Security awareness: quando i pericoli sono all'interno dell'organizzazione | ZeroUno

Security awareness: quando i pericoli sono all’interno dell’organizzazione

pittogramma Zerouno

Tech InDepth

Security awareness: quando i pericoli sono all’interno dell’organizzazione

I servizi di security awareness rappresentano uno strumento fondamentale per mitigare il rischio di attacchi informatici. Ecco perché la formazione è imprescindibile

10 Feb 2021

di Marco Schiaffino

La formazione, in ambito aziendale, ha un ruolo di primo piano. Quando si parla di security awareness, però, spesso il tema viene sottovalutato o, nelle migliori delle ipotesi, relegato alla categoria di “obbligo burocratico”. Un errore che troppe aziende commettono e che privano l’impresa di un preziosissimo strumento capace di portare il livello di protezione dei sistemi IT dell’azienda a un livello che nessuna soluzione tecnologica può garantire.

Cyber security, un processo orizzontale

A differenza di altri ambiti, la formazione sul tema della cyber security non coinvolge solo alcune categorie di lavoratori, ma interessa tutti gli impiegati dell’azienda. L’obiettivo della security awareness, infatti, non è quello di fornire competenze specifiche in un settore, ma di creare quella “cultura della sicurezza” che deve trasformarsi in un patrimonio dell’azienda stessa. La logica, come spiegano gli esperti, è semplice: le competenze in tema di cyber security oggi non possono essere più un’esclusiva di chi gestisce i sistemi IT o ha compiti tecnici. Serve piuttosto un cambio di prospettiva che consenta di agire in un’ottica di prevenzione. In altre parole, così come qualsiasi operaio che utilizza un particolare macchinario deve essere a conoscenza delle norme di sicurezza che deve seguire quando lo utilizza, così ogni impiegato che usa un dispositivo digitale deve acquisire le competenze in tema di cyber security che gli permettano di adoperare gli strumenti IT dell’azienda in maniera sicura. Dal momento che il processo di digitalizzazione coinvolge ormai ogni aspetto dell’attività aziendale, questo processo deve in buona sostanza coinvolgere tutti.

Security Awareness, uno strumento di difesa indispensabile

Nel quadro di una strategia di cyber security, la formazione non rappresenta solo un elemento di “rinforzo” nella protezione degli asset aziendali, ma ne è il presupposto. Gli strumenti di protezione, infatti, possono essere efficaci solo se usati correttamente e se il comportamento di chi utilizza gli strumenti digitali aderisce alle policy definite a livello di azienda. Le casistiche riportate dagli esperti comprendono un ricco campionario di comportamenti che sono potenzialmente deleteri: dalla condivisione involontaria di documenti con soggetti esterni all’azienda, passando per l’uso di dispositivi non autorizzati (come le chiavi di memoria USB) e di servizi “esterni” come social network e webmail private. Ognuno di questi comportamenti, normalmente attuati per semplice leggerezza e mancanza di una consapevolezza dei rischi che comportano, possono avere conseguenze estremamente gravi ed essere all’origine di un incidente di sicurezza informatica.

L’importanza del fattore umano

A rendere imprescindibile l’attenzione per la security awareness è anche un altro elemento, legato questa volta alle dinamiche esterne all’azienda. Negli ultimi anni, infatti, il modus operandi dei pirati informatici specializzati in attacchi alle imprese si è decisamente orientato sull’utilizzo di tecniche di social engineering, che fanno leva sul fattore umano per superare gli strumenti di protezione implementati dalle aziende. Paradossalmente, questo trend è la conseguenza di una maggiore attenzione al tema della cyber security, che ha portato le realtà produttive a investire maggiori risorse per difendere le infrastrutture IT. I cyber criminali si sono adattati e hanno scelto di concentrare i loro sforzi su quello che, purtroppo, rimane l’anello debole in qualsiasi organizzazione: il fattore umano. Di fronte a un comportamento irresponsabile (o comunque inadeguato) di un lavoratore, infatti, anche la tecnologia più sofisticata può fare ben poco e i pirati informatici, naturalmente, lo sanno bene.

Il pericolo phishing in primo piano

L’ultimo aggiornamento del rapporto Clusit sulle minacce informatiche in Italia, rilasciato lo scorso ottobre, segnala un ulteriore aumento degli attacchi che sfruttano tecniche di phishing e social engineering: nella prima metà del 2020 hanno registrato un aumento del 26%, collocando queste tipologie di attacchi al secondo posto assoluto in classifica. A “spingere” verso questa direzione sono numerosi fattori, cui concorre anche il processo di digitalizzazione e adozione di soluzioni basate sulla formula del “software as a service” (SaaS) che hanno spostato il baricentro della cyber security dalla difesa del perimetro alla difesa dell’identità digitale e, più precisamente, sulla protezione delle credenziali di accesso ai servizi aziendali. Sotto un’altra prospettiva, gli ecosistemi basati su tecnologie cloud e sui servizi erogati attraverso di esse hanno aumentato il peso specifico dell’identità digitale e della gestione degli accessi. In questo contesto, il furto di username e password di un singolo dipendente può avere ripercussioni estremamente pesanti sulla sicurezza dell’intera rete, consentendo ai pirati informatici di accedere alle risorse ospitate sui sistemi IT. Se gli attacchi di phishing possono essere contrastati con strumenti e tecnologie specifiche che utilizzano risorse di threat intelligence e sistemi di intelligenza artificiale per individuare e bloccare buona parte degli attacchi, la formazione rappresenta il vero valore aggiunto. Detto in altri termini, fornire a un individuo le conoscenze per valutare il rischio e riconoscere un attacco di phishing garantisce un livello di sicurezza superiore a qualsiasi soluzione tecnologica e, anzi, è l’unica garanzia che questi possano svolgere il proprio ruolo.

CLICCA QUI per scaricare il White Paper: "Contrastare le frodi informatiche ai danni dell'azienda"

Marco Schiaffino

Giornalista

Marco Schiaffino si occupa di nuove tecnologie e sicurezza informatica dal 2000, come redattore (e in seguito caporedattore) di Computer Magazine. Giornalista freelance, ha collaborato con varie riviste di settore e siti di news, tra cui PC Professionale, CHIP e Il Fatto Quotidiano. È autore e conduttore della trasmissione rubrica radiofonica settimanale Doppio Click su Radiopopolare.

Security awareness: quando i pericoli sono all’interno dell’organizzazione

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

    LinkedIn

    Twitter

    Whatsapp

    Facebook

    Link

    Articolo 1 di 2