Gli investimenti nella sicurezza informatica sono costantemente in aumento da qualche anno a questa parte. Eppure, gli incidenti e le sottrazioni di dati non fanno che crescere, tanto che ormai è difficile trovare delle organizzazioni che siano rimaste completamente immuni. La colpa, certamente, è di attacchi che si sono fatti sempre più numerosi e sofisticati, ma non solo. In effetti, nonostante le aziende si dotino sempre di più di tecnologie di cybersecurity ottimali, esiste un fattore che, purtroppo, viene ancora molto spesso trascurato: parliamo del fattore umano. Dipendenti e collaboratori, quasi sempre, costituiscono l’anello più debole nel sistema di sicurezza digitale di qualsiasi organizzazione. Le persone non avvezze alla cybersecurity, infatti, tendono a commettere errori prestando il fianco alle azioni fraudolente del cybercrime, specialmente facendo qualche click di troppo. È qui che entra in gioco la security awareness.
Che cos’è la security awareness? Una buona definizione arriva dal Nist, l’ente di sicurezza statunitense, secondo cui la security awareness costituisce un processo di apprendimento che pone le basi per la formazione, modificando gli atteggiamenti individuali e organizzativi così da rendere chiara l’importanza della politica di sicurezza informatica e le conseguenze negative del suo fallimento.
Security awareness, in altre parole, significa mettere in atto un processo di formazione dei dipendenti sui diversi rischi e minacce alla sicurezza informatica esistenti, nonché sui potenziali punti deboli. Ne consegue, dunque, che dipendenti e collaboratori devono apprendere le best practice e le procedure per mantenere le reti e i dati al sicuro, cercando così di commettere meno errori possibili.
Parte centrale della security awareness, dunque, è l’avvio di appositi programmi di formazione, che possano garantire che aziende, dipendenti, appaltatori esterni e partner commerciali seguano dei processi in grado di proteggere il sistema informatico di un’organizzazione dalle violazioni dei dati.
Che cos’è la security awareness?
Ma quali sono i benefici della security awareness? Il primo, naturalmente, è piuttosto facile da comprendere: uno staff ben addestrato in materia di sicurezza informatica rappresenta un rischio minore per la sicurezza complessiva di un’organizzazione. Tale abbattimento dei rischi ha delle conseguenze anche economiche: non bisogna dimenticarsi, infatti, che gli attacchi informatici andati a buon fine comportano un costo per le aziende, in termini di dati sottratti, tempi persi, costi di ripristino, ecc. in linea di principio, dunque, gli investimenti nella security awareness dovrebbero essere ripagati grazie alla minore esposizione alle minacce del cybercrime.
Ovviamente, poi, c’è un aspetto reputazionale da non trascurare: gli incidenti di sicurezza hanno un impatto negativo su partner commerciali e clienti. Dunque, un’azienda che trascura la security awareness rischia di essere considerata come inaffidabile, perdendo dunque affari e commesse.
C’è poi il tema della compliance da non trascurare: da quando è entrato in vigore il GDPR, le aziende devono dimostrare di avere fatto il possibile per proteggere i dati in proprio possesso. E non avere intrapreso programmi di security awareness, in caso di attacco a buon fine, potrebbe essere considerato come un segnale di non conformità alle disposizioni normative, con rischi di multa connessi.
Come renderla efficace?
Ma come si può fare una buona security awareness? In primo luogo la formazione sulla sicurezza deve essere complessiva: non può essere trascurato nessun ruolo né area aziendale, altrimenti si avrebbe sempre un anello debole della cybersecurity nella propria organizzazione. Diventa dunque fondamentale coinvolgere tutti i dipendenti e collaboratori, ma anche il management. Anzi, i quadri intermedi dovrebbero essere coinvolti nella redazione e nella gestione dei programmi di security awareness aziendali, così da verificarne il corretto avanzamento nel corso del tempo e la formazione dei dipendenti.
Da un punto di vista pratico, occorrerebbe cercare di rendere la formazione coinvolgente e persino divertente. Riunioni e seminari aziendali eccessivamente frontali, su un argomento ostico per la maggioranza delle persone come la cybersecurity, potrebbero rivelarsi persino controproducenti, o comunque spingere una fetta importante della popolazione aziendale a mettere in atto numerosi escamotage per sfuggire alla partecipazione.
Una possibilità, dunque, è quella di puntare al coinvolgimento emotivo del personale, ad esempio attraverso il gaming. Allo stesso tempo, pur senza essere eccessivamente insistente, ogni organizzazione dovrebbe essere in grado di far passare il messaggio di come la sicurezza informatica rappresenti un argomento molto rilevante.
Gli aspetti più importanti della security awareness andrebbero anche affrontanti in modo ripetitivo, considerato che la sicurezza informatica è una percorso continuo, mentre le persone tendono a dimenticare insegnamenti e buone pratiche apprese in passato.
Ma quali sono queste best practices della security awareness? In questa fase, probabilmente l’aspetto più importante è la difesa dal phishing: i dipendenti devono imparare a diffidare delle e-mail provenienti da fonti non riconoscibili, evitando click di troppo ad allegati o collegamenti che possono permettere il dilagare del malware nell’intera rete aziendale. Allo stesso modo, va fatta un’adeguata formazione sulle azioni di social engineering: è fondamentale aumentare la consapevolezza di tutto il personale su questa tecnica, che cerca di manipolare i dipendenti per ottenere l’accesso al sistema o a informazioni aziendali riservate.
Le password restano però fondamentali: i dipendenti devono capire i pericoli delle credenziali lasciate in bella vista sui post-it vicino al computer, oppure troppo semplici. Infine, non va trascurata la formazione sulla sicurezza fisica: badge, dispositivi mobili e i laptop forniti dall’azienda devono essere sempre sotto controllo e non essere mai ceduti a terzi.
