Pur volendo evitare gli slogan e senza voler snocciolare dati su dati, è comunque innegabile che ci ritroviamo ad osservare quasi su base giornaliera attacchi di phishing altamente aggressivi che le organizzazioni, di ogni settore e geografia, subiscono a causa della mancanza di una piena consapevolezza del rischio cyber che può essere colmata solo disegnando e realizzando un efficace programma di security awareness.
Indice degli argomenti
Conoscere le minacce
Quanto è complesso per le aziende mitigare i danni reputazionali dopo attacchi di questo tipo?
Tanto. Forse troppo. E non stiamo parlando di organizzazioni che improvvisano una strategia di sicurezza, che non hanno investito in processi e in tecnologie di difesa in profondità all’avanguardia. Parliamo piuttosto della sottesa necessità di completare tali investimenti facendo leva sul contributo di tutte le persone che come dipendenti e, più in generale, stakeholder compongono l’ecosistema di un’azienda.
Il Rapporto Clusit 2020, redatto dagli esperti aderenti all’Associazione Italiana per la Sicurezza Informatica, evidenzia che nel 2019 gli attacchi gravi sono stati 1.670, con un aumento, rispetto al 2018 del 7%. Se si prende in considerazione il lasso di tempo tra il 2014 e il 2019, gli attacchi sono aumentati del 91.2%.
Un quadro non molto confortante per le aziende che devono continuare a difendersi da hacker sempre più agguerriti e dotati di tecnologie all’avanguardia.
Le tecniche di phishing e social engineering segnano invece +81,9% rispetto al 2018, arrivando a rappresentare il 17% del totale. Una quota crescente di questi attacchi basati su phishing si riferisce, evidenziano gli esperti Clusit, a “BEC scams”, ovvero frodi via e-mail che colpiscono in maniera specifica le organizzazioni con l’obiettivo di infliggere danni economici, con impatto spesso notevole.
Programma di security awareness, pilastro della security governance aziendale
La vera sfida è riuscire nel medio-lungo periodo a valorizzare e le scelte di investimento compiute – su layer tecnologici, operativi, di processo – attuando per l’appunto un programma articolato di security awareness, frequente, che diventa così un pilastro del modello di governo della sicurezza per le aziende.
Articolato, perché purtroppo (e per fortuna) non possiamo pensare di creare un percorso di rafforzamento della postura di sicurezza di una azienda mediante un set documentale, pubblicato nella intranet, che descrive come utilizzare gli strumenti aziendali, ad esempio, o come gestire le terze parti. Quantomeno, questo non basta.
Le persone, indipendentemente dal loro ruolo, dalla funzione di appartenenza, dalla loro seniority in azienda, vanno rese protagoniste del percorso, messe al centro. Soluzioni di gamification funzionano bene, ma l’importante è far comprendere come il contributo del singolo nell’interpretare una e-mail sospetta possa veramente fare la differenza.
Così l’anello debole della catena può trasformarsi nel gancio capace di riconoscere e ricongiungere più tasselli di un puzzle di vettori tecnologici, fisici, di social engineering che sempre di più caratterizzano gli attuali scenari di attacco vincenti.
Frequenti, perché purtroppo (e per fortuna) le attività cosiddette disruptive, ma una tantum, non si rivelano quasi mai soluzioni valide. È soltanto quando si passa da un progetto che si deve fare, ad un programma che si vuole fare e che si vuole far evolvere nel tempo, che si innesta nella cultura d’azienda la propensione reale a favorire l’evoluzione del livello di sicurezza complessivo.
Programma di security awareness: le best practice
Tipicamente disegnare e realizzare un programma di security awareness efficace richiede impegno, budget e one size does not fit all.
Se questo, da un lato, suggerisce di non replicare meccanicamente un approccio ben testato su un’azienda di grandi dimensioni con profilo internazionale e adottarlo ad esempio su una PMI nazionale, dall’altro implica la possibilità di ritagliare le attività, i tempi, gli strumenti in funzione delle reali esigenze (e budget) dell’organizzazione, ad esempio diluendo nel tempo interventi quali: campagne di ethical phishing, corsi interattivi e adattivi, simulazioni sul campo.
Una campagna di ethical phishing rappresenta, di fatto, un valido punto di partenza poiché consente di fotografare rapidamente il livello di risposta della popolazione aziendale a tentativi, molto ben confezionati, di attacchi.
Tuttavia, dovrebbe costituire solo un primo tassello, seguito da una attenta analisi dei risultati e un piano di miglioramento che tenga conto del target e della necessità di coinvolgerlo invece di tramutarlo in un mero obbligo imposto.
Il tutto risulta infine di valore se trova corrispondenza nel modello di security governance adottato, se è previsto un raccordo con l’analisi delle nuove minacce adottando sistemi di threat intelligence avanzati e se è aperto e continuo il colloquio con il business, la funzione technology e le altre funzioni operative e di controllo a supporto.
Perché, se è vero che la sicurezza – come funzione aziendale – si sta ritagliando un ruolo organizzativo sempre più autonomo e trasversale, contribuendo con dati e piani alle valutazioni periodiche del Board, dall’altro non si va molto lontano se questo percorso non è condiviso e supportato da tutti i rappresentanti delle diverse aree dell’azienda.
