L’importanza della consapevolezza nella cybersecurity
«Prevenire è meglio che curare».
Questo proverbio sembrerebbe non avere nulla a che fare con la sicurezza informatica, da sempre vista come un «fatto tecnologico», un insieme di strumenti e software utili per proteggere le aziende e i loro dipendenti.
Con l’avvento del mondo digitale, tuttavia, la cybersecurity non può più essere pensata come un semplice strumento, ma deve tenere conto della sua dimensione sociale, culturale e soprattutto umana.
Il diktat per abitare nella maniera corretta questo eccezionale quanto pericoloso ambiente digitale è la consapevolezza o, all’inglese, «awareness».
Per comprendere perché la consapevolezza umana è così importante nel contesto della cybersecurity dobbiamo sapere che la vulnerabilità umana è il principale target dei cybercriminali: attualmente il 90% degli attacchi informatici inizia con una mail e il 48% delle PMI subisce attacchi a causa di errori del personale.
Le tecniche di «Social Engineering», che sfruttano lo studio del comportamento delle persone al fine di manipolarle e carpire informazioni confidenziali, secondo l’ultimo rapporto Clusit sulla sicurezza cyber sono in crescita del 26% rispetto allo stesso periodo dell’anno precedente e sono state utilizzate nel 20% dei casi di cyberattacco.
Ecco perché, prima ancora delle tecnologie, sono le persone a fare la differenza quando si tratta di sicurezza informatica e la prevenzione è necessaria per difendersi.
Ma in che modo è possibile fare prevenzione nell’ambito della sicurezza? Per ovviare al pericolo legato al fattore umano è necessario (e ormai improrogabile) creare una corretta e condivisa cultura di cybersecurity in Azienda e introdurre un percorso di formazione continua che coinvolga tutti, nessuno escluso: spesso è sufficiente l’errore di una singola persona per mettere in pericolo l’intera Azienda, che si troverebbe ad affrontare non solo un problema a livello economico, ma anche reputazionale; basti pensare che ogni violazione di dati sulle organizzazioni costa in media all'azienda impattata 3,86 milioni di dollari a livello globale e 2,90 milioni di euro in Italia.
Per dare vita a un progetto di cybersecurity awareness vincente servono pochi, ma efficaci, ingredienti: simulazione, formazione e misurazione, comunicazione.
Questi permettono infatti di mappare in modo completo il reale grado di consapevolezza e formazione degli utenti in merito alla cybersecurity, di coinvolgere gli utenti in un contesto che ricordi l’importanza del progetto di formazione che li vede protagonisti, di addestrare l’utenza, configurando campagne di phishing personalizzate per le figure coinvolte con lo scopo di «misurare sul campo» il loro comportamento, di modificare i comportamenti errati degli utenti, attraverso un ciclo virtuoso di formazione, test e valutazione.
Grazie a queste attività, purché introdotte in maniera corretta nel contesto aziendale, è possibile intervenire sulla «postura di sicurezza» dell’Azienda e prevenire i rischi legati alla cybersecurity.
La proposta di Fasternet
Fasternet, adottando un approccio globale al tema della cybersecurity, ha deciso di proporre ai suoi clienti il servizio di Security Awareness, gestendo un programma di formazione continuo e customizzato in base alle esigenze della singola azienda.
Il servizio, sviluppato solitamente in un periodo minimo di 12 mesi, consente agli utenti di essere continuamente testati, formati e valutati, mantenendo in questo modo alta l’attenzione sul tema della sicurezza informatica.
Attraverso la simulazione di campagne di phishing, la somministrazione di questionari di valutazione e il coinvolgimento in percorsi formativi ad hoc per il singolo utente, l’obiettivo finale è quello di aumentare il livello di consapevolezza e formazione per tutta l’azienda.
Il percorso è accompagnato dalla realizzazione di report periodici che analizzano i dati raccolti durante le attività svolte, permettendo così di mirare le azioni successive nel modo più opportuno e consentendo di verificare il livello di miglioramento degli utenti, quindi avere un riscontro sull’efficacia del programma introdotto in azienda.
Per tutta la durata del progetto di awareness è importante condurre anche delle campagne di comunicazione che spieghino quali siano gli obiettivi, i vantaggi, le best practices e tutto quanto concorra al miglioramento della «postura di sicurezza» dell’Azienda, e soprattutto attivare esercitazioni pratiche, che tendano a verificare e sollecitare sia quanto è stato appreso durante la formazione, sia quanto ancora manchi per una situazione di consapevolezza accettabile.
Riproduzione riservata © Giornale di Brescia
Iscriviti al canale WhatsApp del GdB e resta aggiornato