Negli ultimi anni abbiamo assistito ad una evoluzione nel modo di operare della pirateria informatica, orientata sempre di più su tecniche di social engineering e phishing per colpire i propri bersagli.
Paradossalmente, mentre le aziende si attrezzano per rispondere a nuove esigenze implementando tecnologia, i cyber attacchi tendono ad aggirare l’ostacolo colpendo l’ultimo anello debole, ovvero le persone. Il fattore umano, infatti, risulta essere sempre più importante per mantenere la sicurezza all’interno delle aziende, soprattutto se si considera che la tecnologia può fare ben poco di fronte ad un comportamento inadeguato o irresponsabile di un lavoratore.
La maggior parte degli incidenti di sicurezza informatica sono dovuti ad una mancanza di consapevolezza. Da un aggiornamento del rapporto Clusit, nella prima metà del 2020, si segnala un aumento degli attacchi che sfruttano tecniche di phishing e social engineering del 26%. In questo contesto, il furto di username e password di un singolo dipendente può avere ripercussioni pesanti sulla sicurezza dell’intera rete, consentendo di aprire una breccia nelle difese aziendali.
Uno dei modi più efficaci per poter contrastare la minaccia del phishing è attraverso la formazione e la consapevolezza di tutti i dipendenti che, affiancati da tecnologie specifiche, possono costituire il vero valore aggiunto per le organizzazioni.
Alcuni fra i comportamenti a rischio più comuni sono:
- La condivisione involontaria di documenti con soggetti esterni all’azienda
- L’uso di dispositivi non autorizzati (come le chiavi USB)
- L’uso di servizi esterni come social network e webmail private
- L’apertura di allegati senza verifica del mittente
- Click su link dannosi
L’obiettivo della security awareness è la formazione ad ogni livello, creando un processo orizzontale in grado di portare ad un cambio di carattere culturale sul tema sicurezza.
Ma quali possono essere le best practice per aumentare la consapevolezza all’interno delle organizzazioni?
Una formazione effettuata con cadenza annuale non può essere sufficiente per mantenere le conoscenze apprese, proprio per questo è ormai necessario sviluppare delle vere e proprie campagne coordinate, che combinino la formazione con la simulazione di phishing. In questo modo sarà possibile ottenere dati sulla propensione all’apertura di e-mail dannose, che potranno essere utilizzati per determinare l’efficacia della campagna.
Le simulazioni andrebbero effettuate in ottica randomica, per ridurre al minimo il calo nell’indice di apertura delle e-mail dannose e ottenere quindi delle stime più accurate sulla possibilità di cadere vittima di phishing.
Monitorare gli andamenti regolarmente potrebbe avere un impatto significativamente positivo sull’organizzazione, andando a ridurre i rischi e aumentando di conseguenza la consapevolezza dei dipendenti attraverso una metodologia scevra dai limiti imposti da una formazione tradizionale, utilizzando un approccio interattivo e bilanciato verso un’applicazione pratica.
Le organizzazioni, per far fronte alle nuove tipologie di minacce, devono ancora una volta dimostrare di essere propense al cambiamento, mostrando spirito di adattamento e adottando tutti i metodi a disposizione più recenti per garantire la sicurezza aziendale.