Formazione mirata ai VAP – Very Attacked People – come antidoto al dilagare degli incidenti di sicurezza
L’emergenza 2020 non ha risparmiato la cybersecurity. Secondo i dati dell’Osservatorio Cybersecurity & Data Protection del Politecnico di Milano, il 40% delle imprese ha dichiarato un aumento degli attacchi informatici rispetto al 2019, complice il ricorso massivo ma non programmato al remote working e l’utilizzo di dispositivi personali agganciati a reti domestiche poco o affatto protette. Un quadro che ha moltiplicato le possibilità di far male, a disposizione della criminalità cyber.
Ambiente ostile, assistenza difficoltosa
«Non c’è dubbio che a livello globale le organizzazioni stiano affrontando un panorama di minacce in rapida evoluzione, e l’Italia non fa eccezione» conferma Luca Maiocchi, country manager per l’Italia di Proofpoint. «Una recente ricerca di Proofpoint sui CISO/CSO italiani ha rivelato che il 52% delle aziende ha subito nel 2019 almeno un attacco. Il phishing è stata la tipologia di attacco più diffusa presso le aziende italiane nel 2019 (39%), seguito da Business Email Compromise, Insider Threat e Credential Phishing. L’emergenza COVID-19 ha avuto i suoi effetti, con il 26% delle imprese italiane che ha ammesso un aumento del numero di azioni fraudolente legate alla pandemia». Attacchi avvenuti in un contesto di ricorso obbligato all’impiego della tecnologia, in ambienti nei quali le tradizionali difese interne avevano perso drasticamente d’efficacia. Questa situazione ha impattato pesantemente sull’operatività di aziende e organizzazioni. Per via dell’impossibilità o comunque delle maggiori difficoltà del personale operante da remoto di interagire con l’assistenza tecnica presente in azienda, che ha dilatato tempi di detection, riconfigurazione e ripristino dell’operatività.
L’incidenza del fattore umano
«Secondo i nostri dati, l’85% dei CSO/CISO italiani ritiene che i dipendenti possano rendere la loro azienda più vulnerabile a un attacco IT. Le organizzazioni dunque non possono fare a meno di una strategia focalizzata sulle persone, che inizia con l’identificazione degli utenti più vulnerabili e la garanzia che siano dotati delle conoscenze e degli strumenti per difenderle» osserva Maiocchi. «Insieme alle soluzioni tecnologiche e ai controlli, al centro del piano di difesa IT deve esserci un programma di formazione regolare e completo, in grado di coprire diversi argomenti: dalla comprensione delle motivazioni e dei meccanismi delle minacce all’analisi di comportamenti pericolosi come il riutilizzo delle password e la protezione inadeguata dei dati».
Cybersecurity focalizzata sulle persone
Per far fronte alle minacce, le aziende sono chiamate ad adottare un approccio più strutturato. «Per garantire una migliore protezione è necessario anzitutto comprendere su chi si concentrano gli attacchi, per poter fornire una formazione adeguata alle persone più a rischio, che in Proofpoint definiamo Very Attacked People (VAP). La loro identificazione non è un’attività da svolgere una sola volta per sempre, perché queste figure cambiano nel tempo. Una volta individuate – continua Maiocchi – si potrà valutare il loro livello di consapevolezza sui temi di sicurezza, per costruire programmi di formazione dedicata in base al profilo di rischio individuale e focalizzata sui rispettivi gap di conoscenza». Lavorare dunque su formazione e consapevolezza sulle tematiche di sicurezza è un passaggio obbligato per qualsiasi organizzazione. «Un’efficace protezione richiede una combinazione di persone e tecnologia per avere successo. Indipendentemente dal vettore di attacco – e-mail, applicazioni cloud, web, social media – gli autori delle minacce continuano a puntare sul fattore umano. Controlli tecnici, processi e anche le migliori pratiche di sicurezza non bastano. Il comportamento degli utenti – prosegue Maiocchi – è il più grande fattore di rischio per l’organizzazione, e modificarlo è fondamentale per una difesa efficace. Questo è possibile solo creando una cultura in cui la cybersecurity non sia una semplice preoccupazione dell’IT, ma una responsabilità di tutti, alimentata con sessioni formative regolari e contestualizzate. Una formazione – conclude Maiocchi – su misura per gli utenti, basata su informazioni in tempo reale su un panorama di minacce in continua evoluzione».