La formazione, capace di aumentare la consapevolezza dei dipendenti attraverso un percorso di security awareness, è un fattore indispensabile per garantire la sicurezza informatica di qualunque organizzazione perché, come confermano gli esperti di sicurezza, la grandissima maggioranza dei reati informatici ha successo a causa della vulnerabilità indotta dal fattore umano.
Lo sforzo delle aziende di assicurarsi, internamente o attraverso partner, risorse altamente qualificate nel campo della sicurezza informatica, rischia infatti di essere vanificato da un dipendente che, per scarsa consapevolezza o distrazione, clicca un link fraudolento in una e-mail di phishing o accede a un sito dannoso, mettendo a rischio i dati e i sistemi aziendali.
Secondo l’Osservatorio Information Security & Privacy del Politecnico di Milano, oltre l’80% delle imprese, consapevoli che l’impreparazione e la distrazione delle persone rappresentano la principale criticità per la sicurezza aziendale, ha avviato o intende avviare percorsi di formazione e di security awareness per aumentare la consapevolezza e la preparazione dei dipendenti. Ma cosa rende una formazione davvero efficace?
Gli obiettivi di competenza e consapevolezza per un security awareness training efficace
Il percorso formativo dovrebbe fornire ai dipendenti informazioni, competenze e metodologie che li rendano capaci sia di prevenire i possibili attacchi alla sicurezza aziendale sia di reagire in caso di situazioni critiche. L’organizzazione dovrebbe definire un piano che punti ad obiettivi chiave quali:
- La sensibilizzazione dei dipendenti per renderli consapevoli delle minacce e per accrescere la loro responsabilizzazione nel ridurre gli errori umani e i conseguenti costi per l’azienda, economici e di reputazione;
- La conoscenza delle normative che regolano la conformità sulla sicurezza e la protezione dei dati (ad esempio la protezione dei dati personali definita dal regolamento europeo GDPR);
- La consapevolezza da parte dei dipendenti delle policy e procedure definite dall’organizzazione, che spesso non vengono rispettate per scarsa conoscenza o trascuratezza.
Su cosa deve puntare un security awareness training efficace
La formazione dovrebbe essere parte integrante, anche di termini di budget, della pianificazione della strategia di sicurezza informatica, e dovrebbe affrontare temi quali:
- L’inquadramento generale del contesto della cyber security;
- Le principali minacce, come phishing e malware, la loro incidenza e le possibili conseguenze economiche e di immagine per l’organizzazione;
- La conoscenza delle tematiche dell’autenticazione, della gestione delle identità, degli accessi;
- Le caratteristiche delle password e la loro gestione, con consigli per evitare errori banali come scrivere e quindi lasciare traccia delle chiavi di accesso sulla postazione di lavoro e vanificare anche il sistema di password più sofisticato;
- La classificazione delle informazioni, sulla base dei rischi per la riservatezza, dell’integrità e della disponibilità (RID) e le conseguenze per il business e per la reputazione aziendale in caso di loro violazione;
- La gestione e l’utilizzo appropriati sia dei dispositivi aziendali sia dei dispositivi personali (BYOD), impiegati per attività aziendali; il furto o lo smarrimento di un dispositivo sono causa dell’esposizione di dati riservati o di informazioni che mettono a rischio la sicurezza dei sistemi aziendali, con danni che vanno ben oltre il valore del dispositivo stesso;
- Come individuare possibili tentativi di attacco malevolo, non solo per imparare a diffidare di sconosciuti che chiedono informazioni sensibili (attraverso telefono o messaggistica), di e-mail che sollecitano pagamenti o aggiornamenti di account, di allegati o link sospetti, evitando di aprirli, ma anche per segnalarli ai responsabili della sicurezza in azienda;
- Come reagire in caso di attacco, secondo quanto definito dall’azienda.
Inoltre un security awareness training, per essere efficace, non va pensato come un’iniziativa una tantum ma dovrebbe essere accompagnato da aggiornamenti periodici ed essere erogato all’intera popolazione aziendale.
Desideri saperne di più? Scopri il percorso formativo Cyber Security Awareness.
NovaNext, system integrator, security advisor e training center per i professionisti dell’ICT, progetta e realizza le più avanzate soluzioni in ambito Security, Data Center, Networking, Collaboration e offre una gamma completa di Managed Security Services. Gli esperti NovaNext accompagnano i Clienti nella scelta, nell’attivazione e nella gestione dei mezzi di protezione più adeguati a supportare l’evoluzione strategica dell’Azienda, in tutta sicurezza.
