I più vulnerabili restano gli utenti. Con più del 90% di attacchi basati su e-mail o altri sistemi di phishing e social engineering (come attestato dalla National Cybersecurity Alliance), i criminali informatici continuano a puntare sui dipendenti delle aziende per andare a segno.
Dalle classiche truffe ai ransomware, fino alle APT (Advanced Persistent Threat), qualsiasi genere di minaccia oggi può passare attraverso una semplice mail. Gli attaccanti, infatti, agiscono in modi diversi, sfruttando comunque sempre lo stesso mezzo. Nella maggior parte dei casi, ad esempio, inviano comunicazioni relative a temi di attualità, dalla pandemia alla guerra in Ucraina, per suscitare l’interesse dei destinatari. In altre occasioni, provano a guadagnare la fiducia delle vittime fingendosi fornitori o partner, reali o potenziali.
Sebbene il livello di cybersecurity awareness degli utenti sia cresciuto, soprattutto negli ultimi due anni, non bisogna abbassare mai la guardia. Il phishing è la minaccia più diffusa e al contempo tra le più efficaci: basta cliccare su un link sbagliato per dare il via al contagio e compromettere l’intera rete. Si tratta, in fin dei conti, di una tecnica a basso costo che espone poco o nulla il criminale informatico e che può essere personalizzata di volta in volta sulla base degli obiettivi che si vuole colpire.
Le tattiche si aggiornano costantemente e altrettanto dovrebbero fare gli utenti: per mettere al sicuro l’organizzazione, occorre investire sulla security awareness dei dipendenti, migliorandone il livello di consapevolezza attraverso una formazione continua, allargata e mirata.
Security awareness e il ruolo della formazione
L’imprevedibilità è la caratteristica costante di ogni attacco informatico: non si conosce quando, come né chi colpirà. Ecco perché è fondamentale strutturare percorsi di cybersecurity awareness adeguati, aggiornando con cadenza regolare i propri collaboratori sull’evoluzione delle minacce e sulle tecniche più recenti adoperate dai cyber criminali. Molto utili si rivelano anche le simulazioni periodiche, necessarie a rilevare eventuali punti deboli, mettere alla prova gli utenti e intervenire di conseguenza per migliorare la preparazione del personale.
La formazione dovrebbe, poi, essere allargata a tutti i dipendenti dell’azienda, senza limitarsi soltanto ai ruoli più esposti. Qualsiasi account, infatti, può trasformarsi in un vettore di attacco, aprendo una breccia nei sistemi aziendali. Spesso, sono proprio gli utenti più insospettabili a dare inizio al contagio. Applicare la regola dei privilegi minimi, dosando i diritti di accesso in base al ruolo, e dotare tutti di una buona preparazione aiuta senz’altro a migliorare le difese dell’azienda.
La formazione, proprio perché rivolta a tutto il personale, dev’essere incentrata sulle modalità di diffusione e trasmissione delle minacce, più che sulle mere caratteristiche tecniche. Oltre a preparare i team su norme e compliance, è bene anche insegnare loro come creare password efficaci e adottare sistemi di autenticazione multi-fattore, per una migliore protezione degli accessi.
Security awareness: non solo formazione, ma responsabilizzazione degli utenti
Rendere consapevoli le persone che un atteggiamento superficiale può creare danni all’organizzazione contribuisce a migliorare la sicurezza dell’intera azienda. Un buon livello di security awareness impone, perciò, un cambio di approccio alla protezione e la presa di coscienza del fatto che qualsiasi azione, anche quella in apparenza più semplice, può aprire una breccia nei sistemi aziendali. Le soluzioni di cybersecurity sono sicuramente fondamentali, ma a fare la differenza è il grado di consapevolezza degli utenti.
Sebbene, infatti, il livello di sicurezza garantito dai moderni sistemi sia diventato sempre più elevato, con il lavoro da remoto e l’ampio passaggio al cloud l’accesso ai dati aziendali e la loro protezione rischiano di essere più difficilmente controllabili. Nell’era delle identità digitali, la sicurezza non dipende solo dalla tecnologia, ma sempre più dall’uso che se ne fa. Anche in questo caso, il fattore umano si rivela l’elemento determinante. Non si tratta di trasformare tutti i dipendenti in esperti informatici, ma di poter contare su personale con un alto livello di cybersecurity awareness, conscio dei potenziali rischi e degli eventuali danni, sempre vigile rispetto ai segnali di minaccia e dotato di conoscenze sufficienti per prevenire un incidente di sicurezza.
Security awareness e l’approccio olistico di 4wardPRO
In un business sempre più digitalizzato, proteggere identità, dati, sistemi e applicativi è una priorità per le aziende. Il punto di partenza per garantire la migliore sicurezza è proprio preparare gli utenti a riconoscere e identificare i segnali di una minaccia cyber.
L’approccio di 4wardPRO alla cybersecurity si basa su una visione olistica - che contempla sia la parte umana, sia quella tecnologica - e un framework consolidato denominato S.A.F.E. (Scan, Acknowledge, Fix, Enhance).
Per 2 anni consecutivi vincitore del Microsoft Security & Cloud Protection Gold Award, il team di 4wardPRO accompagna le aziende non solo nell’adozione di tecnologie innovative, ma anche nello sviluppo di competenze, digitali e non, con lo scopo di incrementare la Security Posture dei propri clienti. Il metodo 4wardPRO prevede infatti la pianificazione di simulazioni di attacco grazie alle quali raccogliere importanti insight sul comportamento degli utenti e sul proprio livello di protezione e, sulla base di questi risultati, formare adeguatamente le proprie risorse, affinché l’azienda sia in grado di contrastare efficacemente i tentativi di violazione e ridurre i fattori di rischio.
