Home » Sicurezza » Consentire ai dipendenti di farsi carico della cybersicurezza

Consentire ai dipendenti di farsi carico della cybersicurezza

Tech Page One

MAIN_istock_15359307_RESIZED

 

I firewall, i software antivirus e la crittografia dei dati degli endpoint di nuova generazione sono tutti necessari per salvaguardare informazioni preziose e, spesso, sensibili. Non c’è una soluzione tecnologica magica: ho visto statistiche che attribuiscono più della metà delle violazioni a errori umani. E ci vogliono proprio gli esseri umani, “un’armata di soldati” come li definisce il mio collega John McClurg, per difendere gli asset di informazioni di un’organizzazione.

Il segreto per creare quell’armata è la consapevolezza e la formazione in materia di sicurezza. Una forza lavoro formata e competente è la miglior difesa dell’organizzazione contro cybercriminali sempre più sofisticati e tenaci.  I giornali riportano continuamente la notizia di violazioni e si ribadisce la necessità di un solido programma di sicurezza: è il momento migliore per osservare il National Cyber Security Awareness Month, ovvero il mese nazionale per la consapevolezza sulla cybersicurezza. È il momento che le persone diventino più responsabili della sicurezza delle informazioni con cui lavorano ogni giorno.

Le organizzazioni che hanno messo in atto un programma di formazione sulla sicurezza hanno il 50% in meno di probabilità di subire violazioni causate dal personale rispetto alle altre aziende, come risulta da uno studio. Inoltre, nonostante sia praticamente impossibile eliminare del tutto i rischi, poche misure hanno un rapporto costo/risultati tanto favorevole come la formazione sulla sicurezza.

 Se vedi qualcosa, di’ qualcosa

BODY_iStock_000009072536Large_RESIZEDAumentare la consapevolezza degli utenti e suscitare un senso di responsabilità condivisa verso la sicurezza delle informazioni vitali è di fondamentale importanza per proteggerle dalle due minacce più comuni: malintenzionati interni e cybercriminali esterni.

Le minacce interne sono difficili da scoprire con il solo ausilio della tecnologia. Una ricerca dei Computer Emergency Response Team della Carnegie Mellon University ha confermato più volte che i primi a individuare le minacce interne sono altri utenti che notano qualcosa di sospetto e lo riportano a chi di dovere. L’equivalente informatico del concetto “se vedi qualcosa, di’ qualcosa”. Gli utenti necessitano di formazione e consapevolezza per sapere a cosa fare attenzione e cosa riferire. Devono inoltre assumersi la responsabilità di questo compito.

Tuttavia, le minacce in più rapida evoluzione provengono dall’esterno, e l’energia e gli sforzi profusi dai cybercriminali per compromettere i dati sensibili stanno aumentando in modo esponenziale. Le tecniche di ingegneria sociale utilizzate per far leva sulla nostra ingenuità e le nostre emozioni sono sempre più sofisticate ed elaborate. Recentemente ho ricevuto un’email dall’infermiera della scuola di mio figlio, che mi avvisava di un incidente avvenuto nell’area ricreativa e mi forniva un link al relativo resoconto. L’email sembrava provenire dalla scuola, conteneva il nome di mio figlio oltre che quello reale dell’infermiera, eppure non era altro che un classico tentativo di spear phishing che sono riuscito a evitare solo grazie al fatto che ero a conoscenza di una politica della scuola che proibiva la condivisione via email di tali informazioni.

Prendersi una pausa

Un efficace programma di informazione sulla sicurezza insegna agli utenti a prendersi “un momento di pausa”. Prima di reagire a email contenenti link, gli utenti dovrebbero analizzare meglio il messaggio alla ricerca di indicatori sospetti. L’istinto di fermarsi a esaminare i messaggi di posta elettronica (o le telefonate di sconosciuti) è la migliore difesa contro l’ingegneria sociale. Deve diventare un riflesso automatico per tutti gli utenti, non solo per quelli particolarmente abili, perché i malintenzionati sono bravi a scovare e a prendere di mira proprio le persone più ingenue.

Le altre caratteristiche essenziali di un valido programma di informazione sulla sicurezza includono:

La valutazione del livello base di consapevolezza all’interno dell’organizzazione, per identificare le lacune e sviluppare un piano per colmarle.

I test, da effettuarsi con continuità per rafforzare la formazione e creare una cultura di sicurezza per tutta la forza lavoro. Test, formazione, test: ecco come dimostrare i miglioramenti che fungeranno da spinta motivazionale. I tornei di phishing e altre forme di test possono essere potenti strumenti didattici con cui i dipendenti vedono all’opera direttamente i trucchi di ingegneria sociale che li hanno tratti in inganno.

La formazione alla reazione, per dare ai primi utenti che intervengono le competenze e le conoscenze necessarie per contrastare efficacemente gli attacchi. È fondamentale capire come analizzare le email o le telefonate di spear phishing al fine di aumentare la consapevolezza specifica, o come meglio gestire una macchina compromessa (suggerimento: un primo impulso comune, quello di riavviarla, comporterebbe la distruzione di prove preziose; meglio disconnetterla dalla rete per tagliare l’accesso all’intruso).

Il rilevamento delle minacce è vitale, perché non è possibile ridurre a zero i rischi e gli errori umani sono inevitabili. Rilevare con rapidità una compromissione è essenziale per mitigare i danni e mantenere la continuità aziendale. Non abbiamo mai trovato un’impresa con il 100% di consapevolezza e lo zero per cento dei rischi: prima o poi, qualcuno cadrà vittima di phishing.

La suite di servizi completa di Dell SecureWorks (in inglese) aiuta le aziende a insegnare ai dipendenti i comportamenti sicuri e a ridurre i rischi. Questi servizi aiutano inoltre i dipendenti a comprendere che ciascun individuo è responsabile della protezione degli asset di informazioni dell’organizzazione, e a creare una cultura di sicurezza.

In che modo la tua organizzazione forma i dipendenti sulla cybersicurezza?

 

 

Jon Ramsey

Jon Ramsey

Jon Ramsey lavora con i migliori esperti di sicurezza della nazione per identificare ed analizzare le cyber minacce, e allo stesso tempo sviluppa contromisure per aiutare i clienti di tutto il mondo. Un vero esperto di sicurezza informatica con oltre 20 anni di esperienza nel campo.

Ultimi post:

 

Tag: Sicurezza