Il personale è un elemento sensibile nel delicato equilibrio della cyber security di un’impresa: per proteggere le aziende bisogna investire in formazione. Lo rivelano anche i dati di Proofpoint, azienda che si occupa di soluzioni di security e compliance, che ha pubblicato la quarta edizione del report annuale Beyond the Phish. L’indagine è specializzata nell’analisi del livello di competenza relativamente alla sicurezza informatica.
Il tema è fondamentale: “Aumentare la sicurezza dell’h factor aumenta proporzionalmente la sicurezza aziendale rispetto a minacce su tali debolezze”, spiega a Cybersecurity360.it Gerardo Costabile, CEO di DeepCyber
Indice degli argomenti
Il report di Proofpoint
L’indagine riguarda 14 categorie di dipendenti, per 20 divisioni di 16 settori. Dal report Beyond the Phish emerge che la divisione Comunicazione è quella con i dipendenti più preparati: l’84% ha risposto correttamente alle domande. Il miglior settore in assoluto è risultato essere quello Finance, con dipendenti che hanno risposto in modo adeguato all’80% delle domande. Il settore assicurativo invece è risultato essere il migliore nell’ambito “evitare gli attacchi ransomware”.
Maglie nere invece per le divisioni Facilities, Sicurezza (fisica e IT) e Customer Service, che hanno risposto in modo sbagliato al 25% delle domande. Male anche per Education e Trasporti, i cui utenti hanno risposto male al 24% delle domande, mentre quelli della divisione Hospitality hanno sbagliato il 22% delle risposte nella categoria Rischi di sicurezza fisica.
Il problema del phishing
In agguato però a minare la cyber security aziendale ci sono sempre gli attacchi phishing. Secondo Proofpoint, nelle categorie dell’indagine “identificazione delle minacce phishing” e “Protezione dei dati e del loro ciclo di vita”, gli intervistati hanno sbagliato una risposta su quattro. Emerge però che le persone hanno imparato a riconoscere quali sono le peculiarità degli attacchi di phishing e sanno che è necessario proteggere i dati, tuttavia l’83% delle imprese ha subìto attacchi di phishing nel 2018.
Commenta Costabile: “Secondo le nostre simulazioni, i dipendenti che cadono nei tentativi di phishing raggiungono picchi anche del 30% e sono molti i casi dove le aziende non hanno consapevolezza di questi rischi o, peggio ancora, affrontano il problema solo dopo frodi acclamate di ingente magnitudo”.
L’importanza della formazione
Risulta evidente dunque come sia necessario investire in formazione: “Ad oggi è importante gestire questo tipo di consapevolezza e formazione in un modo snello, misurabile e moderno. Prima di tutto va misurato il livello di vulnerabilità dell’ H factor, per comprendere le aree in azienda che sono più esposte e personalizzare anche le tecniche di simulazione”, precisa Costabile.
Alla fine di tale misurazione “sarà possibile organizzare una formazione ad hoc, sfruttando le nuove piattaforme di gamification per essere più interattivi e insegnare con gioco, valorizzando i comportamenti più performanti del dipendente. In un secondo momento sarà possibile effettuare nuove simulazioni, in un approccio di valutazione dei rischi di tipo periodico e continuo”, conclude l’esperto.
