In passato, è stata sempre considerata come una sorta di “male necessario”. Oggi la Cyber Security sta guadagnando posizioni nella classifica delle priorità di tutte le imprese, grazie a una maggiore consapevolezza della sua incidenza a livello di rischio di mancata produzione, posizionamento delle aziende e influenza sulla brand reputation. Non solo a livello di investimenti: quello che si sta facendo strada è un approccio che punta a una vera cultura della sicurezza. “Nel panorama attuale, la digitalizzazione interessa qualsiasi azienda a tutti i livelli” spiega Alessio Aceti, Amministratore Delegato di Sababa Security. “Questo ha permesso di far percepire come la Cyber Security non sia un problema che riguarda soltanto il reparto IT, ma attraversa orizzontalmente tutti i livelli, compreso il top management”.
Who's Who
Alessio Aceti
Garantire un livello adeguato nella protezione delle infrastrutture e dei servizi digitali, d’altra parte, è oggi una priorità per qualsiasi azienda. Un incidente cyber ha infatti ripercussioni che superano i confini dell’operatività dei servizi IT e coinvolgono altri aspetti, come quelli legati al rispetto delle normative NIS e GDPR, la protezione del patrimonio intellettuale dell’impresa e, non ultima, la brand reputation dell’azienda. Quest’ultimo aspetto, inoltre, ha una duplice ricaduta che coinvolge sia i clienti (o utenti), sia i partner e fornitori. In un ecosistema in cui i confini fisici sono sempre più sfumati, una solida reputazione sotto il profilo della sicurezza informatica rappresenta infatti un elemento attrattivo per chi vuole fare business. In altre parole, l’affidabilità a livello di security viene oggi vista come un requisito indispensabile anche in una prospettiva B2B. Non è un caso che tra le best practice cominci a essere considerato fondamentale l’adozione di procedure di assessment di Cyber Security rivolte a partner e fornitori.
Ma qual è la chiave per investire in maniera efficace nel miglioramento del livello di Cyber Security? Il CEO di Sababa Security non ha dubbi: puntare sul fattore umano. “La maggior parte degli incidenti di sicurezza informatica sono provocati da attacchi che prendono di mira gli tutti gli utenti aziendali che utilizzano strumenti informatici per svolgere la loro mansione”, spiega Aceti. “In questa fase l’essere umano è il vero anello debole della catena di sicurezza”. A confermare la prospettiva indicata da Aceti contribuiscono tutte le statistiche fornite dalle società di sicurezza e dalle organizzazioni che si occupano di cyber crimine. Un report dell’Interpol pubblicato lo scorso agosto evidenzia, all’interno di un generico aumento degli attacchi cyber, un vero boom di frodi e di attività legate a tecniche di phishing. Nei primi mesi del 2020, infatti, questo tipo di attacchi sarebbe aumentato del 59%. Se i dati citati dall’Interpol coinvolgono anche il settore consumer, in ambito aziendale le cose vanno anche peggio: secondo l’ultimo rapporto annuale Clusit, relativo al 2019, hanno registrato un aumento del 81,9% rispetto al 2018.
I bersagli privilegiati di questi attacchi, fanno notare gli esperti, sono proprio i dirigenti. “I manager C-level sono le vittime ideali per i cyber criminali” conferma Dasha Diaz, founder of ITrainSec.
Who's Who
Dasha Diaz
“È proprio su di loro che i cyber criminali concentrano sempre più spesso i loro sforzi”. La ragione è semplice: nell’ottica di un pirata informatico, compromettere i sistemi di un top manager consente di avere accesso a informazioni riservate e garantisce la possibilità di agire all’interno della rete aziendale con privilegi elevati, massimizzando così il danno e, di conseguenza, il potenziale profitto. La consapevolezza nell’adozione di una “cultura della Cyber Security” deve però investire tutto il personale dell’azienda, attraverso una formazione puntuale e processi di awareness che consentano di cambiare la percezione della sicurezza informatica, mettendola al centro delle priorità. “Gli strumenti di protezione sono indispensabili, ma una formazione adeguata consente il vero salto di qualità”, sottolinea Aceti. “Nella nostra attività dedichiamo grande spazio alla formazione e all’awareness, attraverso metodi e strumenti che permettono di favorire l’adozione di abitudini e comportamenti che consentano di rendere gli utenti resilienti agli attacchi basati su tecniche di ingegneria sociale, come il phishing o le truffe basate sulla compromissione delle caselle di posta elettronica”.
I metodi utilizzati a questo scopo comprendono una piattaforma online e set di aggiornamento offline, secondo una logica di personalizzazione della formazione. “Cerchiamo di utilizzare interfacce che siano familiari, del tutto simili agli strumenti che gli utenti utilizzano ogni giorno, simulando anche attacchi strutturati sulla base di quelli che si riscontrano nel mondo reale” spiega Aceti. “La personalizzazione avviene attraverso test di accesso e una valutazione continua delle capacità”. Una logica, quella dell’adattamento dei moduli al ruolo e alla capacità delle singole persone, che affonda le sue radici anche in considerazioni di diverse “vulnerabilità” a seconda dei ruoli. “Oltre ai top manager, una categoria particolarmente esposta agli attacchi è per esempio quella dei social marketing manager” spiega il CEO di Sababa Security. “L’awareness e la formazione per queste categorie specifiche, affiancate da esercitazioni pratiche, consente di mitigare il rischio in maniera significativa”.
Per approfondire l’argomento segui i nostri webinar gratuiti in tema di Security Awareness
