Gli esperti lo ripetono da tempo: per qualsiasi azienda il cyber security training è un elemento fondamentale. A confermarlo sono tutte le statistiche delle società di sicurezza, che individuano nell’errore umano la causa più comune degli incidenti di sicurezza informatica.
I pirati informatici lo sanno bene e, non a caso, stanno puntando sempre più spesso su tecniche di ingegneria sociale (social engineering) come vettore dei loro attacchi. “Nella nostra esperienza, gli esseri umani risultano essere il bersaglio privilegiato dei cyber criminali”, spiega Lorenzo Bernini, Cyber Security Manager di HWG. “I dati dei nostri strumenti di protezione lo confermano e gli attacchi sono sempre più complessi e sofisticati”.
Indice degli argomenti
L’anello debole della catena
Ciò che rende così rilevante il ruolo del fattore umano è il suo impatto sul sistema complessivo. Anche lo strumento di protezione più complesso ed evoluto, infatti, può fare ben poco se utilizzato in maniera sbagliata, se viene disattivato o se chi opera nell’azienda compie azioni che ne vanificano la funzione.
In altre parole: di fronte a un comportamento irresponsabile di un individuo, anche l’antivirus più potente rischia di essere inutile. La casistica è variegata: dall’utilizzo di supporti non conformi alle policy aziendali (come le chiavi di memoria USB) all’invio di documenti riservati a destinatari che si sono accreditati con l’inganno come partner commerciali dell’azienda.
“Recentemente abbiamo intercettato azioni malevole che usano tattiche estremamente complesse, come la creazione di falsi siti Internet che ricalcano alla perfezione quelli di società legittime, ma che vengono usati dai pirati informatici per mettere in opera complesse truffe ai danni delle loro vittime” conferma Bernini. In molti di questi casi, gli strumenti tecnologici non riescono a individuare automaticamente gli indizi che possono identificare la truffa e l’unica strategia è quella di istruire dipendenti e collaboratori affinché siano in grado di riconoscere il pericolo.
L’alfabetizzazione in cyber security
Il processo di cyber security training, nella declinazione adottata da HWG per i suoi clienti, non si esaurisce nell’erogazione di un semplice corso di awareness, ma ha caratteristiche ben più articolate. “La formula che adottiamo è quella del servizio gestito” spiega Lorenzo Bernini. “Quello che forniamo non è solo il semplice corso, ma una piattaforma che consente di fare training e l’assistenza che permette di definire il percorso in tutti i dettagli”.
L’idea, in pratica, è quella di superare la semplice formazione riguardante i pericoli legati all’utilizzo degli strumenti digitali, ma un processo tarato sulle caratteristiche dell’azienda per personalizzare la formazione stessa. Non solo: l’addestramento dei dipendenti è strettamente legato agli strumenti di protezione implementati a livello di infrastrutture IT e alle policy aziendali.
È possibile, per esempio, avviare simulazioni che permettono di “abituare” i dipendenti e i collaboratori a segnalare sistematicamente ai responsabili IT i messaggi sospetti. I test di questo tipo vengono affidati a dei template che permettono di utilizzare strumenti come la gamification, l’invio di “pillole” di informazioni e newsletter.
Tutti i vantaggi della formazione
Una preparazione in cyber security non consente solo di mitigare il rischio che il fattore umano incida in maniera negativa sull’efficacia dei sistemi di protezione, ma anche di migliorarne le performance. “Gli strumenti automatici, per quanto evoluti, non possono intercettare il 100% delle minacce, soprattutto quando parliamo di mail di phishing o di attacchi particolarmente elaborati” conferma Bernini.
“Le segnalazioni degli utenti consentono non solo di bloccare quelle poche minacce che superano indenni i filtri, ma permettono anche di aggiornare i sistemi di protezione con i dati di intelligence che siamo in grado di ricavare dalle minacce segnalate”, sottolinea.
I temi trattati, però, comprendono anche i comportamenti adeguati da tenere in particolari situazioni, come le connessioni in mobilità. Un’attenzione particolare è ovviamente dedicata al phishing, cioè agli attacchi che utilizzano come vettore email in cui i cyber criminali cercano di impersonare organizzazioni e soggetti legittimi per attirare gli utenti su pagine web malevole.
Altrettanta attenzione è riservata al fenomeno delle BEC (Business Email Compromise) che colpiscono di solito il reparto amministrativo e i dirigenti dell’azienda.
La valutazione del ruolo che il lavoratore riveste in azienda è fondamentale e viene preso in considerazione in fase di personalizzazione sia dei corsi, sia delle esercitazioni.
Cyber security training: un fenomeno in crescita
La vera novità, conferma Bernini, è che le aziende sembrano aver compreso l’importanza della formazione in ambito cyber security. “Dal nostro osservatorio vediamo che sempre più aziende investono in questo tipo di attività” sottolinea il Cyber Security Manager di HWG. “La vera scommessa è verificare se questo fenomeno acquisirà un adeguato livello di continuità”.
La questione è tutt’altro che marginale e rappresenta, probabilmente, il prossimo “salto evolutivo” a livello di consapevolezza da parte delle imprese.
Immaginare che una formazione a livello di sicurezza informatica possa esaurirsi in un percorso “one shot”, infatti, trascura il fatto che il settore è estremamente dinamico e soggetto a continui mutamenti. Come ogni aspetto della cyber security, di conseguenza, il processo di formazione deve essere interpretato come buona prassi nel lungo periodo e non come una sorta di “adempimento” cui ottemperare.
Contributo editoriale sviluppato in collaborazione con HWG
