Italiaonline, la sicurezza si impara

Italiaonline, la sicurezza si impara

Imparare a riconoscere le minacce come prima misura di difesa e protezione. Italiaonline sceglie Cyber Guru per la formazione dei dipendenti. I programmi di awareness e addestramento anti-phishing, integrati nella strategia cyber della prima internet company italiana

Italiaonline, nata dalla fusione per incorporazione con SEAT Pagine Gialle, è la più grande internet company italiana. Agenzia di comunicazione digitale, concessionaria di web advertising con oltre 29 milioni di utenti unici e quattro miliardi di impression mese, e storico email – 9.4 milioni di account gestiti con i portali Libero e Virgilio – occupa stabilmente i vertici della classifica dei portali più visitati in Italia. «La cybersecurity è sicuramente un elemento importante per il business di Italiaonline» – racconta a Data Manager Marcello Fausti, head of cybersecurity. «Siamo un’azienda full digital. I ricavi sono veicolati completamente su piattaforme digitali. Se i siti Libero o Virgilio non dovessero essere disponibili ci sarebbe un impatto economico e reputazionale. Con ripercussioni nella sfera di relazione di trust con il cliente. È chiaro quindi che ci sia una forte attenzione a sviluppare approcci di difesa per prevenire al meglio le minacce».

TI PIACE QUESTO ARTICOLO?

Iscriviti alla nostra newsletter per essere sempre aggiornato.

Le strategie cyber di Italiaonline

In vista di questo obiettivo, Italiaonline ha creato una struttura ad hoc, insediatasi all’inizio dello scorso anno per sviluppare una strategia cyber che incorpori le migliori practice sul modello adottato dalle grandi aziende. «Siamo partiti con la gap analysis, il primo step per posizionare IOL rispetto alle best practice. Dopo l’analisi preliminare, abbiamo deciso di adottare il cybersecurity framework nazionale – uno strumento messo a disposizione di piccole e grandi aziende da parte del CIS Sapienza sul modello del NIST – sulla base del quale abbiamo predisposto un piano, articolato su 13 progetti entro un orizzonte temporale di 36 mesi. Con l’obiettivo di traghettare l’azienda verso un livello di maturità cyber disegnato sulle esigenze dell’azienda» – spiega Fausti. La cyber security awareness è uno di questi. L’idea di partenza, condivisa dal management, è che la tecnologia da sola non basti per realizzare una efficace strategia cyber. «Sempre di più utilizziamo tecnologia basata sull’intelligenza artificiale, il machine learning. Siamo convinti che questi strumenti diventano ancora più efficaci se accompagnati da un adeguato training alle persone che ogni giorno navigano in internet utilizzando gli strumenti di lavoro delle aziende» – osserva Fausti.

L’importanza del fattore umano

Fare sicurezza significa in primo luogo concentrarsi sulla componente umana, anello debole per definizione della catena della sicurezza, che se adeguatamente formato e responsabilizzato può fare la differenza. «In ambito security, il fattore umano riveste un ruolo centrale» – conferma Fausti. «La quasi totalità degli attacchi passa attraverso le email di phishing, perciò imparare a comprendere le minacce che possono celare è molto importante. Questa capacità si ottiene allenando le persone. In quest’ ottica abbiamo lanciato due iniziative, entrambe basate su Cyber Guru. La prima di e-learning, articolata lungo dodici mesi, in cui vengono proposti una serie di temi, ognuno composto da tre pillole. Lezioni agili e interattive con un test di apprendimento finale». Gli argomenti trattati spaziano dal phishing all’utilizzo corretto delle postazioni di lavoro; dalla gestione delle password, all’impiego sicuro delle chiavette USB in azienda. Oppure, tematiche più generali come la normativa privacy e il GDPR, il mondo mobile e quello delle app. «La seconda – prosegue Fausti – ha come oggetto campagne strutturate di finto phishing, attraverso l’invio di email che simulano un tentativo di attacco». Un meccanismo centrato sull’interazione e la partecipazione attiva delle persone. «Superato il test, la soluzione abilita il partecipante a misurarsi, con prove sempre più impegnative, inviando email più subdole e quesiti più impegnativi per evitare tentativi di accesso sofisticati. Un meccanismo interessante per le aziende e che accompagna per step successivi il personale verso gradi di consapevolezza sempre più elevati».

Leggi anche:  Perché le aziende devono adottare pratiche di sicurezza informatica corrette per rafforzare la resilienza

Personale coinvolto

Il programma di awareness ha interessato tutto il personale di Italiaonline. Circa 1.700 persone, coinvolte in un’attività di formazione iniziata a gennaio di quest’anno. «Devo dire che attorno a queste attività si è creato un clima molto positivo. Come dimostrano sia il livello di partecipazione (93%) che di engagement, con i team che gareggiano tra di loro per primeggiare. Una sorta di contest aziendale immerso in un clima estremamente positivo».

Verifica dell’apprendimento

Anche sul fronte antiphishing i risultati sono stati in linea con le aspettative. Due le tipologie di user da monitorare: i “frequent clicker” – quelli che almeno una volta hanno cliccato su una mail malevola – e i “serial clicker” (almeno tre volte di seguito). «Già dopo cinque mesi di campagne mirate di finto phishing, abbiamo raggiunto livelli di click rate inferiori della metà rispetto al bench di mercato. Con percentuali di abbattimento sino all’85%. Anche rispetto a precedenti esperienze condotte in azienda meno di due anni fa». Risultati ancora più incoraggianti – sottolinea Fausti – se consideriamo il periodo di emergenza, in cui sono stati raggiunti, e nel quale non era affatto scontato che persone già alle prese con molti altri problemi riponessero la giusta attenzione alla sicurezza. «Paradossalmente, mai come in questo momento è necessario ritornare ai fondamentali. Come per la pandemia, anche qui l’igiene del comportamento è importante e va allenato».

Risultati sul campo

Il percorso formativo è costituito da moduli – l’unità logica di apprendimento che indirizza gli specifici argomenti – ad attivazione mensile. «Naturalmente, i moduli precedenti rimangono sempre a disposizione. La piattaforma Cyber Guru dispone di ulteriori due blocchi di 12 mesi ciascuno. I programmi vengono seguiti anche da coloro che svolgono in azienda attività più vicine a quelle di un utente finale. Qui, la semplicità di fruizione delle soluzioni è sicuramente la chiave» – spiega Fausti. «Una modalità di formazione con una user experience anche minimamente macchinosa costituisce una barriera d’accesso insormontabile. Ma non è questo il caso. Al contrario, le soluzioni Cyber Guru adottano un approccio ludico che garantisce i risultati migliori». Anche in termini di diminuzione degli incidenti di sicurezza. «Rispetto al numero di incidenti che gestiamo sui cosiddetti endpoint, abbiamo riscontrato diversi casi in cui le persone ci hanno segnalato email sospette che si sarebbero trasformate immediatamente in una compromissione del pc. Inoltre – prosegue Fausti – c’è stata una sensibile riduzione delle infezioni da malware sui pc. Pensiamo poi a tutti gli attacchi basati su social engineering che fanno leva sulla disponibilità di ciascuno di noi di fidarsi».

Prospettive future

Si tratta di un processo di allenamento e formazione continua. «Ovviamente, rifare le stesse cose non servirebbe a nulla. Bisogna sempre trovare nuovi temi in grado di tenere alta l’attenzione dei dipendenti e la loro capacità di risposta, fornendo esperienze di formazione sempre di più legate a strumenti innovativi, non necessariamente mediate dal pc. Per quanto riguarda invece il phishing, lì la chiave di successo è di rimanere sempre al passo con l’evoluzione delle minacce. A fine anno, considerando i risultati già raggiunti, tireremo le somme e valuteremo come continuare».

Leggi anche:  AI, rischio o opportunità?