Allenare e rafforzare le abilità dei dipendenti contro gli Attacchi di Social Engineering (SEA) con training pratici e rafforzare le competenze di Cyber Security. È questo il cuore della soluzione Intelligent Security Awareness (finalista ai Digital360 Awards 2020 per la categoria Cybersecurity – Security) implementata da Wiit in una Banca online italiana. L’obiettivo, in pratica, è fornire le competenze necessarie per riconoscere tattiche e tecniche utilizzati dai SEA ed essere sempre aggiornati sul tema Cyber Security.
Gestire la Cyber Security vuol dire ricordarsi che il fattore umano è l’anello debole (sono svariati i casi in cui criminali e hacker prendono di mira le persone piuttosto che le macchine per colpire l’organizzazione) e che non basta affidarsi alle soluzioni informatiche.
Ecco perché la Banca ha deciso di puntare sulla creazione di una Risk-Aware Culture, con l’intento di tenere costantemente allineati i dipendenti alla visione digital dell’azienda e ai rischi associati.
Le 3 aree di training dell’Intelligent Security Awareness
Il progetto portato avanti da Wiit ha previsto l’introduzione di una soluzione tecnologica che prevede tre moduli: Skills, knowledge e KPI control.
Il primo, Skills, è dedicato allo sviluppo delle competenze e supporta la formazione e la preparazione dei dipendenti mettendo loro a disposizione l’accesso a una serie di informazioni e dati attraverso uno strumento intelligente che utilizza tecnologie di Cyber Security internazionali tra cui: fonti di Social engineering intelligence; tassonomia dei Social engineering attacks basata su: 6 vettori di attacco digitale (e-mail, siti Web, social network, IM, dispositivi mobili, documenti), 2 catalizzatori di attacchi psicologici (autorità o urgenza); 3 fonti di attacco (esterne, aziendali, personali) e 6 tecniche di attacco: phishing, vishing, honey trap, watering hole, pretexting, and whaling; scansione delle vulnerabilità automatica sui browser, plug-in eccetera e Realistic templates mimicking ispirati agli ultimi attacchi implementati tramite 6 tecniche di attacco di cui si è detto.
Il secondo, knowledge, che sfrutta l’approccio didattico, user friendly e l’User Interface design, prevede l’accesso online ai moduli di CyberStrength (assessment predefiniti e libreria di 260 domande), ThreatSim (attacchi di phishing simulati con incorporati Momenti Teachable), PhishAlarm (componente del client di posta per segnalare email di phishing), Security awareness training modules (si tratta di 44 moduli interattivi su argomenti di security e compliance, per esempio password hygene, mobile hacking, anti-phishing, GDPR).
Il terzo prevede il controllo e la misurazione dei KPI nel corso della formazione per intervenire con attività mirate al rafforzamento delle competenze. Ogni azione durante l’attacco viene registrata per aggiornare il Security level degli utenti; tenere traccia del rating di sicurezza aziendale nella dashboard; produrre executive e remediation report; misurare l’efficacia della formazione.
Come funziona la piattaforma di training
Il setup della piattaforma ha previsto l’integrazione con i sistemi LMS – Learning management system.
Per capire il punto di partenza e il profilo di ciascun utente il percorso prevede un assessment iniziale per verificare le skill di security, l’analisi del comportamento dell’utente, lo studio delle sue lacune e delle sue sensibilità ai vettori psicologici e il monitoraggio degli endpoint sul pc. Uno degli obiettivi di questa fase è creare cluster uniformi per livello di awareness sulla sicurezza e percorsi di formazione ad hoc per ciascun livello. Questo è possibile anche grazie all’attività del team WiiT che studia le minacce e le tecniche di attacco, traducendole in simulazioni di phishing sempre attuali, cosa che rende la formazione sempre aggiornata sulle evoluzioni delle tecniche di attacco.
La fase successiva, definita di “running”, misura le competenze degli utenti attraverso il controllo della Curva di miglioramento delle competenze individuali e punta al loro potenziamento con azioni mirate e di remediation specifiche. In questo modo l’utente diventa non solo consapevole ma pronto e abile nel rilevare per conto proprio la minaccia (Digital Self-Defense). Una vera ed effettiva arma di difesa.
Infine, la banca ha introdotto nell’organizzazione un modello di creazione e misurazione continua della Risk-Aware Culture. Attraverso il ciclo Plan-Do-Check-Act l’azienda insegna ai collaboratori come attivare meccanismi di verifica e riconoscere le principali tecniche e i vettori psicologici di attacco. Il concreto miglioramento delle competenze (non della sola conoscenza) è misurato attraverso il comportamento dei collaborati durante gli attacchi simulati.
