DNC Point of View

Security awareness: la sicurezza parte dalla consapevolezza

L’intervento umano è ancora la principale causa del successo di un attacco alla sicurezza IT, ma spesso perché non c’è un’adeguata consapevolezza. Domenico Rotundo di DNC ci illustra come far diventare la security awareness una cultura di sicurezza aziendale

Pubblicato il 09 Giu 2021

Immagine da www.shutterstock.com

Di security awareness si parla spesso, ma sicuramente non abbastanza (o non nel modo giusto) visto che ancora oggi il 95% degli attacchi ha successo a causa di problemi legati a comportamenti umani non allineati con quelli che una solida policy di sicurezza IT prevede.

Il dato è fornito dalla società Cybint, la quale precisa che i criminali informatici e gli hacker si infiltrano nelle aziende sempre attraverso l’anello più debole della catena della sicurezza, che non si trova quasi mai nel dipartimento IT. E siccome un’azienda impiega in media sei mesi a scoprire di aver subito un data breach, concede ai criminali informatici 180 giorni per muoversi liberamente all’interno della propria rete e individuare tutti i dati più interessanti, sia quelli strategici per il business dell’azienda stessa sia quelli personali dei dipendenti.

Questo si traduce in un danno enorme in termini economici e, forse ancor più importante, d’immagine, cui non è facile rimediare. Ma come è possibile che ciò accada ancora dato che oggi tutti sono consapevoli dei problemi legati alla cybersecurity?

Questione di percezione

Alla base del successo degli attacchi dei criminali informatici c’è un punto fondamentale. “Per la gran parte delle persone il rischio percepito è puramente ipotetico o nettamente inferiore alla realtà – sostiene Domenico Rotundo, Specialist in ambito Security di Data Networking Consulting (DNC) –. Il fattore umano continua a essere l’anello debole sfruttato dagli hacker. Per incrementare la sicurezza informatica e difendersi da attacchi, le organizzazioni si sono rese conto che è anche necessario educare i propri dipendenti e aggiornarli in merito alle nuove tecniche messe in atto dai cyber criminali”.

In questo un ruolo fondamentale lo riveste la security awareness, ovvero il livello di consapevolezza che i membri di un’organizzazione hanno nei confronti della protezione dei beni fisici e, soprattutto, della protezione dei dati aziendali di tale organizzazione. Per fornirla in modo adeguato, le aziende sempre più spesso puntano sull’informazione e sulla formazione. L’idea alla base è di motivare le persone a considerare più seriamente la sicurezza delle informazioni aziendali e a rispondere al meglio a qualsiasi minaccia, reale o potenziale. “L’azienda dovrebbe far comprendere ai dipendenti che è nel loro interesse preservare i dati critici – sottolinea Rotundo – perché se l’azienda subisce un attacco, tutte le persone che ne fanno parte subiscono le conseguenze. La sicurezza delle informazioni dovrebbe perciò essere parte integrante del lavoro quotidiano di ognuno e dovrebbe richiedere aggiornamento, consapevolezza e responsabilità individuale. È un vantaggio per tutti salvaguardare il business perché si mantiene florido il conto economico da cui provengono gli stipendi”.

Manager e dirigenti: gli obiettivi primari

Quando si parla di security awareness non va tralasciato il fatto che gli obiettivi primari di attacchi, sotto forma di spear phishing e Advanced Persistent Threat (APT), sovente sono i più alti livelli del management di un’azienda. Per fronteggiare tali tipi di attacchi è fondamentale disporre di un’adeguata formazione sulla sicurezza delle informazioni. “Se l’utente è l’anello debole della catena della sicurezza aziendale – puntualizza Rotundo – spesso dirigenti e manager sono la parte più vulnerabile di tale anello”. Questo perché il top management utilizza un buon numero di dispositivi di differenti tecnologie all’interno dei quali memorizza informazioni aziendali strategiche, come documenti riservati, segreti industriali, dati sensibili e credenziali d’accesso. Per non parlare poi di tutta la posta elettronica, l’instant messaging e gli SMS. Un vero tesoro per i criminali informatici, i quali possono anche sfruttare il frequente ricorso, per l’accesso a Internet, a infrastrutture pubbliche o hotspot privati senza alcuna garanzia di protezione per eludere la sicurezza perimetrale e infiltrarsi senza grandi problemi nella rete aziendale.

L’incremento dello smart working causato dall’emergenza da Covid-19 ha portato per altro molti dipendenti a usare i device personali per accedere alla rete aziendale. Device che molto spesso non sono in linea con le policy di sicurezza aziendali: non dispongono di un antivirus o di un firewall, non hanno applicate le patch di sicurezza per il sistema operativo e per i software, usano applicazioni installate senza alcun controllo. Inoltre, le password di accesso sono troppo semplici e, in molti casi, non vi è una separazione tra gli account che usano tale device. Con dispositivi come questi, per i cyber criminali è un gioco da ragazzi penetrare nella rete aziendale.

“Gli sforzi per aumentare il livello di sicurezza IT dovrebbero iniziare da una corretta educazione – afferma Domenico Rotundo –. Tutti dovrebbero intraprendere un percorso di formazione alla sicurezza informatica: dai professionisti IT ai leader aziendali, dai dipendenti ai collaboratori esterni, tenendo sempre le applicazioni al centro. L’IT può aiutare introducendo concetti sempre più stringenti sulla libertà di movimento all’interno dei dati aziendali, andando a chiudere quanto più possibile in ottemperanza ai principi SOD e nel rispetto della continuità aziendale. Per esempio, noi come DNC da anni non rilasciamo più ampi privilegi nei sistemi produttivi cliente nemmeno alle utenze tecniche o RFC, mentre molti ERP, come SAP, hanno investito su strumenti di password policy e procedure di gestione delle stesse, sulla salvaguardia delle informazioni personali e il riconoscimento dei tentativi di intrusione e truffa”.

“Come facevo a saperlo, non sono un tecnico”

Un altro aspetto da considerare quando si parla di security awareness è la tranquillità dell’utente di non dover pagare pegno per gli eventuali errori commessi che hanno causato un data breach. L’utente tipicamente si trincera dietro al paravento del “come facevo a saperlo, non sono un tecnico”.

A onor del vero, è spesso la frenesia dovuta alle innumerevoli attività quotidiane a portare a commettere disattenzioni e a consentire che un attacco alla sicurezza abbia successo. D’altro canto, a peggiorare la situazione si aggiunge una concausa: la consapevolezza dell’utente di che non sarà ritenuto responsabile per quanto accaduto a fronte delle sue incaute azioni. Inoltre, l’utente sa che comunque l’help desk gli risolverà il problema e lo farà ovviamente a costo zero e con la massima velocità possibile. “Questa problematica – precisa Rotundo – viene in parte mitigata con tutti i moderni sistemi ERP dove l’accountability delle azioni ha sempre maggior peso, univocità degli accessi e tracciature auditabili delle attività sono processi che sempre più sono ritenuti fondamentali nella riuscita di qualsiasi progetto”.

Come ottenere un’efficace security awareness

Un buon programma di security awareness deve coinvolgere tutto il personale nell’evolversi di pari passo con quello che è lo sviluppo delle moderne tecnologie digitali e nel comprendere le più comuni tipologie di minacce e attacchi. “Uno dei principali messaggi da veicolare – conclude Rotundo – è che la sicurezza delle informazioni deve essere parte integrante del lavoro quotidiano di ognuno”. Per questo deve essere ben chiaro quali conseguenze economiche e di immagine per l’organizzazione può avere un attacco andato a buon fine. I dipendenti dell’azienda dovrebbero saper riconoscere le principali minacce e anche sapere come comportarsi di conseguenza. Questo potrebbe essere verificato con dei test pratici. La formazione, poi, dovrebbe essere mirata in funzione delle competenze e più frequente possibile, in modo da tenere sempre aggiornati gli utenti sulle più diffuse e temibili minacce. E tutto questo dovrebbe avvenire con un adeguato supporto del management.

Immagine da Shutterstock

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

L
Fabrizio Locatelli

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Social
Analisi
Video
Finanza sostenibile
BEI e E-Distribuzione: investimenti per la sostenibilità energetica
Professioni
Servono competenze adeguate per gestire al meglio i fondi europei
Master
Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
Programmazione UE
Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
innovazione sociale
Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Finanza sostenibile
BEI e E-Distribuzione: investimenti per la sostenibilità energetica
Professioni
Servono competenze adeguate per gestire al meglio i fondi europei
Master
Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
Programmazione UE
Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
innovazione sociale
Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Articolo 1 di 4