Essere consapevoli dell’esistenza di un reale pericolo e delle conseguenze che questo comporta a più livelli, rappresenta – esso stesso – uno strumento per difendersene, per proteggersi.

Questo è vero anche nella cybersecurity, dove la security awareness, sensibilizzando gli utenti, rendendoli consapevoli circa le tipologie, i metodi e gli impatti dei cyber attack ai danni di computer, server, reti, dispositivi mobili e dati aziendali, mira a elevare il livello di sicurezza dell’intera organizzazione e, dunque, del suo business.

TIM Cybersecurity Training nasce per venire in aiuto delle piccole e medie imprese italiane, ad ogni livello, nella formazione dei dipendenti per l’uso virtuoso degli strumenti digitali e la cybersecurity, trasformandoli da vettore di vulnerabilità alla prima linea di difesa dei sistemi informatici.

Lo scenario attuale della Security Awareness

Alcune stime parlano di un 80-90% di incidenti informatici riconducibili a errori umani o comportamenti errati del personale.

Errori involontari, dovuti a negligenza e disattenzione del personale interno all’azienda, ma anche intenzionali compiuti da lavoratori infedeli che effettuano operazioni di sabotaggio ai danni della propria organizzazione.

Ecco perché è importante investire in formazione del personale, nella cybersecurity awareness, per creare la necessaria consapevolezza nelle persone di quelle che sono le minacce informatiche e i pericoli insiti nelle nuove tecnologie.

Di seguito vengono riportate le cosiddette cause endogene che più spesso sono responsabili degli attacchi alle organizzazioni nazionali, secondo Clusit:

• Password deboli
• Utilizzo di dispositivi mobile aziendali su reti Wi-Fi non sicure
• Navigazione Web su siti non sicuri
• Scambio di informazioni riservate mediante chiavette USB non cifrate

Sono in aumento, inoltre, gli attacchi di phishing e spear phishing, con impatti significativi sulle aziende sia in termini di frodi e dati rubati sia di costi operativi per riparare i danni materiali ed economici causati dagli incidenti informatici.

Tipologie ed obiettivi

A seconda del tipo di azienda e delle sue peculiarità sotto il profilo organizzativo, l’informazione e la formazione possono seguire canali differenti, che vanno dalla didattica in aula a cura di formatori interni o esterni all’azienda, passando per programmi di e-learning specificatamente sviluppati in base al livello generale di preparazione del personale fino a tecniche di gamification o alla messa a punto di materiale informativo specifico erogato per mezzo di newsletter o Intranet aziendale.

I contenuti dovranno innanzitutto partire dalle basi, spiegando quali sono i cyber attack più comuni, come poterli identificare e come vanno protetti computer e dispositivi mobili, come vanno rese inviolabili le proprie credenziali di accesso e le informazioni personali.

Successivamente, ci si potrà focalizzare su tematiche più complesse, che concernono, ad esempio, le concrete soluzioni di controllo e prevenzione, nonché di risposta efficace agli attacchi.

L’obiettivo principe è quello di far sì che tutti, in azienda, indipendentemente dai singoli ruoli e dalle singole mansioni, si impossessino delle competenze e dei metodi di base della sicurezza informatica, atti a fare prevenzione e, in caso di criticità, a difendersi. Ma non solo.

A un livello più profondo, lo scopo della security awareness è portare la cultura della cybersecurity nelle aziende, rendendo gli utenti più responsabili sul tema, motivandoli a un atteggiamento più attivo nei confronti delle possibili minacce alle quali essi stessi, in quanto parte del “sistema azienda”, sono esposti.

Le minacce dalle quali difendersi

Conoscere il male per potersi difendere: questo il principio cardine della security awareness.

Il male, in questo caso, è dato dalle minacce alla sicurezza IT, tra cui – solo per citare alcuni esempi – la più comune è il malware.

Si tratta, in sostanza, di un software – in molti casi fatto circolare mediante allegati email o download apparentemente insospettabili – finalizzato alla messa fuori uso del computer della vittima.

Ne esistono di diversi tipi, tra i quali ricordiamo i virus e i trojan: programmi dal codice malevolo in grado di riprodursi ed infettare i file all’interno del sistema.

Gli spyware, invece, sono un’altra pericolosa tipologia di malware capaci di registrare – senza che l’utente se ne accorga – le azioni di quest’ultimo, riuscendo, ad esempio, a impossessarsi dei dati della sua carta di credito e di altre informazioni sensibili.

Mentre il ransomware è quel malware in grado di impedire alla vittima di accedere ai suoi file e ai suoi dati (spesso criptandoli), a meno che non paghi al criminale un riscatto in denaro.

Un altro genere di attacco, del quale occorre avere piena consapevolezza per poterlo prevenire e combattere, riguarda il phishing: in questo caso l’utente riceve una email non sospetta che, in realtà, cela lo scopo di estorcergli informazioni personali, tra cui le credenziali di accesso a siti (spesso relativi al settore bancario e social).

Sempre finalizzato alla sottrazione di dati è l’attacco Man in the Middle, che agisce intercettando le comunicazioni fra due utenti, mentre l’attacco DoS (Denial of Service) sovraccaricando le reti e i server, punta a rendere inutilizzabile il sistema informativo o l’applicazione esposta sul web.

Nelle aziende, tra le misure di difesa alle minacce citate figurano i protocolli per crittografare messaggi email, file e informazioni riservate, proteggendo, in questo modo, i dati in transito, i canali utilizzati e difendendosi da eventuali tentativi di furto.

Inoltre, ai protocolli di sicurezza si deve combinare un costante aggiornamento dei database delle minacce per abilitare la rilevazione in tempo reale dei malware e di quei virus che si “mimetizzano” cambiando codice o forma nel tempo.

E alcuni programmi consentono anche di isolare (nei cosiddetti sandbox) quei software ritenuti potenzialmente dannosi, per studiarli e arrivare a comprendere come poterli intercettare più rapidamente e con maggiore efficienza.

Quando la Security Awarenss viene meno

Secondo il sondaggio Gartner Employee UX Survey, oltre il 44% dei dipendenti assume regolarmente comportamenti insicuri.

I dipendenti sono soliti adottare principalmente cinque tipi di comportamenti insicuri:

• Scarsa igiene delle password: il 57% dei dipendenti conserva le password in formato non criptato
• Confini non chiari tra interfaccia personale e di lavoro: Il 36% utilizza il cloud storage personale per il lavoro
• Gestione negligente dei dati: Il 33% condivide i dati di lavoro con persone che non dovrebbero avervi accesso
• Negligenza con le e-mail: Il 36% dei dipendenti apre e-mail da fonti sconosciute su un dispositivo di lavoro
• Condivisione eccessiva in Internet: Il 35% inserisce informazioni sensibili su siti web non di lavoro, come i social media

TIM Cybersecurity Training

Come si è mostrato, nella gran parte dei casi, il maggiore elemento di criticità nella gestione di una vulnerabilità informatica riguarda anzitutto le persone.

Infatti, sono proprio i dipendenti gli attori principali: che si tratti di scarsa attenzione alle policy di sicurezza, di eccessivo lassismo nella gestione e conservazione di dati e informazioni, di un settaggio malfatto di un software o di una componente infrastrutturale, o semplicemente di un attacco di phishing, secondo un report di Verizon è l’errore umano a rappresentare la causa di oltre il 74% dei security incident.

Dunque, una corretta formazione del personale è essenziale per la sicurezza di tutta l’organizzazione.

TIM Cybersecurity Training è la soluzione di security awareness di TIM Business, powered by Telsy. Una piattaforma interattiva e completa che trasforma i dipendenti nella prima linea di difesa contro il cyber crime, puntando sul fattore umano come chiave di successo.

È una piattaforma di e-learning composta di 3 moduli specifici dedicati alla formazione del personale contro la maggior parte delle vulnerabilità in ambito IT, aumentando la consapevolezza dei dipendenti attraverso l’adozione delle più avanzate tecniche di apprendimento.

I moduli sono così composti:

• Awareness: un percorso di apprendimento dinamico, stimolante ed interattivo per rendere i dipendenti più consapevoli nell’utilizzo del web.
• Channel: composto da sessioni di videolezioni focalizzate sui rischi cyber con uno storytelling innovativo, coinvolgente ed immersivo.
• Phishing: addestramento esperienziale con campagne di simulazione phishing e smishing.

Perché scegliere TIM Cybersecurity Training?

Grazie all’esperienza il know-how messo a disposizionione dagli esperti di Telsy e TIM Business, TIM Cybersecurity Training offre numerosi vantaggi quali:

• Aumenta la consapevolezza dei rischi informatici
• Approccio interattivo e pervasive gamification
• Completamente automatizzato e a basso impatto operativo per le funzioni HR, IT e Security
• Sessioni brevi e autoconsistenti

Contattaci o scopri di più su questa e altre soluzioni di cybersecurity per le piccole e medie imprese nel portale di TIM Business.

Leggi gli articoli del blog di Telsy