La protezione dei dati e delle imprese passa dai singoli dipendenti e collaboratori, Hornetsecurity spiega l’importanza della Security Awareness e propone training mirati.
Oggi, la sicurezza è un asset fondamentale per le aziende. D’altra parte, il business si sta spostando sempre più velocemente verso il digitale e tutto quello che è digitale ha una correlazione molto stretta con la cyber security.
Nonostante questo, buona parte dei dipendenti considera la sicurezza come un concetto molto complesso, qualcosa di distante, di pertinenza dell’azienda. Quindi, benché sia reputata molto importante in senso assoluto, la cybersecurity non sembra essere avvertita come una cosa che riguarda direttamente i dipendenti.
Tuttavia, oggi, questo aspetto non può più essere visto con una “logica centralizzata”, dove è tutto in carico all’azienda.
Se per un’incauta gestione, vengono rubate le credenziali a un utente, queste portano a un’esposizione molto elevata e possono essere rivendute. L’impresa può disporre della migliore difesa contro il cybercrime ma, a fronte di questa situazione non può fare nulla, se non adottare una serie di misure tecnologiche, come la multi-factor authentication, per avere un’inconfutabile identificazione dell’identità degli utenti.
Migliorare la consapevolezza
Per migliorare il rapporto tra cybersecurity e forza lavoro, l’azienda deve giocare un ruolo preciso per sensibilizzare gli utenti. Possono essere messe in campo differenti attività e iniziative per migliorare la consapevolezza del rischio. Ci sono anche piattaforme tecnologie che propongono training per far capire quali possono essere gli impatti e i pericoli legati alla sicurezza informatica. È inoltre possibile avviare campagne di “phishing simulato” in modo da istruire e mettere alla prova gli utenti.
Oggi, il perimetro aziendale non esiste più e la sicurezza si sposterà sempre più verso i terminali e verso gli utenti che usano device remoti. Tuttavia, di questo sembra che gli utenti non abbiano consapevolezza. Ci vorrà del tempo per farlo capire, ma ci deve essere un impegno da parte di tutti. Non si può certo chiedere agli utenti di diventare esperti di sicurezza, ma l’azienda deve abilitare un ecosistema robusto e modelli efficaci. L’attuale gap a livello di conoscenza e sensibilità deve essere colmato anche attraverso campagne di training.
Employee Security Index
Il fattore umano è fondamentale in qualsiasi approccio alla sicurezza. Per indirizzare i dipendenti e renderli maggiormente consapevoli esistono svariate misure che possono essere utilizzate. Utenti e colleghi non devono essere visti come un potenziale rischio, ma come parte fondamentale della soluzione di sicurezza IT.
La pianificazione di misure per aumentare la consapevolezza della sicurezza può comportare una serie di sfide. È infatti fondamentale coinvolgere i dipendenti, senza sovraccaricarli o spaventarli. Ma come ci si assicura che le misure di sensibilizzazione alla sicurezza siano efficaci a lungo termine? Vale la pena investire? Esiste un benchmark di riferimento? La formazione può essere personalizzata?
L’Employee Security Index – ESI in breve – consente di misurare il comportamento dei dipendenti, adottando schemi precisi, per risultati riproducibili.
Simulazioni avanzate
Utilizzando simulazioni di phishing, dalla metà del 2018, è stato sviluppato e adottato l’Employee Security Index, principalmente presso aziende e autorità operanti a livello internazionale.
Esempi di attacchi simulati includono un messaggio che finge di provenire dalla casella di posta dell’utente che segnala l’esaurimento dello spazio di archiviazione. Un’altra e-mail simula l’invio di un collegamento a una GIF da parte di un collega a caso, oppure una richiesta dal responsabile di reparto circa una fattura allegata.
In questo contesto, la simulazione di phishing è stata sviluppata per essere la più realistica possibile, con i partecipanti che ricevevano attacchi individuali di spear phishing in momenti casuali. La formazione e l’esercitazione continua sono fondamentali. Lo conferma una analisi lungo 12 mesi di osservazione.
Infatti, mentre la curva ESI sale bruscamente all’inizio e raggiunge presto un livello di sicurezza accettabile, diventa molto più difficile mantenere questo livello man mano che gli scenari di spear phishing diventano più sofisticati, in particolare quando nuovi dipendenti entrano a far parte dell’azienda o singoli gruppi e i dipendenti interrompono la loro formazione.
Specifici strumenti di monitoraggio rappresentano la base per determinare l’applicazione di ulteriori misure di sensibilizzazione alla sicurezza. In questo caso, ESI può essere utilizzato per controllare costantemente la consapevolezza aziendale. Ciò permette di valutare l’efficacia delle singole misure di formazione: l’analisi quantitativa della security awareness fornisce un confronto diretto con altre società in settori simili e può quindi essere utilizzata come base per maturare decisioni su ulteriori investimenti.
Formazione automatizzata con Security Awareness Suite
Aumentare la consapevolezza della sicurezza dei dipendenti è essenziale per una protezione efficace dagli attacchi informatici. Questo perché le sole misure di sicurezza tecnica non sono sufficienti quando gli hacker sono specializzati nello sfruttamento di specifiche vulnerabilità umane.
Tuttavia, la formazione continuativa dei dipendenti può richiedere molte ore ai responsabili di sicurezza e sottrarre preziose risorse ad altre attività. Per questo motivo Hornetsecurity propone l’innovativa Security Awareness Suite, basata sugli indicatori della piattaforma ESI precedentemente descritta.
Questa architettura consente di abilitare schemi di formazione su misura e prolungati nel tempo. Il programma include vari metodi per raggiungere i dipendenti in modo efficace, dalle simulazioni di phishing ai tutorial con video clip, fino a specifici materiali di studio.
Il risultato è una cultura della sicurezza proattiva con dipendenti informati, consapevoli del loro ruolo all’interno dell’azienda e che agiscono di conseguenza.
L’Awareness Engine è il nucleo tecnologico della Security Awareness Suite ed è in grado di erogare la giusta quantità di formazione per ogni individuo. La gestione dell’e-training è automatica, la modalità “booster” garantisce che gli utenti con ulteriori esigenze di apprendimento ricevano una formazione più intensiva, mentre i dipendenti che sono già a un buon livello sulla sicurezza ricevono meno formazione.
Grazie a questo strumento, Hornetsecurity offre alle aziende l’opportunità di mantenere la propria forza lavoro sempre aggiornata e reattiva. Questo strumento va ad integrarsi con le consuete piattaforme tecnologiche di sicurezza e permette di valorizzare al meglio il capitale umano presente in azienda.