Security awareness: come farla davvero efficace

Com’è noto, l’espressione “security awareness” identifica l’attività posta in essere dalle aziende per sensibilizzare il personale sul tema della sicurezza delle informazioni, fornendo loro gli strumenti necessari per la prevenzione e la risposta efficace a eventuali attività sospette. In un periodo storico contraddistinto da una crescita importante degli attacchi informatici gravi (e pubblici), che negli ultimi tre anni sono aumentati del 48% (fonte: Rapporto Clusit 2020), investire in security awareness è una mossa fondamentale in grado di indirizzare l’intera security posture dell’organizzazione.

Cos’è la cyber security awareness 

L’espressione “security awareness”, o cyber security awareness, ha diversi significati. A livello più alto, essa identifica il livello di consapevolezza dei rischi di sicurezza cui è esposto chiunque usi strumenti e piattaforme informatiche.  

La cyber security awareness riguarda tutte le persone: a titolo d’esempio, chi usa ogni giorno lo smartphone deve essere consapevole che al suo interno sono memorizzate le credenziali d’accesso ai sistemi bancari e che, di conseguenza, un malware potrebbe permettere ai malintenzionati di accedere al proprio conto corrente. Quest’ultimo usufruisce nativamente di strumenti addizionali di protezione (la multi-factor authentication), ma lo stesso non si può dire dei documenti presenti nel telefono, delle credenziali di accesso a siti web, dei file audio, delle immagini e via dicendo.  

Se la cyber security awareness è fondamentale per proteggere la sfida privata, lo è a maggior ragione in azienda, laddove i dipendenti sono soliti condividere file e informazioni usando svariati sistemi e dispositivi: utilizzare i documenti informatici in modo non conforme alle policy aziendali potrebbe far cadere il dipendente nella trappola del phishing ed esporre dati sensibili (magari, quelli dei clienti) a cyber criminali pronti a chiederne un riscatto in denaro. Le cronache di questi ultimi anni sono ricchissime di casi in cui i data breach si originano da un errore o da un comportamento sbadato da parte di qualche dipendente. 

La cyber security awareness è quindi il livello soggettivo di consapevolezza dell’esistenza di tali rischi, ma anche dei comportamenti giusti da tenere per minimizzarli.  

Cyber security awareness ha anche un altro significato, pur ovviamente connesso: l’espressione identifica l’attività posta in essere dalle aziende per sensibilizzare il personale sul tema della sicurezza delle informazioni, fornendo loro gli strumenti necessari per la prevenzione e la risposta efficace a eventuali attività sospette.  

Cyber security awareness è quindi sia la consapevolezza in sé, che tutti gli interventi posti in essere dalle aziende per migliorarla.  

Non sempre, però, chi opera nell’IT riesce ad avere una visione distaccata e oggettiva del fenomeno, poiché tende a considerare scontati alcuni comportamenti virtuosi, come se facessero parte della cultura aziendale e fossero comuni a tutto il personale. I dati, purtroppo, ci dicono altro: il 43% degli employee non è ancora consapevole che cliccare un link o aprire un allegato sospetto conduca con buona probabilità a un malware, mentre il 33% crede che non dotare il laptop o lo smartphone di una password non sia un approccio pericoloso (via: Techtarget). Questo, unito alle continue notizie di hacking e data breach ai danni dei sistemi aziendali, rende i programmi di security awareness determinanti al fine di creare una cultura della sicurezza, educare le persone sulle migliori pratiche e preservare la salute dell’organizzazione in tempi quanto mai complessi. 

Non sempre, però, chi opera nell’IT riesce ad avere una visione distaccata e oggettiva del fenomeno, poiché tende a considerare scontati alcuni comportamenti virtuosi, come se facessero parte della cultura aziendale e fossero comuni a tutto il personale. I dati, purtroppo, ci dicono altro: a 2020 inoltrato, il 43% degli employee non è ancora consapevole che cliccare un link o aprire un allegato sospetto conduca con buona probabilità a un malware, mentre il 33% crede che non dotare il laptop o lo smartphone di una password non sia un approccio pericoloso (via: Techtarget). Questo, unito alle continue notizie di hacking e data breach ai danni dei sistemi aziendali, rende i programmi di security awareness determinanti al fine di creare una cultura della sicurezza, educare le persone sulle migliori pratiche e preservare la salute dell’organizzazione in tempi quanto mai complessi.

Security awareness, come renderla efficace

Uno degli scopi delle attività di security awareness è la sensibilizzazione: bisogna fare in modo che la sicurezza diventi parte integrante dell’attività di ognuno, e questo a prescindere dal fatto che operi in ufficio, da casa o ovunque possa svolgere il proprio lavoro. La sempre maggiore diffusione dello smart working dà un ulteriore impulso alla security awareness, che deve essere calata nella realtà aziendale e quindi considerare un perimetro estremamente ampio e fluido e anche l’utilizzo prevalente di dispositivi mobile e, spesso, di device personali con accesso alle risorse aziendali tramite reti non sicure.

Quindi, volendo puntare alla massima efficacia, per prima cosa le attività rivolte alla security awareness devono essere estese a tutto il personale (manager per primi), in quanto anello debole della sicurezza in azienda. Inoltre, le attività vanno svolte su base continuativa - perché le minacce cambiano ed evolvono ogni giorno – e devono essere finalizzate a creare non solo quella risk-aware culture di cui sopra, ma anche a fornire tutti gli strumenti per la prevenzione delle minacce e per la risposta a eventi pericolosi. I programmi di security awareness sono fondamentali per apprendere le policy di sicurezza dell’azienda, comprendere i tipi di minacce, le dinamiche più comuni di social engineering e sviluppare un bagaglio di conoscenze tale da mettere in atto comportamenti virtuosi e risposte efficaci.

Gli strumenti per una security awareness efficace

Parlando di strumenti dedicati a una security awareness efficace, le aziende possono contare su svariate opzioni, alcune delle quali più tradizionali e altre certamente più innovative e di alto livello tecnico. Security awareness ha un approccio top-down e segue il forte progresso degli ultimi anni in quanto a strumenti di formazione: si parte quindi dal “classico” incontro in aula, che con i ritmi di oggi non è semplice da organizzare e, soprattutto, non riesce a tenere alta la concentrazione per tutta la sua durata, e si passa a piattaforme di e-learning e a comunicazioni ad hoc (newsletter), a video dimostrativi e molto altro. Tutto ciò rappresenta senza dubbio un approccio di base alla security awareness, indispensabile ma per diversi motivi non sempre efficacissimo. Se, invece, parliamo di soluzioni avanzate e al passo coi tempi, bisogna miscelare il momento teorico, che oggi può essere certamente digitalizzato, reso engaging e fornito as-a-service, con elementi pratici che permettano ai destinatari della formazione di migliorare strada facendo la propria cultura della sicurezza e la capacità di affrontarne le sfide. Ci si riferisce all’esigenza di affiancare momenti di studio e apprendimento con attività di simulazione, cioè veri e propri attacchi simulati sempre diversi e molto sofisticati, e dalla cui reazione sia poi possibile costruire una valutazione dettagliata e incentivare quel progresso costante che si riflette sulla security posture di tutta l’azienda.

Grazie ad apposite piattaforme, le aziende possono così raggiungere l’obiettivo principale, che non è quello di “obbligare” le persone a seguire un corso, ma facilitare la costruzione di un’efficace cultura della sicurezza: le piattaforme gestiscono la parte teorica, comprensiva di materiali scaricabili, video e attività continue di assessment; le simulazioni, permettono una personalizzazione del percorso e includono eventuali software/plug-in da installare nei vari dispositivi (come i client di posta elettronica) al fine di segnalare possibili attacchi, come le e-mail di phishing, e suggerire le best practice per gestirli, oltre a integrare contenuti interattivi e un potente motore di analisi in grado di rilevare il progresso a livello individuale, di dipartimento e di azienda.