Qualsiasi organizzazione di successo al giorno d’oggi basa la propria cultura sul concetto di formazione aziendale. Uno dei pilastri di un’impresa di successo che presta attenzione ai propri dipendenti è il riconoscimento della necessità di aggiornarsi e continuare a sviluppare le proprie competenze. Nonostante ciò, la formazione è un argomento complesso, e ora più che mai sta declinando anche la consapevolezza e la comprensione dei rischi che circondano chiunque si interfacci al mondo di Internet. Ogni ottobre, nel mondo anglosassone, viene designato come “Cyber Security Awareness Month” per sensibilizzare l’opinione pubblica su questo tema: segno della crescente importanza di questo fenomeno.
Per cominciare
Partiamo dai concetti fondamentali. Banalmente, la conoscenza di questo argomento implica prestare maggiore attenzione a come utilizziamo la tecnologia nella vita quotidiana. Essere consapevoli dei rischi associati all’interazione online, al controllo della posta elettronica e alla navigazione sul Web sono tutte parti di questa “awareness”. Assicurarsi che tutti considerino la sicurezza informatica come un aspetto cruciale del proprio lavoro è diventata una best practice assodata. Naturalmente, non è necessario che tutti i livelli aziendali di un’organizzazione comprendano appieno idee come i firewall o le tecniche di avvelenamento della cache DNS (né è sempre applicabile), ma fornire a ogni dipendente un livello adeguato di conoscenze necessarie per la propria posizione può aiutarli a rimanere al sicuro online, sia al lavoro che a casa. Il modo migliore per preparare il personale tecnico e non tecnico alle appropriate minacce alla sicurezza informatica è attraverso la formazione basata sui ruoli.
Abilità diverse per ruoli diversi
Naturalmente, la cyber security awareness può significare qualcosa di diverso per i team tecnici o IT rispetto alla forza lavoro in generale. Sebbene il resto dell’organizzazione possa non essere necessariamente interessato a questi argomenti, il team IT deve essere a conoscenza della gestione dei dati, delle autorizzazioni e delle normative. Un’altra idea importante è che per creare un programma di sensibilizzazione alla sicurezza informatica che ispiri tutti a cambiare il proprio comportamento in modo permanente, è essenziale fornire a ciascun team la formazione adeguata.
Un alto prezzo da pagare
A questo punto, non è necessario menzionarlo nuovamente: tutti sono consapevoli degli effetti di un attacco informatico. In altre parole, un incidente “fisico” può costare meno di un incidente di cyber security. Il budget per l’istruzione, le attrezzature e le competenze sulla sicurezza informatica è una componente essenziale della gestione del rischio; non è un “extra”. Gli attacchi informatici si verificano ogni anno più frequentemente e le lacune nelle conoscenze e nella formazione stanno costando molto alle aziende. D’altra parte, i criminali informatici escogitano costantemente nuove tecniche per aggirare gli strumenti e le tecnologie più moderne. Secondo un altro studio, oltre il 70% dei malware si diffonde tramite e-mail e oltre l’85% delle violazioni dei dati nel 2021 ha coinvolto in qualche modo il fattore umano. Il phishing, il metodo utilizzato per diffondere questi virus, non è solo un attacco estremamente facile da effettuare ma anche accessibile tramite una semplice ricerca su Google. Un kit di phishing può essere acquistato da chiunque abbia accesso al dark web come farebbe con un libro Amazon. La probabilità che i dipendenti di un’azienda subiscano un incidente informatico è estremamente alta; quindi, è importante prepararli a rispondere in modo appropriato avvisando la squadra IT di potenziali minacce. Fortunatamente, la formazione può fungere da forte deterrente ai tentativi di phishing. Bisogna essere consapevoli di ciò che ci circonda per proteggerci dagli attacchi di phishing e social engineering. Le e-mail di phishing che richiedono nomi utente, password e informazioni di identificazione personale sono i tipi più diffusi di attacchi informatici. Per qualsiasi azienda, tanto meno una piccola impresa, questo può sembrare un compito difficile. Il costo opportunità di saltare la formazione dei dipendenti è in realtà troppo alto per essere ignorato. L’anno scorso, il costo medio di una violazione dei dati è stato di 4,24 milioni di dollari, secondo IBM. Oltre la metà di tutte le perdite finanziarie sono state causate da violazioni, che hanno portato il 38% delle aziende a chiudere i battenti. È possibile ridurre significativamente il rischio di un incidente o di una violazione della sicurezza addestrando la forza lavoro dell’azienda a riconoscere questi attacchi. Una semplice mail al reparto IT che dice “questa mail è sospetta; quindi, non l’ho aperta” potrebbe fare la differenza tra il diventare una vittima di un ransomware o meno.
Dalla sensibilizzazione alla cultura
I dipendenti devono accettare e utilizzare in modo proattivo le pratiche di sicurezza informatica sia a livello professionale che personale affinché la cybersecurity awareness diventi veramente efficace. Insieme ad altri vantaggi quantificabili, le aziende con una forte cultura della sicurezza informatica hanno una migliore visibilità sulle potenziali minacce, meno incidenti informatici e una maggiore resilienza post-attacco. Le aziende hanno dovuto andare oltre la semplice sensibilizzazione, garantendo che le procedure di sicurezza fossero radicate nella cultura del luogo di lavoro. Costruire una cultura della sicurezza renderà obsoleti errori comuni come il riutilizzo delle password o l’apertura di file dannosi. Proprio come oggi non entreresti in un cantiere senza casco. La formazione sulla sicurezza deve essere sia interessante che rilevante per i dipendenti affinché la cultura della sicurezza sia più efficace. Solo allora saranno in grado di comprendere il vero significato della cybersecurity sia sul lavoro che al di fuori di essa.
Quali sono i primi passi?
Per questo Swascan ha sviluppato una piattaforma e-learning ad hoc per le aziende che devono agire sulla base della consapevolezza dei dipendenti, della loro capacità di identificare potenziali minacce e della loro adozione di comportamenti corretti, di conseguenza, per aumentare il livello di sicurezza delle organizzazioni. Formazione professionale, consapevolezza e ovviamente tecnologia; sono queste le chiavi per una difesa del perimetro aziendale più efficace e dipendono tutte dalla partecipazione di ogni singolo dipendente.
