HWG
  • Servizi
    • Cyber defense
      • Security Awareness
      • File Integrity Monitoring
      • Network Security
      • Browser Isolation
      • Email Security
      • Endpoint Security
    • Machine intelligence
      • SIEM
      • EDR
      • SOAR
      • Anomaly Behavior Analysis
      • Cyber Threat Intelligence
      • Deception
      • Threat Data Feeds
      • Vulnerability Management
      • ICS Security
    • Human expertise
      • Security Assessment
      • Incident Response
      • Security Monitoring
      • Threat Hunting
  • Company
  • Blog
  • Resource Center
  • Contatti
  • Careers
  • it
    • en
HWG Incident Response
HWG
  • Servizi
    • Cyber defense
      • Security Awareness
      • File Integrity Monitoring
      • Network Security
      • Browser Isolation
      • Email Security
      • Endpoint Security
    • Machine intelligence
      • SIEM
      • EDR
      • SOAR
      • Anomaly Behavior Analysis
      • Cyber Threat Intelligence
      • Deception
      • Threat Data Feeds
      • Vulnerability Management
      • ICS Security
    • Human expertise
      • Security Assessment
      • Incident Response
      • Security Monitoring
      • Threat Hunting
  • Company
  • Blog
  • Resource Center
  • Contatti
  • Careers
  • it
    • en
HWG
HWG Incident Response
  • Servizi
  • Company
  • Blog
  • Resource Center
  • Contatti
  • it
    • en

Awareness Cyber Security: i 6 trigger più efficacy

Pubblicato da HWG il 6 ottobre 2021

Quanto può valere per un’azienda un’adeguata awareness sulla cyber security dei suoi dipendenti? La risposta è semplice: moltissimo. Infatti, la maggior parte delle organizzazioni dedica grandi quantità di tempo e investe ingenti somme di denaro per allestire software e sofisticate apparecchiature che assicurino un elevato grado di protezione nei confronti delle cyber minacce. Spesso, però, non considerano che, come ha dimostrato uno studio di IBM, il 95% delle violazioni della sicurezza informatica dipende da un errore umano. E i danni che ne derivano possono avere conseguenze gravissime, sia in termini economici, sia di immagine: le stime indicano un valore che può arrivare addirittura a sfiorare i 4 milioni di dollari, mentre perdere il contenuto di un singolo campo di un database, a causa di un breach, costa in media 150 dollari. E chi affiderebbe i propri dati a un’azienda che è stata vittima di un attacco perché i suoi dipendenti hanno agito in modo superficiale? 

 

Il firewall umano 

Troppo spesso trascurata, l’awareness della cyber security da parte di tutto il personale (senza distinzione né di ruolo né di livello) dovrebbe essere invece un elemento fondamentale della strategia di sicurezza IT di un’azienda. Non va, infatti, sottovaluto che, dalle PMI alle grandi imprese, non ha importanza quanto efficace sia il sistema di protezione adottato, è il dipendente l'ultima linea di difesa, l’ultimo firewall, nella sicurezza IT dell'azienda. Aspetto questo che ha assunto ancor più rilevanza con l’adozione massiccia dello smart working. L’impiego frequente di device non aziendali con un livello di protezione non adeguato, se non addirittura inesistente, ha portato a un aumento indiscriminato degli attacchi. Il gruppo di analisi delle minacce di Google ha riferito che alla metà di aprile 2020 bloccava 18 milioni di minacce al giorno tra malware a tema Covid-19 ed e-mail di phishing. E se si considera che il 98% degli attacchi di phishing che hanno successo ottiene questo risultato proprio perché c’è stato l’intervento di una persona si capisce quali benefici effetti potrebbe avere un’adeguata awareness della cyber security.  

 

L’importanza della formazione 

Per limitare le possibilità di successo delle minacce alla sicurezza IT che raggiungono gli utenti aziendali è fondamentale istruire i dipendenti, fornire una specifica formazione. Questa dovrebbe anzitutto fargli capire quanto sono sofisticati i metodi usati dai cyber criminali e quanto è facile cadere vittima di un attacco. Sarebbe perciò necessario effettuare dei corsi per aggiornare le persone sulle tattiche di attacco e le possibili misure difensive.  

Alcune aziende i corsi li promuovono, ma spesso solo coinvolgendo un numero limitato di persone e con cadenza pluriennale. Dovrebbero essere invece eventi per tutto il personale con una frequenza sistematica almeno una volta l’anno: le minacce non si fermano, evolvono e sono sempre più sofisticate e pericolose. 

Ai corsi sarebbe poi bene affiancare una campagna di sensibilizzazione basata su contenuti stampati: potrebbero essere delle brochure o dei poster che ricordano sempre il valore dell’awareness della cyber security. 

 

Come ottenere un’efficace awareness della cyber security 

Affinché la formazione risulti efficace, e quindi si ottenga una maggiore awareness della cyber security, sarebbe bene che i corsi fossero un insieme di teoria e pratica. La parte teorica dovrebbe aggiornare su attacchi e tecniche di attacco, evidenziando gli effetti delle minacce che raggiungono i loro obiettivi. La pratica dovrebbe consentire di sperimentare in prima persona come si può essere vittima di un attacco, per stimolare l’attenzione verso le potenziali minacce, e come reagire.  

Ecco, quindi, i 6 trigger più efficaci che si potrebbero usare per accrescere la cyber security awareness. 

 

  1. Riconoscere phishing e spearphishing: sono tra i metodi più usati per indurre a compiere un atto che consenta di attivare un malware. Mostrando praticamente come un cyber criminale getta le sue esche si può aiutare a capire come evitare di cadere vittima di attacchi che sfruttano la curiosità o la disattenzione delle persone. 
  2. Non cadere nei tranelli di social engineering: rivelare come le persone tentano di acquisire la fiducia dell’utente per poi carpire in modo fraudolento informazioni o accedere ai dati aziendali. 
  3. Scegliere password efficaci: ancora oggi, troppo spesso si usano password semplici e quindi del tutto inefficaci. Si potrebbe mostrare quanto è semplice indovinarle e come in poco tempo un cyber criminale potrebbe accedere alla rete aziendale. 
  4. Uso consapevole dei social network: siccome i social network possono essere strategici anche per il business, potrebbe essere utile illustrare come frequentarli evitando di elargire dati a chiunque ne faccia richiesta o a fornire informazioni che potrebbero essere utili ai cyber criminali. 
  5. Attenzione ai supporti removibili: gli utenti dovrebbero essere consapevoli del fatto che chiavette USB, schede SD, CD e persino smartphone possono nascondere del malware, quindi non dovrebbero mai essere collegati ai propri device se non ne è nota la provenienza.  
  6. Responsabilizzare i dipendenti: non si tratta di una tecnica contro minacce o attacchi, quanto invece rendere consapevoli le persone che un atteggiamento superficiale può creare gravi danni non solo all’azienda ma anche alle persone. Non ci si può trincerare dietro al fatto che tanto non si può essere ritenuti colpevoli di un atto compiuto involontariamente e a cui comunque qualcuno rimedierà. Tecnicamente la situazione può essere risolta, ma i risvolti economici e di immagine potrebbero incidere pesantemente sul business e, di riflesso, sulle retribuzioni del personale. 

 

Non tecnici, ma utenti attenti e consapevoli 

Non si dovrebbe pretendere di trasformare i dipendenti in esperti di sicurezza, però dovrebbero sapere a cosa potrebbero trovarsi di fronte e come agire per evitare di innescare reazioni che potrebbero portare a danni enormi. Awareness della cyber security significa anche solo saper individuare un’e-mail dal contenuto dubbio e segnalarla a chi si occupa della sicurezza IT. Se lo facessero tutti i dipendenti si ridurrebbero notevolmente le possibilità di successo delle cyber minacce. 

New call-to-action

Tags: Security Awareness
Torna al Blog

Iscriviti alla Newsletter

Popular post

  • 27 mag 2020
    CEO Fraud: che cos’è la truffa del CEO e come dife...
  • 01 mar 2022
    Investcorp completa l’acquisizione di HWG
  • 26 feb 2020
    Cosa si trova nel dark web, e come difendersi?
  • 25 feb 2022
    Russia e Ucraina: la guerra che devi temere è quel...
  • 26 ago 2020
    SOAR Cyber Security: il futuro della sicurezza inf...

Topics

  • AI (1)
  • automotive (1)
  • aziende (1)
  • Brand Reputation (11)
  • browser isolation (1)
  • Business Continuity (1)
  • CEO Fraud (2)
  • cifratura dati (1)
  • compromise assessment (1)
  • Corporate (7)
  • criptazione (1)
  • criptovalute (1)
  • Cyber Agent (7)
  • cyber resilience (2)
  • Cyber risk (11)
  • Cyber Threat Intelligence (10)
  • cybercrime (1)
  • cybersecurity (2)
  • cyberwar (3)
  • Dark Web (7)
  • Data exfiltration (3)
  • Disaster Recovery (1)
  • Dubai (1)
  • Endpoint Protection (9)
  • Fabio Aletto (1)
  • ferrovie (1)
  • fintech (1)
  • Golfo Persico (1)
  • guerra (1)
  • Incident Response (3)
  • Industry 4.0 (6)
  • Intervista (9)
  • IoT (6)
  • IT Governance (1)
  • Lavoro (1)
  • Lituania (1)
  • Malware (7)
  • MFA (1)
  • Penetration Test (4)
  • Phishing (2)
  • pirateria (2)
  • politica (1)
  • ransomware (6)
  • risk assessment (1)
  • Russia (2)
  • Security Assessment (3)
  • Security Awareness (25)
  • SIEM (3)
  • SOAR (1)
  • SOC (24)
  • Sovranità digitale (1)
  • Spear Phishing (7)
  • sport (2)
  • telefono rosso (1)
  • trenitalia (1)
  • Ucraina (1)
  • Università (5)
  • USA (1)
  • Verona (7)
  • Vilnius (3)
  • Vulnerability Management (16)
  • Zero Trust (2)
see all topics

Articoli Correlati

Perché passare dalla computer security all'industrial security

Cosa significa oggi passare dalla computer security all’industrial security? Vuol dire adattare le...
Leggi di più

Penetration test: cos'è, come farlo e come andare oltre

Nell’ottica della predisposizione di strumenti di protezione di cyber-security, è pratica comune...
Leggi di più

Data breach e brand reputation: attacco allo studio legale dei VIP. Il caso Grubman Shire Meiselas & Sacks

Il legame tra data breach e brand reputation è indissolubile. Non è infatti possibile per...
Leggi di più
HWG
  • ISO certified company
  • ISO
  • clusit
  • Servizi
  • Company
  • Blog
  • Resource Center
  • Contatti
HWG Incident Response
2021 © HWG Srl

HWG Srl | Via Enrico Fermi, 15/E - 37135 Verona | P.IVA 03820790230

  • Privacy Policy
  • Politica aziendale
  • Modello 231/2001