Il fattore umano: l’importanza della cyber security awareness in azienda

Oggi, nel complicatissimo panorama della cyber security, il fattore umano è annoverato dai CISO (Chief Information Security Officer) tra le principali fonti di rischio.

Il fattore umano: la cyber security awareness dei dipendenti

L’utente poco consapevole può invalidare le contromisure messe in atto all’interno dell’organizzazione con comportamenti imprudenti o sbagliati, come, ad esempio, mantenere il computer collegato a un sistema per cui è richiesta l’autenticazione e lasciarlo incustodito, allontanandosi senza fare “log out”, alla mercé di un dipendente infedele o di un estraneo infiltrato.

Il primo punto, quindi, per la prevenzione è la “formazione” che deve portare alla consapevolezza nell’uso delle tecnologie digitali, per operare in sicurezza e non compromettere le contromisure messe in atto.

Intelligenza Artificiale e Machine Learning contro i comportamenti anomali

Il cloud computing e l’intelligenza artificiale sono due fenomeni inarrestabili che caratterizzano il panorama informatico di questi anni. Una pervasività dell’Intelligenza Artificiale, non come soluzione ultima a tutti i problemi, ma con soluzioni mirate in grado di gestire determinate classi di fenomeni.

Il Machine Learning, ad esempio, può rivelarsi davvero utile per catturare anomalie rispetto al comportamento “caratteristico” di ciascun utente o del traffico di rete, facendosi carico dell’onere di capire cosa è caratteristico utente per utente.

Vettori di attacco secondo il Rapporto Clusit 2023

Il Rapporto Clusit 2023 riporta un’analisi delle principali campagne del 2022, mostrando che la frode avviene prevalentemente attraverso i seguenti vettori di attacco:

• Credential theft: attacco phishing con l’obiettivo di furto di credenziali di accesso, spesso combinata con una successiva interazione con un finto operatore per il furto dei fattori di autenticazione forte;
• Inoculazione malware, anche in questo caso con l’obiettivo del furto di credenziali o fattori addizionali di autenticazione o manipolazione di una transazione;
• Hacking del dispositivo mobile tramite SIM Swap o emulazione software dello smartphone;
• e infine, ma in misura inferiore, attacco diretto all’infrastruttura dell’istituzione finanziaria, sfruttando vulnerabilità quasi sempre note ma ancora non fixate. La tecnica, o la combinazione di tecniche, varia in base alla tipologia di vittima, con sostanziali differenze tra il cliente finale (retail) oppure aziendale (corporate).

Attacco Phishing, il più frequente

Il phishing è stato l’incidente più comune. Nonostante fosse in cima anche nel 2020, la percentuale di organizzazioni che hanno subito questo tipo di attacco nel 2022 è quasi raddoppiata, passando dal 40% al 73%.

Inoltre, il 63% degli intervistati ha affermato di aver subito questo tipo di attacco più volte. Anche gli attacchi mirati all’infrastruttura cloud sono aumentati in modo significativo: il 29% degli intervistati ha subito questo tipo di attacco nel 2022, rispetto al 16% nel 2020. E questo perché più sono i carichi di lavoro che vengono spostati nel cloud, e più saranno gli attacchi mirati agli ambienti cloud.

Ed ecco come emerge sempre più l’esigenza dell’educare i dipendenti: l’intera forza lavoro dovrebbe essere consapevole dei diversi tipi di minacce alla sicurezza informatica e degli attacchi di Social Engineering che potrebbero trovarsi ad affrontare durante le attività lavorative, di cui il phishing, lo smishing e l’honey trapping ne sono solo un esempio.

Componenti di un programma di Cyber Security Awareness

E’ imperativo aiutare i dipendenti ad affrontare il fatto che i criminali informatici stiano cercando di ingannarli: diventando consapevoli, saranno in grado di rilevare e-mail truffa e intraprendere azioni appropriate come eliminare un’e-mail o non fare clic su un collegamento.

Oggi non si può non pianificare ed eseguire un programma per i propri dipendenti, tenendo conto delle componenti critiche di un programma di sensibilizzazione sulla sicurezza informatica:

• Contenuto – Ogni figura professionale e ogni persona predilige diversi tipi e stili di contenuto, abbinare sempre contenuti diversi in base ai ruoli in un’organizzazione.
• Supporto direzionale e pianificazione – I contenuti aiuteranno a dimostrare il valore del programma al team degli executive e anche a mostrare ai revisori che si sta mettendo in sicurezza l’azienda.
• Materiali di supporto della campagna formativa – Un programma di successo non funziona se fatto “one shot”, : aggiornarlo periodicamente, ciò che influenzerà le decisioni dei dipendenti e renderà più facile fare scelte più intelligenti e consapevoli.
• Simulazioni e test – Le persone devono essere messe in situazioni in cui dovranno prendere una decisione che determinerà se l’organizzazione sarà violata o meno. I Phishing Attack Simulation richiedono ai dipendenti di fare clic su un collegamento, segnalare il phishing o non fare nulla. Dare l’opportunità di segnalare tentativi di phishing significa aiutare l’organizzazione ad aumentare la resilienza.
• Metriche e reportistica – Misurare, ossia essere in grado di dimostrare che si stanno colmando le lacune di sicurezza. I report sono utili anche per ottimizzare le campagne in base ai risultati passatiper vedere cosa funziona e cosa può essere migliorato.
• Sondaggi / valutazioni – Questi tipi di strumenti possono aiutare a capire quanto un programma di sensibilizzazione stia avendo sucesso con il personale.

Il modello 70:20:10 nella formazione sulla cyber security

L’apprendimento non deve avvenire solo in un determinato momento, ma bisogna pensare all’intero contesto dell’esperienza utente. Considerare questo modello 70:20:10 per l’apprendimento e lo sviluppo:

• 10% Formale – Apprendimento strutturato, corsi LMS, giornate di formazione, ecc. Si tratta della quantità massima di tempo che è possibile assegnare per utente per la formazione formale. Bisogna pensare a come affrontare l’altro 90% dell’esperienza di qualcuno nell’organizzazione.
• 20% informale – Chiedere agli altri, collaborare, webinar, guardare video, leggere, ecc. Pensare a come costruire una community in cui gli utenti sappiano dove andare per ottenere le informazioni di cui hanno bisogno quando le stanno effettivamente cercando.
• 70% Esperienziale – On-the-job, social, nel flusso di lavoro, nella cultura aziendale e dipartimentale. Dal punto di vista della sicurezza, se si ignora quella componente sociale/culturale del 70%, ci si sta mettendo in una posizione di svantaggio.

Corsi di cyber security awareness gestiti da esperti in cyber security

Il cambiamento del comportamento organizzativo richiede il riconoscimento che la semplice esposizione dei dipendenti alle informazioni relative alla sicurezza non sarà mai sufficiente.

Più che la trasmissione di informazioni, vanno invece privilegiate le simulazioni, in modo che i dipendenti siano continuamente esposti a situazioni di pericolo, per poterle riconoscere.

Organizzare una formazione permanente di cyber security awareness per dipendenti è un’attività strategica che richiede forti competenze, non individuabili in risorse interne alle aziende ma che solo aziende specializzate possono offrire, una formazione integrata che si divide tra corsi in aula (o online) e simulazioni di attacchi phishing e di altre minacce informatiche.

Scopri i corsi di cyber security awareness di Axitea.