SICUREZZA

ll fattore umano conta: perché investire in cybersecurity awareness



Indirizzo copiato

Conformità normativa e prevenzione degli attacchi rendono sempre più centrale il tema. Non tutte le aziende però sono attive su questo fronte, che tuttavia ha la stessa rilevanza delle misure tecniche di protezione delle reti, dei dati e degli strumenti di lavoro. Scopriamo, con WIIT, lo stato dell’arte e cosa fare per migliorare la situazione

Pubblicato il 14 dic 2023



cybersecurity awareness: concetto di sicurezza informatica
Immagine di Illus_man da Shutterstock

Il 74% dei data breach annovera tra le sue cause l’elemento umano. Ciò significa che gran parte delle violazioni sono legate a errori e interventi delle persone (involontari o intenzionali), come l’utilizzo improprio degli strumenti informatici, l’abuso di privilegi, credenziali deboli o forme di inganno e manipolazione come il phishing e il social engineering.

Chi opera nel settore della sicurezza informatica sa bene quanto sia fondamentale affiancare alle misure tecniche di protezione delle reti, dei dati e degli endpoint, anche dei percorsi di formazione finalizzati a creare conoscenza su minacce, vulnerabilità e strumenti di difesa, ma soprattutto a generare e a diffondere una cultura della sicurezza all’interno di tutta l’organizzazione.


Cybersecurity Awareness, lo stato dell’arte

Se il da farsi è noto da decenni, i dati di Verizon dimostrano quanto all’atto pratico ci sia ancora un po’ di strada da percorrere. Giuseppe Colosimo, Cyber Security Director di WIIT, è del medesimo avviso e ritiene che l’awareness, pur avendo assunto valore strategico in molte realtà, viene spesso considerata un extra rispetto ai tradizionali servizi di sicurezza gestita tra i quali il Security Operations Center.

«Molte imprese – sottolinea Colosimo – considerano l’awareness come un completamento, un punto di arrivo di un percorso che consta di interventi considerati come più urgenti, che vanno dalla sicurezza perimetrale, al SOC, fino alla protezione degli endpoint con i sistemi EDR (Endpoint Detection and Response) per superare i limiti tipici degli antivirus».

Who's Who

Giuseppe Colosimo

Cyber Security Director di WIIT

Giuseppe Colosimo

In altri termini, la cybersecurity awareness in taluni casi viene avviata solo se l’azienda è già accuratamente protetta con tutte le misure tecniche possibili. Ma per quanto sia certo che la vera sicurezza nasca dal combinato disposto di processi, tecnologia e persone, porre queste ultime in posizione subalterna non è una strategia vincente. I dati di cui sopra lo dimostrano.

Escludendo le grandi realtà, parrebbe essere il budget a limitare la concreta adozione di percorsi di awareness, che – è giusto ricordarlo – vanno ben al di là dei classici corsi di formazione: la cybersecurity awareness moderna si basa su piattaforme ricchissime di contenuti erogabili on-demand e su una pianificazione ad hoc a livello di divisione o addirittura di singolo dipendente.

L’awareness, inoltre, comprende attività di simulazione degli attacchi, test continui e verifica dell’avanzamento delle competenze. Per essere efficace, deve essere un’attività continuativa, poiché il suo obiettivo è plasmare la cultura aziendale e favorire comportamenti virtuosi rispetto a qualsiasi manifestazione digitale. L’ipotesi, suggerita da alcune imprese, di circoscriverla a qualche corso con cadenza annuale, non ha molto senso.


Compliance e prevenzione degli attacchi stimolano gli investimenti

Per quanto la situazione appaia migliorabile, la percezione del valore della cybersecurity awareness è aumentata esponenzialmente nell’ultimo decennio. Secondo il manager di WIIT, sono almeno due i motivi per cui l’investimento è raccomandato e necessario: la compliance e la prevenzione degli attacchi.

Per quanto concerne il filone normativo, sono sempre di più i regolamenti e gli standard internazionali che impongono alle aziende attività di formazione sui rischi cyber, tanto più nel caso in cui l’azienda, come nel caso di WIIT, eroghi all’esterno servizi IT.

Ma è anche vero che «i maggiori attacchi derivano da comportamenti erronei delle persone, e questo dipende anche dalla sovrapposizione, soprattutto in tempi recenti, tra gli strumenti di lavoro e i tool personali. Se da un lato si tratta di una manifestazione dei paradigmi agili di lavoro, la commistione tra vita privata e professionale sta generando nuovi rischi e va gestita in modo corretto».

Questo vale, a maggior ragione, in un’era in cui tutti i processi sono digitalizzati, qualsiasi attività privata e professionale si svolge con lo smartphone e i volumi di dati crescono esponenzialmente.

Il ruolo della divisione HR e del partner

Per come l’abbiamo descritta, la cybersecurity awareness sembrerebbe appannaggio solo dell’IT. In realtà, la divisione HR gioca un ruolo da protagonista, e non solo per il suo coinvolgimento nativo in tutto ciò che riguarda la formazione dei dipendenti.

Le risorse umane svolgono una funzione cruciale nella progettazione, nell’ingaggio e, soprattutto, nella personalizzazione dei percorsi di consapevolezza.

Infatti, non è sufficiente “fare” cybersecurity awareness, ma occorre renderla efficace, e affinché ciò accada questa deve essere progettata tenendo conto (almeno) dei diversi gruppi di lavoro. Ad esempio, i percorsi dedicati ai sistemisti non possono essere gli stessi della forza vendita, perché cambiano le modalità di lavoro, gli strumenti, i rischi, le competenze e le vulnerabilità.

Sempre in ottica di personalizzazione, si scorge poi il ruolo centrale del partner. Infatti, nonostante i percorsi di awareness si basino sempre su piattaforme di mercato, le aziende che provano a gestire tutto internamente acquistando direttamente le soluzioni di awareness, spesso sottovalutano le competenze necessarie per organizzare e gestire il tutto al meglio, nonché il tempo richiesto.

Oltre a essere un profondo conoscitore della materia, il partner garantisce che tutte le attività propedeutiche (come le personalizzazioni di cui sopra, l’integrazione della piattaforma con Active Directory…) siano eseguite a regola d’arte, si fa carico della configurazione della piattaforma, dell’erogazione e del monitoraggio di tutte le attività, nonché dell’analisi della reportistica.

Quest’ultima attività, ci spiega Colosimo, è fondamentale non solo in chiave di valutazione dell’efficacia, ma potrebbe suggerire – in funzione dei comportamenti degli utenti – l’adozione di specifici strumenti di cyber security, creando un legame virtuoso tra persone e tecnologia.

Nel caso specifico di WIIT, la cybersecurity awareness è uno dei servizi di cyber security che l’azienda eroga sul mercato e che comprendono anche un SOC H24. L’azienda italiana, inoltre, non si occupa unicamente di cyber security, ma è anche (e soprattutto) un cloud provider specializzato in progettazione, implementazione e gestione di ambienti ibridi a supporto dei processi aziendali mission-critical.

In questo modo, essa può vantare una conoscenza approfondita degli ambienti IT dei propri Clienti e può così affrontare il tema della prevenzione e della risposta alle minacce in forma sistemica, integrando tecnologia, processi e risorse.


Articoli correlati

Articolo 1 di 4