Il concetto di cybersecurity awareness
Gran parte delle attività aziendali viene svolta con l’ausilio di dispositivi informatici e le informazioni chiave dell’azienda sono sempre più spesso dematerializzate. Se il ruolo crescente dell’informatica in azienda presenta tanti innegabili benefici, non bisogna sottovalutare il rovescio della medaglia, cioè la presenza di rischi legati alla sicurezza. Per prevenire i problemi causati dagli attacchi informatici la prima cosa da fare è sviluppare un buon grado di cybersecurity awareness, vale a dire rendere tutti i membri dell’azienda consapevoli di questa possibilità e in grado di riconoscere le situazioni di rischio. In questo articolo ci concentreremo su come si può sviluppare questa competenza, spiegando in dettaglio di cosa si tratta, quali strategie possono essere adottate e qual è il contesto nel quale ci si muove.
Cosa troverai nell'articolo
Condividi
Cos’è la cybersecurity awareness
Per cybersecurity awareness si intende la consapevolezza riguardo all’importanza di adottare comportamenti volti a garantire un ottimale livello di sicurezza informatica. Generalmente se ne parla in ambito aziendale e ci si riferisce alla necessità che i dipendenti dell’impresa, a partire dal top management fino ad arrivare all’ultimo livello dell’organigramma, conoscano e siano in grado di individuare minacce e rischi, sappiano come affrontarle e adottino i comportamenti corretti in caso di attacco. Allo scopo di migliorare il livello di conoscenza dei rischi e dei possibili attacchi cyber è utile prevedere dei programmi di formazione e delle attività di informazione che coinvolgano i dipendenti. L’azione congiunta di:
- campagne informative
- training personalizzato
consente di incrementare il livello di conoscenza e di competenza all’interno dell’azienda, permette di rispondere in modo mirato alle minacce informatiche e fornisce ai dipendenti tutti gli strumenti necessari per prevenire i rischi, per evitarli e per affrontare al meglio le conseguenze di eventuali comportamenti errati. Compito delle attività di cybersecurity awareness è anche quello di sviluppare una cultura aziendale orientata al rafforzamento dei sistemi di difesa interni e delle misure di sicurezza. Formare le risorse umane in cybersecurity awareness aiuta anche a sviluppare comportamenti proattivi che migliorano il livello di sicurezza di dati, dispositivi e reti aziendali.
Affinché i programmi di cybersecurity awareness siano realmente efficaci è necessario tener conto delle caratteristiche dell’infrastruttura IT aziendale, del tipo e della mole di dati conservati dall’azienda e di tutte le possibili criticità che possono interessarla. È importante anche definire delle procedure interne di reporting, che devono essere seguite per segnalare tempestivamente gli attacchi. Per aumentare la consapevolezza aziendale sulla sicurezza informatica è molto importante combinare formazione teorica e pratica. Con la prima le persone che, per la loro attività lavorativa, sono a contatto con dispositivi, dati e informazioni riservate che appartengono all’azienda vengono educate riguardo alle minacce che possono presentarsi loro e ai rischi che potrebbero essere chiamate ad affrontare, mentre con la seconda si possono organizzare delle simulazioni ad hoc e testare la capacità di riconoscere e reagire ai possibili attacchi.
Creando delle situazioni verosimili che replicano un attacco informatico si può mettere alla prova il livello di consapevolezza dei dipendenti e verificare l’efficacia delle misure di protezione adottate. È necessario poi che moduli di cybersecurity awareness vengano integrati nei percorsi di formazione aziendale e che ci siano aggiornamenti periodici. Le strategie adottate dagli hacker, infatti, cambiano nel tempo ed è fondamentale conoscere i rischi emergenti e le minacce più recenti.
Fattori di rischio
Secondo il Cyber Resiliance Report del 2023 di Aon, per oltre un’azienda su due il rischio informatico è al primo posto della classifica delle minacce da affrontare. Considerando che nella maggior parte dei casi il fattore umano ha un ruolo determinante affinché gli attacchi cyber vadano a segno, investire sulla cybersecurity awareness è prioritario.
Password
Una delle vulnerabilità più comuni riscontrate nei sistemi informatici di un’azienda e che possono spianare la strada ad attacchi hacker è l’uso di password deboli. Password corte o che non presentano un’alternanza di lettere maiuscole, minuscole, numeri e caratteri speciali possono essere facilmente scoperte dagli hacker che così possono avere accesso a informazioni sensibili o a documenti riservati.
Dispositivi
Un altro fattore di rischio presente in molte aziende è l’uso promiscuo dei dispositivi. Smartphone, computer e tablet che vengono usati sia per l’attività professionale sia a uso privato possono diventare bersaglio degli hacker. Nel caso in cui si visitassero siti internet non sicuri o si cadesse in un tentativo di phishing si potrebbe mettere a rischio il funzionamento delle reti e di altri dispositivi aziendali. Link a siti malevoli e allegati che sono veicolo di virus o software dannosi sono altri rischi da non sottovalutare. Dal momento che questi attacchi per andare a segno richiedono un’azione umana è essenziale che chi lavora in azienda sia allenato a riconoscere i messaggi sospetti, a cogliere le eventuali incongruenze nelle comunicazioni provenienti dall’esterno e ad adottare comportamenti prudenti. Ignorare le minacce informatiche, usare i dispositivi aziendali in modo non sicuro, visitare siti malevoli o installare incautamente software dannosi può impattare in modo molto negativo sull’azienda.
Reputazione e compliance
Gli attacchi informatici possono creare seri danni reputazionali all’impresa, comportare un aumento dei costi per la stessa e, nei casi più gravi, arrivare perfino a comprometterne l’operatività. C’è poi anche un aspetto di compliance da non sottovalutare: le aziende devono rispettare precise norme di comportamento quando raccolgono e trattano dati personali, ad esempio, e altre norme specifiche previste per le realtà che operano in determinati settori economici. Adottare comportamenti virtuosi, saper prevenire i problemi e riconoscere le minacce è una responsabilità sia individuale sia collettiva e gli investimenti in cybersecurity awareness possono apportare benefici a tutti i livelli. I programmi di formazione vanno indirizzati all’insieme dei dipendenti e dei collaboratori dell’impresa, con un’attenzione particolare alle persone che maneggiano le informazioni e i dati più sensibili.
I concetti fondamentali
Per comprendere appieno tutte le implicazioni del concetto di cyber security awareness è bene conoscere più da vicino il contesto nel quale si muovono le imprese e quali sono le minacce più diffuse a cui possono essere esposte. In generale, si parla di cyber attack (anche conosciuto come attacco informatico o cyber attacco) per indicare un’azione malevola che ha l’obiettivo di penetrare all’interno dei sistemi informatici aziendali. Gli attacchi possono essere compiuti da singoli individui o da organizzazioni e possono essere condotti usando vari mezzi. Gli attaccanti vanno a colpire là dove possono manifestarsi delle vulnerabilità. Come visto poco sopra, spesso l’elemento più vulnerabile del sistema è il fattore umano. È spesso attraverso il comportamento imprudente delle persone che lavorano in azienda che gli attacchi informatici vanno a segno.
Le strategie più comuni adottate da chi conduce un cyber attack prevedono il ricorso a:
Malware
Il termine indica un software malevolo o dannoso che viene installato nel sistema informatico della vittima. Software di questo tipo vengono usati per attaccare dispositivi e reti. In base allo scopo dell’attacco, questi software possono danneggiare i dispositivi infetti, rubare dati o propagare virus all’interno delle reti informatiche.
Spyware
Anche in questo caso l’attacco cyber viene condotto tramite l’uso di un software malevolo. Uno spyware è ideato allo scopo di spiare il comportamento di un utente, studiarne le abitudini e raccogliendo informazioni personali o sensibili, come credenziali d’accesso o dati bancari.
Ransomware
Un ransomware è un software malevolo che, una volta installato nel dispositivo attaccato, blocca l’accesso a tutti o parte dei suoi dati. Per rientrare in possesso dei dati è necessario pagare un riscatto a chi ha compiuto l’attacco.
Phishing, smishing e vishing
In questo caso l’attacco cyber non è compiuto per mezzo di un software, ma di una comunicazione ingannevole. A seconda del mezzo usato si parla di phishing (posta elettronica), smishing (SMS) o vishing (telefonata). I truffatori hanno l’obiettivo di carpire informazioni riservate e, tipicamente, forniscono alla vittima un link o un QR code che rimanda a siti che richiedono dati sensibili.
Azioni man in the middle
In attacchi di questo tipo i cybercriminali intercettano gli scambi che avvengono tra utenti o dispositivi e possono quindi accedere a informazioni private, riservate o sensibili.
Attacchi DDoS
DDoS è l’acronimo di Distributed Denial of Service e indica un attacco informatico condotto allo scopo di bloccare il traffico di un server o di una rete.
Quando vanno a segno, azioni malevole di questo tipo possono avere come risultato un data breach o un data leak. Nel primo caso i dati finiti in mano ai cybercriminali possono essere modificati, distrutti o divulgati al di fuori dell’azienda, mentre nel secondo caso l’attacco riguarda nello specifico dei dati sensibili che vengono rubati e trasmessi o divulgati a soggetti terzi. Di fronte a queste minacce e a questi rischi diventa essenziale per le imprese risultare preparate e affidarsi a partner esperti, in grado di supportarle e di fornire loro tutti gli strumenti necessari per riconoscere, evitare e affrontare le minacce informatiche.
Aon fornisce soluzioni su misura per migliorare la cybersecurity awareness a tutti i livelli dell’azienda e per prevenire le conseguenze negative che sono effetto degli attacchi informatici. Per proteggersi dai cyber risk è importante adottare un approccio olistico e personalizzato, che comprenda tanti programmi di cybersecurity awareness quanto polizze assicurative che coprano dai cyber risk più comuni.
