Non solo tecnologia: educare le persone alla cybersecurity
![](https://automazione-plus.it/wp-content/uploads/sites/3/2017/10/cybersecurity_cloud-300x232.png)
Le aziende oggi investono in sistemi di cybersecurity, hanno dei programmi di education, degli standard e delle procedure che aiutano a mantenere le informazioni sicure. Spesso, però, si tende a dimenticare che la prima linea di difesa è l’individuo, il singolo dipendente. E questo è un punto molto importante, che sta creando diverse criticità, come spiega Gastone Nencini, Country Manager Trend Micro Italia.
Nella prima metà del 2017, le truffe Business Email Compromise (BEC) sono state, infatti, una delle principali minacce alle aziende. Secondo uno studio dell’FBI, pubblicato a maggio, le perdite globali determinate da queste truffe hanno raggiunto, a partire dal 2013, i 5,3 miliardi di dollari. Purtroppo non c’è motivo di credere che questo fenomeno possa rallentare, inoltre molte aziende sono anche restie ad ammettere di aver subito attacchi per non incorrere in danni di reputazione e questo non aiuta a comprendere a pieno la portata reale del fenomeno, che va a colpire direttamente gli individui che lavorano nell’azienda. E secondo gli studi di Trend Micro, le figure maggiormente colpite sono quelle dei reparti finance/amministrazione, con in testa, ovviamente, il CFO.
Per rispondere alle minacce serve uno sforzo coordinato. La security richiede infatti una visione e delle policy, che devono essere insegnate. È il Chief Information Security Officer (CISO) che deve creare le policy e occuparsi delle fasi di education, oltre a stabilire il budget necessario a supportare lo sviluppo di queste policy.
Un programma di security inoltre, richiede degli standard che dovrebbero includere il set di controlli base e i processi per migliorare i controlli a seconda dei nuovi rischi. Il CISO guida i tecnici nello sviluppo di questi standard e lavora con l’IT e le HR per integrarli nei processi e nelle operazioni aziendali. Il team di security deve avere anche le procedure per rilevare un problema, gestire e rimediare alle conseguenze di una violazione e informare le parti interessate sul problema e la sua soluzione. I dipendenti devono inoltre essere informati ed avere consapevolezza dei rischi e dei possibili attacchi.
Quando si pensa a un programma di awareness si può utilizzare un modello per validarne l’efficacia. Si deve immaginare un dipendente della propria organizzazione camminare per gli uffici. All’improvviso, il dipendente vede qualcuno compiere un’azione sul proprio computer che potrebbe essere sbagliata. A questo punto, bisogna quindi farsi tre domande sul dipendente:
Il dipendente è a conoscenza se l’azione che ha visto era giusta o sbagliata?
Il dipendente potrebbe scegliere di avvisare qualcuno?
Se prendesse il telefono, saprebbe chi chiamare?
Se la risposta a tutte e tre le domande è “si”, il programma è efficace. Se c’è almeno un “no”, il programma di awareness fallisce.
Se il dipendente non è a conoscenza di ciò che determina un’azione sbagliata, non la riconoscerà infatti, non farà nulla e il programma fallirà. Questo è il cuore dell’awareness quando parliamo di security. Altro caso, se il dipendente riporta il problema ma la persona all’help desk non sa che cosa fare, il programma fallisce nuovamente. Questo è un test che valuta le procedure dell’azienda. Se un dipendente ha paura di denunciare un problema perché teme di essere declassato o di suscitare antipatie, è una questione che riguarda la cultura aziendale e in ogni caso determinerà un nuovo fallimento del programma.
Questi esempi dimostrano come i risultati di una strategia di security possano essere indipendenti dalle questioni tecnologiche. Soluzioni, prodotti e tecnologie sono importanti e necessarie ovviamente, ma senza il giusto livello di consapevolezza, la giusta cultura e i processi corretti, gli investimenti non saranno mai sufficienti.
Contenuti correlati
-
Treni protetti dalle minacce informatiche
CodeMeter protegge il sistema di avviso di collisione ferroviaria TrainCAS di Intelligence on Wheels per viaggi in treno sicuri e protetti Intelligence on Wheels (IoW), azienda fondata dai pionieri aerospaziali tedeschi di DLR, ha integrato la tecnologia...
-
Quali sono i rischi informatici nell’industria manifatturiera?
Il rapporto Clusit del primo semestre del 2023 ha evidenziato in Italia un aumento del 40% degli attacchi informatici e preoccupa il fatto che il settore manifatturiero sia quello maggiormente colpito L’industria manifatturiera è uno degli obiettivi...
-
World Social Media Day: 7 consigli da Trend Micro per i più giovani e i loro genitori
Domani 30 giugno 2024 si celebra la giornata mondiale dei social media. Questi mezzi di comunicazione hanno rivoluzionato il modo in cui ci relazioniamo e condividiamo informazioni. Tuttavia, sono anche oggetto di critiche per questioni legate alla privacy...
-
La salvezza che viene dagli standard
Il ‘Main Event 2024’ di Consorzio PI Italia ha costituito un momento di confronto su due tematiche molto sentite dall’industria, robotica e cybersecurity, nonché un’occasione per ‘fare il punto’ sulla diffusione ed evoluzione delle tecnologie di comunicazione...
-
Convergenza fisica e sicurezza informatica: le migliori pratiche e i vantaggi
La sicurezza aziendale moderna richiede un approccio integrato che unisca la sicurezza fisica con quella informatica. Con l’aumento delle minacce digitali e degli attacchi fisici, le organizzazioni devono adottare soluzioni che garantiscano una protezione completa a 360 gradi....
-
Cybersecurity nella PA e nella sanità, l’andamento nei rapporti Clusit
Gli attacchi condotti dalla criminalità organizzata verso l’Italia sono in aumento più che nel resto del mondo, con una percentuale del 65% tra il 2022 e il 2023 (verso una crescita del 12% a livello globale). A...
-
Aeronautica e Spazio: nei prossimi 3-5 anni attesa un’accelerazione inedita di molte professioni
È stato presentato nella sede dell’Agenzia Spaziale Italiana il rapporto “Gi Group Star Matrix: Trend Evolutivi e Futuro delle Professioni nei settori Aeronautica e Spazio”. Il convegno, organizzato da ASI e Gi Group Holding, ha visto la...
-
Le ultime innovazioni per il settore oil&gas e la cybersecurity protagoniste a Piacenza
Dall’escavatore multifunzionale che si trasforma in posa tubi, al programma di testing automatizzato che scopre le vulnerabilità della propria società, fino al “gruppo di intervento anti-hacker”, che interviene in caso di attacco. Sono alcune delle novità presentate...
-
Cybersecurity e trasparenza, Fortinet firma le linee guida Secure by Design della CISA
Fortinet ha rafforzato il proprio impegno di lunga data verso una trasparenza radicale e responsabile, essendo tra i primi firmatari delle linee guida Secure by Design sviluppate dalla Cybersecurity and Infrastructure Security Agency (CISA). Questo atto volontario...
-
Cisco è partner ufficiale per la sicurezza del team McLaren di Formula 1
Oltre a ricoprire già da due anni il ruolo di Partner tecnologico ufficiale del celebre Team di Formula Uno, da ora in poi Cisco sarà anche Partner ufficiale per la sicurezza informatica di McLaren Racing: un ampliamento...