Cyber security training: il framework di HWG

Il 92% degli attacchi informatici si basa, del tutto o in prevalenza, sull’utilizzo di tecniche di social engineering. Stefano Brusaferro di HWG precisa: “Studi recente alzano la stima al 94%”. Quindi, in buona sostanza,94 attacchi su 100hanno a che fare con tecniche in cui si convince la vittima a visitare siti o fruire di contenuti malevoli.

A volte si tratta della vittima predestinata, altre di un gancio verso un obiettivo più sostanzioso: succede, in particolare, quando il target dell’attacco è un’azienda e, dunque, i criminali cercano di penetrarvi sfruttando l’ingenuità del semplice impiegato, che ignora di poter cadere vittima di tranelli simili.

Il fattore umano ha quindi un ruolo significativo nella protezione dell’azienda, di conseguenza il cyber security training è un’arma fondamentale dalla parte delle aziende.

 

Differenza tra formazione e cyber security training

Da qui, nasce una prima, importante, considerazione: tutti, all’interno di un’azienda, sono potenziali vittime. E tutti, dunque, rappresentano dei potenziali punti di vulnerabilità. Come conseguenza, tutti devono essere istruiti a dovere per non cadere vittima di queste minacce, per lo meno quelle più diffuse ed evidenti.

Serve, quindi, una buona formazione di base, anche se l’obiettivo finale deve essere un vero e proprio training. “La differenza è sostanziale”, racconta Brusaferro. “La formazione classica offre un’infarinatura di base, mentre con il training si unisce l’aspetto pratico e si vanno a provare sul campo le nozioni acquisite”.

 

Efficace contro i ransomware

E la pratica, nel settore della cyber security, è un requisito essenziale a detta di Brusaferro e di molti altri esperti. Solo con l’applicazione sul campo, con simulazioni efficaci, è possibile rendersi conto della varietà e gravità di minacce di cui, spesso, si sente solo parlare in modo marginale.

Soprattutto, la sperimentazione pratica consente di analizzare come un singolo evento di social engineering possa impattare, a cascata, sulla sicurezza dell’intera infrastruttura aziendale. Il riscontro più emblematico di questo concetto si ha coi ransomware.

La maggior parte di queste minacce si attiva con il così detto “paziente zero”. Un singolo individuo che cade nel tranello di una e-mail di phishing, con allegato malevolo, dando il via all’infezione dell’intera rete. Con conseguenze, ne parlano diffusamente le cronache, che possono portare a perdite per milioni di euro.

 

Aziende attaccabili come non mai

“È proprio per questo”, continua Brusaferro, “che il target di un cyber security training è molto allargato: si punta alle persone, in generale, tenendo ovviamente conto che poi, all’interno dell’azienda, le competenze si diversificano”.

L’esperto di HWG insiste molto su questo aspetto, sottolineando che, mai come di questi tempi, è chiaro che il perimetro aziendale non si ferma alla sola rete interna. La diffusione dello smart working e di dispostivi personali utilizzati anche a lavoro, e viceversa, allarga e indebolisce i confini aziendali. Ogni punto, qui, è potenzialmente attaccabile e, di conseguenza, lo è anche ogni individuo afferente alla sfera aziendale.

 

Il framework di HWG

Sulla base di queste considerazioni HWG ha deciso di creare un framework, un servizio, dedicato al vero training in materia di cyber security.

“Si tratta di una soluzione che sviluppa il training secondo tre fasi”, suggerisce l’esperto di HWG. Nella prima fase di va a saggiare il livello iniziale di competenza degli utenti iscritti al training. I risultati, a questo punto, sono utilizzati per sviluppare il piano formativo.

Nella seconda fase, si punta proprio al percorso di training creato ad hoc. La proposta, di solito, si sviluppa su dodici mesi, un arco temporale che impatta al minimo sul lavoro quotidiano dell’azienda e consente di instillare le nozioni un poco per volta. Senza contare che il percorso si arricchisce, a mano a mano, di nuovi elementi a seconda di come si muove nel frattempo il settore delle minacce.

Nella terza fase si passa al test delle competenze maturate, per comprendere se il training sta funzionando per tutti e, in caso contrario, calibrarlo sulla base di esigenze specifiche per in singolo utente.

 

Una piattaforma in cloud

“Tutto viene gestito da una piattaforma in cloud, che non richiede alcun effort da parte dell’azienda e che può essere personalizzata anche nel look&feel”, chiosa Brusaferro. Che conclude: “Mai come ora, l’utente deve diventare parte integrante della soluzione di sicurezza. Nessun vendor di software di cyber security potrà mai dire che un prodotto è efficace al 100%, poiché c’è sempre la componente umana a complicare le cose: la nostra piattaforma pensa a sistemare anche questa”.

 

Cyber rischio: prevenire e rispondere agli incidenti

Condividilo su: