crede che non dotare il laptop o lo smartphone di una password non sia un approccio pericoloso (via: Techtarget). Questo, unito alle continue notizie di hacking e data breach ai danni dei sistemi aziendali, rende i programmi di security awareness determinanti al fine di creare una cultura della sicurezza, educare le persone sulle migliori pratiche e preservare la salute dell’organizzazione in tempi quanto mai complessi.

 

Security awareness, come renderla efficace

Uno degli scopi delle attività di security awareness è la sensibilizzazione: bisogna fare in modo che la sicurezza diventi parte integrante dell’attività di ognuno, e questo a prescindere dal fatto che operi in ufficio, da casa o ovunque possa svolgere il proprio lavoro. La sempre maggiore diffusione dello smart working dà un ulteriore impulso alla security awareness, che deve essere calata nella realtà aziendale e quindi considerare un perimetro estremamente ampio e fluido e anche l’utilizzo prevalente di dispositivi mobile e, spesso, di device personali con accesso alle risorse aziendali tramite reti non sicure.

Quindi, volendo puntare alla massima efficacia, per prima cosa le attività rivolte alla security awareness devono essere estese a tutto il personale (manager per primi), in quanto anello debole della sicurezza in azienda. Inoltre, le attività vanno svolte su base continuativa - perché le minacce cambiano ed evolvono ogni giorno – e devono essere finalizzate a creare non solo quella risk-aware culture di cui sopra, ma anche a fornire tutti gli strumenti per la prevenzione delle minacce e per la risposta a eventi pericolosi. I programmi di security awareness sono fondamentali per apprendere le policy di sicurezza dell’azienda, comprendere i tipi di minacce, le dinamiche più comuni di social engineering e sviluppare un bagaglio di conoscenze tale da mettere in atto comportamenti virtuosi e risposte efficaci.

 

Gli strumenti per una security awareness efficace

Parlando di strumenti dedicati a una security awareness efficace, le aziende possono contare su svariate opzioni, alcune delle quali più tradizionali e altre certamente più innovative e di alto livello tecnico. Security awareness ha un approccio top-down e segue il forte progresso degli ultimi anni in quanto a strumenti di formazione: si parte quindi dal “classico” incontro in aula, che con i ritmi di oggi non è semplice da organizzare e, soprattutto, non riesce a tenere alta la concentrazione per tutta la sua durata, e si passa a piattaforme di e-learning e a comunicazioni ad hoc (newsletter), a video dimostrativi e molto altro. Tutto ciò rappresenta senza dubbio un approccio di base alla security awareness, indispensabile ma per diversi motivi non sempre efficacissimo. Se, invece, parliamo di soluzioni avanzate e al passo coi tempi, bisogna miscelare il momento teorico, che oggi può essere certamente digitalizzato, reso engaging e fornito as-a-service, con elementi pratici che permettano ai destinatari della formazione di migliorare strada facendo la propria cultura della sicurezza e la capacità di affrontarne le sfide. Ci si riferisce all’esigenza di affiancare momenti di studio e apprendimento con attività di simulazione, cioè veri e propri attacchi simulati sempre diversi e molto sofisticati, e dalla cui reazione sia poi possibile costruire una valutazione dettagliata e incentivare quel progresso costante che si riflette sulla security posture di tutta l’azienda.

Grazie ad apposite piattaforme, le aziende possono così raggiungere l’obiettivo principale, che non è quello di “obbligare” le persone a seguire un corso, ma facilitare la costruzione di un’efficace cultura della sicurezza: le piattaforme gestiscono la parte teorica, comprensiva di materiali scaricabili, video e attività continue di assessment; le simulazioni, permettono una personalizzazione del percorso e includono eventuali software/plug-in da installare nei vari dispositivi (come i client di posta elettronica) al fine di segnalare possibili attacchi, come le e-mail di phishing, e suggerire le best practice per gestirli, oltre a integrare contenuti interattivi e un potente motore di analisi in grado di rilevare il progresso a livello individuale, di dipartimento e di azienda.

New call-to-action