Non solo tecnologia: educare le persone alla cybersecurity

Pubblicato il 10 novembre 2017

Le aziende oggi investono in sistemi di cybersecurity, hanno dei programmi di education, degli standard e delle procedure che aiutano a mantenere le informazioni sicure. Spesso, però, si tende a dimenticare che la prima linea di difesa è l’individuo, il singolo dipendente. E questo è un punto molto importante, che sta creando diverse criticità, come spiega Gastone Nencini, Country Manager Trend Micro Italia.

Nella prima metà del 2017, le truffe Business Email Compromise (BEC) sono state, infatti, una delle principali minacce alle aziende. Secondo uno studio dell’FBI, pubblicato a maggio, le perdite globali determinate da queste truffe hanno raggiunto, a partire dal 2013, i 5,3 miliardi di dollari. Purtroppo non c’è motivo di credere che questo fenomeno possa rallentare, inoltre molte aziende sono anche restie ad ammettere di aver subito attacchi per non incorrere in danni di reputazione e questo non aiuta a comprendere a pieno la portata reale del fenomeno, che va a colpire direttamente gli individui che lavorano nell’azienda. E secondo gli studi di Trend Micro, le figure maggiormente colpite sono quelle dei reparti finance/amministrazione, con in testa, ovviamente, il CFO.

 

Per rispondere alle minacce serve uno sforzo coordinato. La security richiede infatti una visione e delle policy, che devono essere insegnate. È il Chief Information Security Officer (CISO) che deve creare le policy e occuparsi delle fasi di education, oltre a stabilire il budget necessario a supportare lo sviluppo di queste policy.

Un programma di security inoltre, richiede degli standard che dovrebbero includere il set di controlli base e i processi per migliorare i controlli a seconda dei nuovi rischi. Il CISO guida i tecnici nello sviluppo di questi standard e lavora con l’IT e le HR per integrarli nei processi e nelle operazioni aziendali. Il team di security deve avere anche le procedure per rilevare un problema, gestire e rimediare alle conseguenze di una violazione e informare le parti interessate sul problema e la sua soluzione. I dipendenti devono inoltre essere informati ed avere consapevolezza dei rischi e dei possibili attacchi.

Quando si pensa a un programma di awareness si può utilizzare un modello per validarne l’efficacia. Si deve immaginare un dipendente della propria organizzazione camminare per gli uffici. All’improvviso, il dipendente vede qualcuno compiere un’azione sul proprio computer che potrebbe essere sbagliata. A questo punto, bisogna quindi farsi tre domande sul dipendente:

Il dipendente è a conoscenza se l’azione che ha visto era giusta o sbagliata?

Il dipendente potrebbe scegliere di avvisare qualcuno?

Se prendesse il telefono, saprebbe chi chiamare?

Se la risposta a tutte e tre le domande è “si”, il programma è efficace. Se c’è almeno un “no”, il programma di awareness fallisce.

Se il dipendente non è a conoscenza di ciò che determina un’azione sbagliata, non la riconoscerà infatti, non farà nulla e il programma fallirà. Questo è il cuore dell’awareness quando parliamo di security. Altro caso, se il dipendente riporta il problema ma la persona all’help desk non sa che cosa fare, il programma fallisce nuovamente. Questo è un test che valuta le procedure dell’azienda. Se un dipendente ha paura di denunciare un problema perché teme di essere declassato o di suscitare antipatie, è una questione che riguarda la cultura aziendale e in ogni caso determinerà un nuovo fallimento del programma.

Questi esempi dimostrano come i risultati di una strategia di security possano essere indipendenti dalle questioni tecnologiche. Soluzioni, prodotti e tecnologie sono importanti e necessarie ovviamente, ma senza il giusto livello di consapevolezza, la giusta cultura e i processi corretti, gli investimenti non saranno mai sufficienti.



Contenuti correlati

  • GDPR Full Compliance: alla conformità ci pensa Axitea

    Tra le preoccupazioni principali delle aziende in questo periodo, il GDPR gioca un ruolo di primo piano. E Axitea, come global security provider, è pronta a supportare le organizzazioni con un servizio gestito dedicato, chiamato GDPR Full...

  • Ransomware: il backup dei dati non basta a proteggere le aziende

    Pur ritenendo di essere totalmente protetti e non vulnerabili, quando si parla di sicurezza informatica bisogna comprendere che in realtà si è attaccabili da più fronti. Per non perdere i dati in caso di attacco informatico, la...

  • Panasonic e Trend Micro: accordo per lo sviluppo di soluzioni di cyber security per le connected car

    Panasonic Corporation e Trend Micro Incorporated, annunciano una partnership per lo sviluppo di soluzioni di cyber security per rilevare e prevenire gli attacchi cyber contro i veicoli autonomi e le connected car. L’accordo ha l’obiettivo di raggiungere...

  • Trend Micro promossa da NSS Labs per le soluzioni TX Series

    NSS Labs certifica che le soluzioni Trend Micro TX Series raggiungono il 99,6% di efficacia nei test per i sistemi di prevenzione delle intrusioni di prossima generazione. In seguito ai test 2017 NSS Labs Next Generation Intrusion...

  • Kaspersky Lab alla conferenza Itasec

    Kaspersky Lab ha partecipato in qualità di Gold Sponsor a Itasec, la conferenza annuale italiana sulla sicurezza informatica organizzata dal Laboratorio Nazionale di Cybersecurity del Cini. Nell’occasione, gli esperti di sicurezza della società hanno presentato un’analisi dell’attuale...

  • Obiettivo cybersecurity futuristica in un mondo frammentato

    Riportiamo di seguito l’intervento di Mark McLaughlin, CEO di Palo Alto Networks Il tema del World Economic Forum di quest’anno, “Creare un futuro condiviso in un mondo frammentato”, è particolarmente adatto per noi che ci dedichiamo a...

  • Le minacce non finiscono

    Nel 2018 gli attacchi cyber continueranno a colpire le aziende e le violazioni maggiori sfrutteranno vulnerabilità già conosciute. È questo il dato principale che emerge dal report Trend Micro, azienda che propone soluzioni di sicurezza informatica, sulle...

  • Cyber Range di Palo Alto Networks per la cybersecurity

    Palo Alto Networks ha lanciato l’iniziativa Cyber Range che favorisce la creazione e lo sviluppo di efficaci competenze per affrontare le sfide di cybersecurity, oggi e in futuro. Palo Alto Networks, in particolare, offre un laboratorio permanente...

  • Le aziende non sono pronte per il GDPR

    Il Data Protection Regulation entrerà ufficialmente in vigore il 25 maggio 2018, ma le aziende sembrano non essere ancora pronte. Questo è il dato principale che emerge dall’ultima ricerca Trend Micro, leader globale nelle soluzioni di sicurezza...

  • Le nuove tecnologie brevettate da Kaspersky Lab aiutano le aziende a combattere gli attacchi da remoto

    I criminali informatici controllano a distanza i computer delle vittime per svolgere di nascosto attività dannose, spesso raggiungendo attraverso canali di comunicazione criptati i server di comando e controllo. Una volta installati sul computer dell’utente, gli strumenti...

Scopri le novità scelte per te x