CYBER SECURITY - Formazione del personale
Un elemento di sicurezza imprescindibile:
La FORMAZIONE del PERSONALE
Ormai le Aziende sono consapevoli (spesso “imparato” sulla propria pelle) che avere un semplice antivirus o magari “addirittura” un firewall non basta per essere al sicuro e che il discorso sicurezza è un “modus operandi”, una filosofia,
un investimento basilare per la stessa sopravvivenza dell’Azienda. Chi crede di “aver la coscienza a posto” o di “essere in una botte di ferro” solo perchè ha adottato un qualche strumento di sicurezza (anche il più efficace) è
già la prossima vittima del prossimo attacco…. è solo una questione di tempo.
BUONE ABITUDINI
Come ben sanno le Aziende che hanno abbracciato un progetto per un piano di sicurezza, la prima cosa da fare è creare una serie di direttive, procedure comportamentali e linee guida per aiutare gli utenti (tutti gli utenti, di qualsiasi livello) ad adottare dei comportamenti “sicuri e corretti”; la “sicurezza aziendale” è una filosofia che vede come attori principali le persone e che devono sentirsi parte attiva imprescindibile del piano di sicurezza stesso; non sono solo direttive che vengono “imposte o subite”, sono linee comportamentali ed operative ottenute tramite la compartecipazione attiva di tutti gli attori coinvolti.
il FATTORE UMANO
L’errore umano è la causa più comune degli incidenti di sicurezza informatica e sempre più frequentemente gli attacchi avvengono sfruttando tecniche di ingegneria sociale (social engineering) come breccia d’ingresso.
“Le persone” sono il principale bersaglio dei cyber criminali: anche il sistema di protezione più evoluto e completo, può risultare totalmente inefficace se non utilizzato in maniera corretta, se viene semplicemente disattivato o se chi, all’interno dell’azienda, ha un comportamento (spesso inconsapevole) che ne vanifica le funzionalità. Ed è per questo che la formazione del personale, ovvero di CHIUNQUE in Azienda usi strumenti informatici, è fondamentale.
ANDARE OLTRE
La formazione deve andare oltre la semplice informazione sui pericoli legati all’utilizzo degli strumenti informatici, ma, così come procedure, direttive e policy, deve essere legata alle caratteristiche dell’Azienda, agli strumenti di controllo e prevenzione adottate, ai flussi di lavoro e persino ai singoli dipartimenti, che sono soggetti in modo differente a tecniche diverse di attacco, in continua evoluzione; i varchi d’ingresso sono i più svariati, dall’uso di chiavette USB, al fishing, ad allegati contenenti parti attive quali macro o codice malevolo, invio di email con informazioni riservate e non debitamente protette, ecc.
INNOVAZIONE al PASSO DELLE NUOVE MINACCE
Non ultimo, gli attacchi informatici sono aumentati drasticamente durante la pandemia da COVID, grazie anche alla rapidissima diffusione dello smartworking; non solo perchè spesso vengono usate delle macchine “personali” non debitamente protette, ma anche perchè queste si collegano “in modo sicuro (!!)” alle strutture Aziendali, diventando delle vere e proprie enormi brecce. Si parla sempre più spesso di ZTNA (Zero Trust Network Access) in sostituzione alle ben più note connessioni VPN, non perchè le VPN non siano sicure, ma perchè “non sono sicure” le macchine che utilizzano queste connessioni; oggi, con la diffusione delle applicazioni cloud, il confine perimetrale “dentro-fuori” di un’Azienda è diventato poco definibile ed anche i sistemi di protezione devono evolversi in relazione.
FORMAZIONE costantemente AGGIORNATA
Alla luce di tutto questo, ipotizzare una formazione di sicurezza informatica che possa esaurirsi in un “un corso una-tantum”, trascura il fatto che l’argomento è estremamente dinamico ed in continua mutazione; di conseguenza, la formazione deve essere intesa a lungo periodo e non come una sorta di “adempimento rispettato.
Come delineare un effettivo programma di formazione:
Definire gli strumenti di sicurezza utilizzati, i dipartimenti, le tipologie di lavoro, gli strumenti principalmente utilizzati (es. posta elettronica, accesso web, ecc.) e le informazioni più importanti da proteggere; individuare nell’analisi anche le “zone di debolezza” in essere durante le varie fasi lavorative di ciascun dipartimento
Definire quindi una serie di policy, di linee guida e direttive da diffondere e condividere con tutti gli utenti, collaboratori sia interni che esterni e chiunque in Azienda utilizzi infrastrutture informatiche
Includere la formazione sulla sicurezza già nel processo di “induction” dei nuovi dipendenti; è basilare che l’importanza della sicurezza informatica (e le giuste abitudini) siano ben recepite e messe in opera fin dal primo giorno lavorativo.
Una sorta di “dress code” informatico…..
Pianificare una formazione periodica/continua di aggiornamento e di verifica: esistono potenti strumenti in grado di analizzare (ed incrementare) automaticamente il “grado di sicurezza e di formazione” degli utenti, ad esempio tramite dei tentativi di fishing simulati, in grado di adattare automaticamente gli accessi di un determinato utente in base al livello di preparazione e, nel caso, in grado di proporre automaticamente dei “micro-training” mirati in cui si evidenzia dove si ha sbagliato, come si poteva/doveva riconoscere il fishing e le azioni corrette che si dovevano intrapprendere.
Incoraggiare la condivisione delle informazioni e degli eventi: a volte, magari solo per paura di aver sbagliato, si tacciono o non si condividono eventi ed informazioni preziose che potrebbero evitare la minaccia ad altri utenti, colleghi e, soprattutto, permettono di mettere tempestivamente in azione una serie di indagini, operazioni di verifica e rimedi in modo di eliminare la minaccia sul nascere, impedirne la diffusione, limitare gli eventuali danni al minimo possibile; per questo motivo “il filo diretto” con il supporto IT aziendale (che sia interno o esterno) è di fondamentale importanza, così come la condivisione di informazioni, che diventa così una barriera estremamente efficace contro minacce ed eventi malevoli (e conseguenze molto più gravi per l’impresa)
Contatti
Viale Lunigiana, 24
20125 Milano
Telefono: +39 02.67493004
Fax: +39 02.700402878
info@info4u.it
