Red Hot Cyber

Sicurezza informatica, cybercrime, hack
news, e altro ancora

Security Awareness: L’importanza della formazione e consapevolezza del rischio informatico

L’ambiente delle minacce alla sicurezza informatica è in continua evoluzione a causa della costante migrazione verso il cloud. Il rapido aumento dei dispositivi endpoint, l’espansione dell’IoT, il desiderio delle aziende di diventare digitali e il cambiamento dei modelli di forza lavoro. Mentre ci muoviamo verso la quarta rivoluzione industriale, sarebbe un disastro cercare di rallentare il ritmo del cambiamento. Dobbiamo invece essere pienamente consapevoli dei rischi informatici ed essere in grado di proteggere meglio le nostre risorse. In altre parole, dobbiamo gestire il rischio umano nel modo più competente possibile.

Negli ultimi anni e palese, siamo diventati tutti testimoni di un’intensa criminalità informatica e di sofisticati attacchi informatici. Questa tendenza all’aumento è ulteriormente alimentata dal cambiamento delle condizioni di lavoro, come il lavoro in remoto. L’impatto dei cyber attacchi è profondo e comporta violazioni della sicurezza, perdite di fatturato e di reputazione per le aziende. In alcuni casi, la destabilizzazione di organizzazioni e interi Stati.

Per le aziende moderne la sicurezza informatica è un problema serio. Si prevede che i costi globali della criminalità informatica raggiungeranno i 10,5 trilioni di dollari all’anno entro il 2025. Questo dato sconcertante illustra perché le aziende devono insegnare ai propri dipendenti le migliori pratiche di cybersecurity.

Formare la consapevolezza degli esseri umani

Diversi rapporti, come il World Economic Forum Global Risk Report 2022 e il Verizon’s 2022 Data Breach Investigations Report, evidenziano che l’errore umano è delle cause principali di azioni illecite e problemi di cybersecurity.

Molte aziende hanno l’errata percezione che la sicurezza possa essere migliorata e il rischio ridotto al minimo se formano i propri dipendenti utilizzando un gergo tecnologico, senza rendersi conto che questo, a sua volta, confonderà i dipendenti. Questo non fa che aggravare ulteriormente il problema. Ciò che occorre fare, invece, è gestire il rischio umano. 

Si noti d’altra parte come l’umano non sia però l’unica causa dei problemi di sicurezza delle organizzazioni. L‘idea che gli utenti siano l’ultima linea di difesa (idea quantomeno diffusa) sia fondamentalmente sbagliata.

In primo luogo, si consideri che gli utenti non sono l’ultima linea di difesa in alcun modo pratico. Ad esempio, se un utente clicca su un link malevolo, il  Sistema Operativo può impedirgli di scaricare il malware e/o  di installare il software limitandone i permessi. Ed anche se il software venisse scaricato e installato, l’antimalware potrebbe  bloccare il ransomware, e nel caso anche questa difesa venisse superata inoltre l’attivita’ dello stesso potrebbe essere velocemente scoperta e contenuta tramite una corretta configurazione di un SIEM e monitoraggio dei log . 

Per accettare l’idea che l’utente sia l’ultima linea di difesa, si devono scartare molte tecnologie utili che sono comuni nelle organizzazioni: se l’utente è la nostra ultima linea di difesa, abbiamo fallito come industria.

Nonostante ciò, di  fatto che  percezione, la cognizione e il comportamento generale dell’uomo possono essere controllati e modificati in base alle nostre esigenze: gli studi dimostrano che gli attacchi informatici possono essere regolati e addirittura diminuiti se i dipendenti seguono una formazione incentrata sulla cybersecurity.

In ogni organizzazione, la formazione è una procedura fondamentale. È uno dei pilastri più importanti su cui poggia l’edificio di qualsiasi organizzazione. Le Forze Armate ne sono un esempio esemplare. Grazie al continuo miglioramento della formazione, riescono a mantenere alto il livello di consapevolezza del personale militare e a mantenerlo pronto al combattimento. Inoltre, le Forze Armate organizzano campagne di sensibilizzazione per istruire il personale sulle minacce informatiche e sulle misure che gli utenti autorizzati possono adottare per mitigare le minacce ai sistemi informativi militari e le loro vulnerabilità.

La formazione sulla consapevolezza della sicurezza informatica è un approccio difensivo utilizzato dai professionisti della sicurezza. Insegna alle persone le minacce e i pericoli informatici, le precauzioni di sicurezza, i requisiti HIPAA e PCI DSS e diverse normative sulla privacy. Queste includono il GDPR e il CCPA, che si prevede disciplineranno il 75% della popolazione mondiale entro la fine del 2023.

Questi programmi di formazione imitano gli attacchi informatici e istruiscono le persone sulle minacce informatiche esistenti. Aiutano a insegnare ai dipendenti come proteggere le informazioni personali e sensibili per l’azienda da accessi illegali, modifiche e/o sfruttamento. Inoltre, con lo sviluppo e l’utilizzo di applicazioni digitali e strumenti di sicurezza come MFA e VPN a un ritmo senza precedenti, è sempre più necessario formare le persone sulle minacce che le circondano. Se applicata e istruita correttamente, la formazione innalza il livello di cybersecurity, riduce al minimo il rischio umano e mantiene i dipendenti in allerta per la consapevolezza della cybersecurity.

Ridurre il rischio umano

La maggior parte di questi programmi di formazione sono basati sul computer e si concentrano su vari argomenti, tra cui il cloud, la sicurezza dei social media, la salvaguardia della privacy, le best practice per il mobile e il remote computing e altri argomenti importanti che sono essenziali per ridurre le minacce informatiche.

Gli attacchi di phishing possono essere ridotti al minimo conoscendo gli indicatori chiave di un tentativo di phishing e come affrontarli. Lo stesso vale per i messaggi di spoofing, lo smishing, e le chiamate vocali sospette, dette anche vishing. Inoltre, grazie a un’adeguata formazione, gli individui possono essere istruiti sulle tendenze del ransomware, consentendo loro di identificare i segnali di allarme, oltre a permettere ai team di sicurezza di reagire e rispondere in modo efficace. Inoltre, con l’evoluzione della tecnologia AI e ML utilizzata dai malintenzionati, queste campagne di sensibilizzazione possono aiutare le persone a individuare i segnali di deepfake e ad affrontarli adeguatamente.

Infine, ma non meno importante, le campagne di formazione educano le persone su regolamenti, requisiti e standard, che riguardano la protezione dei dati e la gestione di informazioni di pagamento sensibili. A tal fine, e tenendo conto del fatto che le aziende e le organizzazioni devono essere conformi a numerose normative di sicurezza, i corsi di sensibilizzazione sulla cybersecurity offrono formazione su HIPAA e HITECH, PCI DSS e protezione dei dati.

Di seguito illustreremo dieci  più uno semplici punti  passaggi per aiutarvi a implementare un programma di formazione sulla sicurezza informatica nella vostra azienda.

1. Ottenere il consenso della leadership aziendale

Prima di avviare un nuovo programma di formazione, è importante ottenere il consenso dei vertici dell’organizzazione. L’aver compiuto questo passo per primo vi aiuterà a eliminare qualsiasi potenziale ostacolo in futuro, dato che le risorse dell’azienda vengono utilizzate per questo scopo.

Il consenso dei dirigenti aziendali renderà anche molto più facile spingere per l’adozione di nuove politiche e procedure aziendali in materia di sicurezza informatica e convaliderà la vostra iniziativa per tutti coloro che potrebbero pensare che lo sforzo sia una perdita di tempo.

2. Chiedere al formatore l’esecuzione di rapporti di valutazione del rischio

La cybersecurity è una materia ampia e affrontare un programma di formazione su di essa può portare a percorrere molte strade. Per focalizzare l’attenzione sull’avvio di un programma di formazione, è importante fare il punto sui rischi immediati di cybersecurity che la vostra azienda deve affrontare.

L’esecuzione di una valutazione dei rischi dei sistemi, delle reti e delle altre risorse digitali attuali aiuterà a stabilire le priorità delle aree che presentano i rischi più significativi per la sicurezza aziendale. Conoscere queste informazioni garantirà che il vostro programma di formazione sia pertinente ed efficace nel portare i dipendenti a prendere decisioni sagge sulla sicurezza dei dati aziendali e personali.

3. Fornire corsi di formazione interattivi eseguiti da personale qualificato

Navigare tra le best practice di cybersecurity può essere un processo confuso per alcuni. In questo caso, la cosa migliore è rendere i corsi di formazione il più possibile interattivi. La formazione pratica è uno strumento di apprendimento molto più efficace rispetto allo studio di guide o alla lettura di lunghi manuali: i dipendenti possono mettere in pratica ciò che hanno imparato, il che contribuisce ad accelerare il processo di apprendimento e a rendere più facile per i dipendenti conservare le informazioni.

4. Programmare attacchi di phishing simulati

Nel corso del tempo, è essenziale testare i dipendenti su ciò che hanno imparato e confermare che stanno ancora seguendo le best practice di cybersecurity. Un modo efficace per farlo è l’invio  e-mail di phishing simulate e registrare se gli utenti sono stati ingannati dal messaggio e hanno messo in atto comportamenti rischiosi. A seconda della percentuale di utenti che hanno adottato comportamenti corretti si può valutare l’efficacia dei training o la necessità di impartirne altri.

5. Compilare i risultati dei test e migliorare

È fondamentale esaminare i risultati delle campagne di phishing simulate e utilizzarli per migliorare le proprie tattiche. Un programma di formazione sulla cybersecurity efficace include strumenti di reporting avanzati che forniscono metriche e informazioni sull’efficacia complessiva del programma. Esaminare a fondo i risultati dei test non solo vi dirà quali dipendenti o reparti hanno bisogno di ulteriore formazione, ma vi aiuterà anche ad adattare il vostro programma di formazione, in modo che sia più efficace.

Non siate eccessivamente critici quando i dipendenti commettono errori:

si è tentati di rimproverare severamente chi commette un errore nonostante la formazione di sensibilizzazione. Tuttavia, gli esperti mettono in guardia da questo atteggiamento: i dipendenti sono raramente motivati dalla paura, e questo li renderà meno propensi a segnalare gli errori quando si verificano.

6. Implementare e applicare le nuove politiche

Mentre la maggior parte dei dipendenti capisce subito l’importanza di proteggere la sicurezza dell’azienda, altri potrebbero non capirlo. In questo caso, è fondamentale implementare nuove politiche aziendali relative alle aspettative di cybersecurity dell’organizzazione e applicarle di conseguenza.

Alcuni potrebbero considerare le best practice specifiche di cybersecurity dell’organizzazione come scomode o uno sforzo sprecato. Tuttavia, l’applicazione di queste politiche nel tempo farà sì che tutti i dipendenti riconoscano la serietà dei vostri sforzi di formazione.

È importante essere chiari con i dipendenti sulle conseguenze di ripetuti fallimenti dei test. Un solo dipendente negligente può paralizzare un’intera organizzazione. Spetta a ciascuna organizzazione stabilire le misure da adottare in caso di ripetuti fallimenti e i premi per le giuste precauzioni.

7. Riqualificare regolarmente i dipendenti

L’approccio “una tantum” alla formazione sulla cybersecurity può essere costoso. Il crimine informatico è incredibilmente dinamico, il che significa che anche le contromisure efficaci dovrebbero esserlo. Man mano che si rendono disponibili nuove informazioni sulla cybersecurity, è fondamentale aggiornare regolarmente i dipendenti. Organizzare sessioni di formazione trimestrali o mensili sulla cybersecurity può aiutare a mostrare ai dipendenti. L’importanza di questa iniziativa e a mantenere fresco nella loro mente ciò che hanno imparato.

Tutti i dipendenti, a ogni livello dell’organizzazione, dovrebbero ricevere una formazione.

Nessuno è immune da errori o dall’essere preso di mira dai truffatori. In effetti, i dipendenti di alto livello hanno proporzionalmente più probabilità di essere presi di mira dai truffatori (con schemi di compromissione delle e-mail aziendali) perché rappresentano obiettivi di maggior valore, attivita’ chiamata “whaling”.

A dimostrazione dell’importanza di questo aspetto, uno studio presentato alla conferenza sulla sicurezza USENIX SOUPS ha rilevato che i dipendenti che hanno trascorso sei mesi o più senza seguire una formazione di sensibilizzazione sul phishing hanno aumentato la probabilità di cadere vittime di truffe.

8.Concentrarsi sul comportamento, non sulle conoscenze 

Per cambiare il loro comportamento, i dipendenti devono capire come i contenuti si applicano a loro nel loro ruolo quotidiano. 

Per colmare il divario tra il sapere e il fare, è essenziale fornire ai dipendenti un contesto per ciò che stanno imparando ed esempi realistici che possano seguire. In questo modo si favorisce il tanto necessario cambiamento culturale in cui la sicurezza diventa parte integrante delle operazioni quotidiane. 

9.Gamification

Una formazione coinvolgente per il personale è fondamentale per il successo del programma. L’inserimento di attività stimolanti permetterà al personale di comprendere chiaramente i comportamenti e le best practice da adottare in ogni occasione.

Una tecnica comune per rendere i programmi di sensibilizzazione alla sicurezza più coinvolgenti per i partecipanti è la “gamification”, che utilizza motivatori comportamentali tratti dai giochi, come le ricompense, la competizione e l’avversione alle perdite. 

10. Essere coerenti, scrupolosi e rimanere informati

I programmi di formazione devono essere completati con costanza:incoraggiate i vostri dipendenti a rivedere regolarmente le risorse di formazione, poiché le minacce informatiche e i metodi di compromissione cambiano costantemente.

E’ inoltre importante essere scrupolosi: la formazione del personale sul GDPR non significa semplicemente informare i dipendenti sul regolamento. Dovrebbe invece comprendere un programma completo che garantisca che tutti i dipendenti comprendano le pratiche e le procedure della vostra organizzazione per il trattamento dei dati personali. 

Infine, nessun programma di formazione di successo è completo senza una componente educativa. I datori di lavoro devono elaborare una strategia per tenere aggiornati i dipendenti su notizie, incidenti e approfondimenti in materia di cybersecurity. Considerate la possibilità di raccogliere articoli, video e rapporti in una newsletter mensile o trimestrale per garantire che la sicurezza sia sempre al centro dell’attenzione.

11. Includere dei consigli per la sicurezza personale del dipendente 

Pur non essendo direttamente collegata alla sicurezza dell’organizzazione, a volte si può trarre vantaggio anche offrendo informazioni che aiutino gli utenti a livello personale. Ad esempio, potreste voler mostrare agli utenti come proteggere i loro router domestici e come proteggere i loro figli su Internet. Questi argomenti possono generare buona volontà e migliorare la sicurezza generale dell’organizzazione. La consapevolezza della sicurezza personale è, in un certo senso,alla base della sicurezza dell’organizzativa. Aumentare la consapevolezza della sicurezza, e quindi la sicurezza, dei dipendenti e delle loro famiglie può incrementare la postura di sicurezza complessiva di un’organizzazione e la coesione tra le parti, dimostrando attenzione verso il dipendente oltre i meri obiettivi di business.

Plasmare il futuro della cybersecurity

Alla fine, la condivisione delle conoscenze attraverso la formazione sulla consapevolezza della cybersecurity porterà i dipendenti a uno stato di allerta elevato e i professionisti a diventare più innovativi ed efficaci nella sicurezza.

In questo modo, le aziende saranno in grado di anticipare le minacce e i rischi futuri, indipendentemente dal fatto che si chiamino ransomware, deepfake o attacchi di social engineering. Si scontreranno con un robusto firewall umano di consapevolezza della cybersecurity.

Man mano che i datori di lavoro, i dipendenti e il pubblico in generale impareranno a parlare la lingua della cybersecurity, cifre sconcertanti come il 95% di errori degli utenti diminuiranno e le aziende avranno una strada più sicura da percorrere in futuro. In definitiva, il nostro futuro di sicurezza informatica è una questione di responsabilità personale e di corretta gestione del rischio umano.