Quanto può valere per un’azienda un’adeguata awareness sulla cyber security dei suoi dipendenti? La risposta è semplice: moltissimo. Infatti, la maggior parte delle organizzazioni dedica grandi quantità di tempo e investe ingenti somme di denaro per allestire software e sofisticate apparecchiature che assicurino un elevato grado di protezione nei confronti delle cyber minacce. Spesso, però, non considerano che, come ha dimostrato uno studio di IBM, il 95% delle violazioni della sicurezza informatica dipende da un errore umano. E i danni che ne derivano possono avere conseguenze gravissime, sia in termini economici, sia di immagine: le stime indicano un valore che può arrivare addirittura a sfiorare i 4 milioni di dollari, mentre perdere il contenuto di un singolo campo di un database, a causa di un breach, costa in media 150 dollari. E chi affiderebbe i propri dati a un’azienda che è stata vittima di un attacco perché i suoi dipendenti hanno agito in modo superficiale?
Il firewall umano
Troppo spesso trascurata, l’awareness della cyber security da parte di tutto il personale (senza distinzione né di ruolo né di livello) dovrebbe essere invece un elemento fondamentale della strategia di sicurezza IT di un’azienda. Non va, infatti, sottovaluto che, dalle PMI alle grandi imprese, non ha importanza quanto efficace sia il sistema di protezione adottato, è il dipendente l'ultima linea di difesa, l’ultimo firewall, nella sicurezza IT dell'azienda. Aspetto questo che ha assunto ancor più rilevanza con l’adozione massiccia dello smart working. L’impiego frequente di device non aziendali con un livello di protezione non adeguato, se non addirittura inesistente, ha portato a un aumento indiscriminato degli attacchi. Il gruppo di analisi delle minacce di Google ha riferito che alla metà di aprile 2020 bloccava 18 milioni di minacce al giorno tra malware a tema Covid-19 ed e-mail di phishing. E se si considera che il 98% degli attacchi di phishing che hanno successo ottiene questo risultato proprio perché c’è stato l’intervento di una persona si capisce quali benefici effetti potrebbe avere un’adeguata awareness della cyber security.
L’importanza della formazione
Per limitare le possibilità di successo delle minacce alla sicurezza IT che raggiungono gli utenti aziendali è fondamentale istruire i dipendenti, fornire una specifica formazione. Questa dovrebbe anzitutto fargli capire quanto sono sofisticati i metodi usati dai cyber criminali e quanto è facile cadere vittima di un attacco. Sarebbe perciò necessario effettuare dei corsi per aggiornare le persone sulle tattiche di attacco e le possibili misure difensive.
Alcune aziende i corsi li promuovono, ma spesso solo coinvolgendo un numero limitato di persone e con cadenza pluriennale. Dovrebbero essere invece eventi per tutto il personale con una frequenza sistematica almeno una volta l’anno: le minacce non si fermano, evolvono e sono sempre più sofisticate e pericolose.
Ai corsi sarebbe poi bene affiancare una campagna di sensibilizzazione basata su contenuti stampati: potrebbero essere delle brochure o dei poster che ricordano sempre il valore dell’awareness della cyber security.
Come ottenere un’efficace awareness della cyber security
Affinché la formazione risulti efficace, e quindi si ottenga una maggiore awareness della cyber security, sarebbe bene che i corsi fossero un insieme di teoria e pratica. La parte teorica dovrebbe aggiornare su attacchi e tecniche di attacco, evidenziando gli effetti delle minacce che raggiungono i loro obiettivi. La pratica dovrebbe consentire di sperimentare in prima persona come si può essere vittima di un attacco, per stimolare l’attenzione verso le potenziali minacce, e come reagire.
Ecco, quindi, i 6 trigger più efficaci che si potrebbero usare per accrescere la cyber security awareness.
- Riconoscere phishing e spearphishing: sono tra i metodi più usati per indurre a compiere un atto che consenta di attivare un malware. Mostrando praticamente come un cyber criminale getta le sue esche si può aiutare a capire come evitare di cadere vittima di attacchi che sfruttano la curiosità o la disattenzione delle persone.
- Non cadere nei tranelli di social engineering: rivelare come le persone tentano di acquisire la fiducia dell’utente per poi carpire in modo fraudolento informazioni o accedere ai dati aziendali.
- Scegliere password efficaci: ancora oggi, troppo spesso si usano password semplici e quindi del tutto inefficaci. Si potrebbe mostrare quanto è semplice indovinarle e come in poco tempo un cyber criminale potrebbe accedere alla rete aziendale.
- Uso consapevole dei social network: siccome i social network possono essere strategici anche per il business, potrebbe essere utile illustrare come frequentarli evitando di elargire dati a chiunque ne faccia richiesta o a fornire informazioni che potrebbero essere utili ai cyber criminali.
- Attenzione ai supporti removibili: gli utenti dovrebbero essere consapevoli del fatto che chiavette USB, schede SD, CD e persino smartphone possono nascondere del malware, quindi non dovrebbero mai essere collegati ai propri device se non ne è nota la provenienza.
- Responsabilizzare i dipendenti: non si tratta di una tecnica contro minacce o attacchi, quanto invece rendere consapevoli le persone che un atteggiamento superficiale può creare gravi danni non solo all’azienda ma anche alle persone. Non ci si può trincerare dietro al fatto che tanto non si può essere ritenuti colpevoli di un atto compiuto involontariamente e a cui comunque qualcuno rimedierà. Tecnicamente la situazione può essere risolta, ma i risvolti economici e di immagine potrebbero incidere pesantemente sul business e, di riflesso, sulle retribuzioni del personale.
Non tecnici, ma utenti attenti e consapevoli
Non si dovrebbe pretendere di trasformare i dipendenti in esperti di sicurezza, però dovrebbero sapere a cosa potrebbero trovarsi di fronte e come agire per evitare di innescare reazioni che potrebbero portare a danni enormi. Awareness della cyber security significa anche solo saper individuare un’e-mail dal contenuto dubbio e segnalarla a chi si occupa della sicurezza IT. Se lo facessero tutti i dipendenti si ridurrebbero notevolmente le possibilità di successo delle cyber minacce.