Tech InDepth

Security awareness: quando i pericoli sono all’interno dell’organizzazione

I servizi di security awareness rappresentano uno strumento fondamentale per mitigare il rischio di attacchi informatici. Ecco perché la formazione è imprescindibile

Pubblicato il 10 Feb 2021

Security awareness

La formazione, in ambito aziendale, ha un ruolo di primo piano. Quando si parla di security awareness, però, spesso il tema viene sottovalutato o, nelle migliori delle ipotesi, relegato alla categoria di “obbligo burocratico”. Un errore che troppe aziende commettono e che privano l’impresa di un preziosissimo strumento capace di portare il livello di protezione dei sistemi IT dell’azienda a un livello che nessuna soluzione tecnologica può garantire.

Cyber security, un processo orizzontale

A differenza di altri ambiti, la formazione sul tema della cyber security non coinvolge solo alcune categorie di lavoratori, ma interessa tutti gli impiegati dell’azienda. L’obiettivo della security awareness, infatti, non è quello di fornire competenze specifiche in un settore, ma di creare quella “cultura della sicurezza” che deve trasformarsi in un patrimonio dell’azienda stessa. La logica, come spiegano gli esperti, è semplice: le competenze in tema di cyber security oggi non possono essere più un’esclusiva di chi gestisce i sistemi IT o ha compiti tecnici. Serve piuttosto un cambio di prospettiva che consenta di agire in un’ottica di prevenzione. In altre parole, così come qualsiasi operaio che utilizza un particolare macchinario deve essere a conoscenza delle norme di sicurezza che deve seguire quando lo utilizza, così ogni impiegato che usa un dispositivo digitale deve acquisire le competenze in tema di cyber security che gli permettano di adoperare gli strumenti IT dell’azienda in maniera sicura. Dal momento che il processo di digitalizzazione coinvolge ormai ogni aspetto dell’attività aziendale, questo processo deve in buona sostanza coinvolgere tutti.

Security Awareness, uno strumento di difesa indispensabile

Nel quadro di una strategia di cyber security, la formazione non rappresenta solo un elemento di “rinforzo” nella protezione degli asset aziendali, ma ne è il presupposto. Gli strumenti di protezione, infatti, possono essere efficaci solo se usati correttamente e se il comportamento di chi utilizza gli strumenti digitali aderisce alle policy definite a livello di azienda. Le casistiche riportate dagli esperti comprendono un ricco campionario di comportamenti che sono potenzialmente deleteri: dalla condivisione involontaria di documenti con soggetti esterni all’azienda, passando per l’uso di dispositivi non autorizzati (come le chiavi di memoria USB) e di servizi “esterni” come social network e webmail private. Ognuno di questi comportamenti, normalmente attuati per semplice leggerezza e mancanza di una consapevolezza dei rischi che comportano, possono avere conseguenze estremamente gravi ed essere all’origine di un incidente di sicurezza informatica.

L’importanza del fattore umano

A rendere imprescindibile l’attenzione per la security awareness è anche un altro elemento, legato questa volta alle dinamiche esterne all’azienda. Negli ultimi anni, infatti, il modus operandi dei pirati informatici specializzati in attacchi alle imprese si è decisamente orientato sull’utilizzo di tecniche di social engineering, che fanno leva sul fattore umano per superare gli strumenti di protezione implementati dalle aziende. Paradossalmente, questo trend è la conseguenza di una maggiore attenzione al tema della cyber security, che ha portato le realtà produttive a investire maggiori risorse per difendere le infrastrutture IT. I cyber criminali si sono adattati e hanno scelto di concentrare i loro sforzi su quello che, purtroppo, rimane l’anello debole in qualsiasi organizzazione: il fattore umano. Di fronte a un comportamento irresponsabile (o comunque inadeguato) di un lavoratore, infatti, anche la tecnologia più sofisticata può fare ben poco e i pirati informatici, naturalmente, lo sanno bene.

Il pericolo phishing in primo piano

L’ultimo aggiornamento del rapporto Clusit sulle minacce informatiche in Italia, rilasciato lo scorso ottobre, segnala un ulteriore aumento degli attacchi che sfruttano tecniche di phishing e social engineering: nella prima metà del 2020 hanno registrato un aumento del 26%, collocando queste tipologie di attacchi al secondo posto assoluto in classifica. A “spingere” verso questa direzione sono numerosi fattori, cui concorre anche il processo di digitalizzazione e adozione di soluzioni basate sulla formula del “software as a service” (SaaS) che hanno spostato il baricentro della cyber security dalla difesa del perimetro alla difesa dell’identità digitale e, più precisamente, sulla protezione delle credenziali di accesso ai servizi aziendali. Sotto un’altra prospettiva, gli ecosistemi basati su tecnologie cloud e sui servizi erogati attraverso di esse hanno aumentato il peso specifico dell’identità digitale e della gestione degli accessi. In questo contesto, il furto di username e password di un singolo dipendente può avere ripercussioni estremamente pesanti sulla sicurezza dell’intera rete, consentendo ai pirati informatici di accedere alle risorse ospitate sui sistemi IT. Se gli attacchi di phishing possono essere contrastati con strumenti e tecnologie specifiche che utilizzano risorse di threat intelligence e sistemi di intelligenza artificiale per individuare e bloccare buona parte degli attacchi, la formazione rappresenta il vero valore aggiunto. Detto in altri termini, fornire a un individuo le conoscenze per valutare il rischio e riconoscere un attacco di phishing garantisce un livello di sicurezza superiore a qualsiasi soluzione tecnologica e, anzi, è l’unica garanzia che questi possano svolgere il proprio ruolo.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Articoli correlati