Il progetto Intelligent Security Awareness, risultato finalista ai Digital360 Awards 2020 per la categoria Cybersecurity – Security, è stato implementato da Wiit in una banca online italiana, nello specifico, una “open-banking-native” costruita su protocolli evoluti e digitali, e progettata per rispondere alle esigenze del Fintech con tecnologie di ultima generazione come intelligenza artificiale, machine learning e data analytics.
Questi fattori, parte del DNA della Banca, rendono assolutamente determinante e strategica la creazione di una Risk-Aware Culture. L’obiettivo dell’istituto è infatti allineare costantemente i dipendenti alla visione digital dell’azienda e ai rischi associati, mantenendo il vantaggio competitivo rispetto ai modelli di business tradizionali.
Un approccio continuativo alla cybersecurity
Una banca online non può limitarsi all’adozione di soluzioni informatiche per tutelare la cybersecurity perché, in assenza di filiali e sportelli, l’anello debole diventa il fattore umano: i criminali e gli hacker possono decidere di prendere di mira le persone piuttosto che le macchine per colpire l’organizzazione.
Era necessario pensare a un approccio continuativo attraverso un training pratico, allenando e rafforzando le abilità dei dipendenti contro gli Attacchi di Social Engineering (SEA).
Intelligent Security Awareness: 3 componenti fondamentali
La soluzione tecnologica è la sintesi di tre componenti fondamentali: Skills, Knowledge e KPI control.
Il primo, dedicato allo sviluppo delle competenze, utilizza tecnologie di cybersecurity internazionali che rendono la soluzione intelligente attraverso: fonti di Social engineering intelligence; tassonomia dei Social engineering attacks basata su: 6 vettori di attacco digitale (e-mail, siti Web, social network, IM, dispositivi mobili, documenti), 2 catalizzatori di attacchi psicologici (autorità o urgenza); 3 fonti di attacco (esterne, aziendali, personali) e 6 tecniche di attacco: phishing, vishing, honey trap, watering hole, pretexting, and whaling; scansione delle vulnerabilità automatica sui browser, plug-in eccetera e Realistic templates mimicking ispirati agli ultimi attacchi implementati tramite 6 tecniche di attacco di cui si è detto.
Il secondo, sfrutta l’approccio didattico, user friendly e l’UI design americano per accedere online ai moduli di: CyberStrength (assessment predefiniti e libreria di 260 domande); ThreatSim (attacchi di phishing simulati con incorporati Momenti Teachable); PhishAlarm (componente del client di posta per segnalare email di phishing); Security awareness training modules: 44 moduli interattivi su argomenti di security e compliance (per esempio password hygene, mobile hacking, anti-phishing, GDPR).
Il terzo, permette il controllo e la misurazione dei KPI nel corso della formazione per intervenire con attività mirate al rafforzamento delle competenze. Ogni azione durante l’attacco viene registrata per: aggiornare il Security level degli utenti; tenere traccia del rating di sicurezza aziendale nella dashboard; produrre executive e remediation report; misurare l’efficacia della formazione.
Il progetto di implementazione, durato 3 settimane, ha riguardato aspetti tecnologici e di processo.
Dal primo punto di vista, il setup della piattaforma ha incluso l’interfacciamento con i sistemi LMS – Learning management system, cosa risultata possibile attraverso l’interfaccia API REST.
Per quanto riguarda i processi, il progetto definisce i profili degli utenti in base alle skill di security verificate nell’assessment inziale; l’obiettivo è creare cluster uniformi per livello di awareness sulla sicurezza e creare dei percorsi di formazione ad hoc per ciascun livello.
La fase di running migliora e misura le competenze degli utenti attraverso il controllo della Curva di miglioramento delle competenze individuali, con azioni mirate e di remediation specifiche.
I benefici riscontrati dal cliente finale
La banca ha introdotto nell’organizzazione un modello di creazione e misurazione continua della Risk-Aware Culture. Attraverso il ciclo Plan-Do-Check-Act l’azienda insegna ai propri collaboratori come attivare meccanismi di verifica e riconoscere le principali tecniche e i vettori psicologici di attacco. Il concreto miglioramento delle competenze (non della sola conoscenza) è misurato attraverso il comportamento dei collaborati durante gli attacchi simulati.
Più nel particolare, la soluzione ha permesso a cliente di: fornire al management una sintesi misurabile dei miglioramenti ottenuti e del ritorno dell’investimento; esternalizzare il coordinamento, l’ideazione, la realizzazione e la misurazione di tutte le attività; ospitare un sistema complesso senza la necessità di adottare e installare nuove infrastrutture; aggiungere in modo scalabile nuovi utenti; collegare altre piattaforme di formazione (LMS) e di rilevazione degli eventi di sicurezza (SIEM).
A differenza delle tradizionali soluzioni di Security awareness, l’obiettivo di Intelligent Awareness di Wiit non è il completamento delle sessioni di formazione, ma il raggiungimento delle competenze per riconoscere le tattiche e tecniche utilizzati dai SEA.
Questo è possibile grazie all’attività del team WIIT che: studia le più attuali minacce e le tecniche di attacco, traducendole in simulazioni di phishing sempre attuali e accurate e, in seguito a un assessment iniziale, mediante l’analisi del comportamento dell’utente, lo studio delle sue lacune e delle sue sensibilità ai vettori psicologici e il monitoraggio degli endpoint sul pc, eroga una formazione “su misura”.
In questo modo l’utente diventa non solo consapevole ma pronto e abile nel rilevare per conto proprio la minaccia (Digital Self-Defense). Una vera ed effettiva arma di difesa.
