La variabile umana nella gestione del rischio sicurezza

La variabile umane nella gestione del rischio sicurezza

Dal furto fisico all’attacco digitale, l’Associazione bancaria Raiffeisen investe nella consapevolezza della sicurezza informatica attraverso l’uso dei servizi offerti da Cyber Guru

Raiffeisen è l’Associazione bancaria che rappresenta l’insieme delle Casse Rurali dell’Alto Adige, nate per supportare le aziende agricole locali. Con 39 banche dislocate sul territorio, l’Associazione Raiffeisen è il principale istituto finanziario dell’Alto Adige. La Raiffeisen Information Service è la società di servizi informatici che gestisce il sistema informativo degli associati. «Il settore finanziario è da sempre estremamente appetibile per le minacce cyber» – spiega Massimiliano Ricci, chief information security officer presso Raiffeisen Information Service. «In passato si portavano avanti attacchi fisici come furti o rapine. Oggi, queste metodologie sono state in gran parte abbandonate e rimpiazzate da attacchi perpetrati in modalità digitale. Il perimetro delle aziende coinvolte è aumentato esponenzialmente proprio perché le distanze fisiche non esistono più. Oltre che di minacce informatiche, si ragiona quindi sul livello di rischio cui l’azienda è esposta».

TI PIACE QUESTO ARTICOLO?

Iscriviti alla nostra newsletter per essere sempre aggiornato.

Di conseguenza, la strategia di sicurezza, la gestione del budget e la selezione del personale sono guidate anche e soprattutto dalla necessità di accompagnare il business aziendale attraverso attività volte alla minimizzazione dei livelli di rischio. «Negli ultimi anni, il trend degli attacchi informatici è caratterizzato principalmente da ransomware, da distributed denial of service (DDoS), da phishing, smishing e da advanced persistent threats (APT).

Questa ultima tipologia di malware è particolarmente pericolosa: si tratta infatti di virus che rimangono latenti per lungo tempo, in attesa di una determinata condizione che li attivi, rendendoli estremamente difficili da individuare anche per gli esperti di sicurezza. La quantità di attacchi è direttamente proporzionale all’evoluzione e alla diffusione della tecnologia. Ma non solo: fattori come pandemie e guerre influenzano significativamente il numero».

L’IMPORTANZA DELLA FORMAZIONE

Ma quali sono le sfide da affrontare in tema di sicurezza informatica? Secondo l’Ing. Ricci, sono principalmente di tre tipi: tecnologiche, organizzative e umane. «Dal punto di vista tecnologico, una strategia di sicurezza informatica deve tenere conto degli obiettivi di business, della valutazione del rischio e dei trend di mercato. Per rimanere sempre aggiornati, abbiamo adottato una nuova piattaforma tecnologica per garantire la formazione del personale».

Leggi anche:  ESET scopre una vulnerabilità zero-day in WPS Office e rivela una seconda falla di sicurezza

La scelta di Raiffeisen Information Service è caduta sulla piattaforma Cyber Guru che propone tre soluzioni integrate ma che possono essere implementate anche separatamente e/o in momenti diversi: Cyber Guru Awareness, un innovativo sistema integrato di e-learning che consente di coinvolgere tutta l’organizzazione in un percorso di apprendimento cognitivo; Cyber Guru Phishing, un innovativo sistema di apprendimento esperienziale adattivo, con una funzione anti-phishing, che produce risultati efficaci grazie alla sua metodologia avanzata e alle caratteristiche di automazione e di intelligenza artificiale; Cyber Guru Channel, un percorso di formazione video costruito su una metodologia induttiva, realizzato con tecniche di produzione avanzata, tipiche delle serie TV, e basato su uno storytelling particolarmente coinvolgente. «A livello organizzativo, bisogna adattarsi costantemente ai cambiamenti, come evidenzia la normativa DORA, che spinge le aziende a estremizzare il concetto di resilienza» – prosegue Ricci. «Sul piano umano, la formazione trasversale è fondamentale. La piattaforma Cyber Guru permette di sensibilizzare tutto il personale, tenendo conto che l’anello più debole della catena è sempre l’uomo».

IL COINVOLGIMENTO COME CHIAVE

Il progetto di formazione targato Cyber Guru, avviato all’inizio del 2023, ha una durata di tre anni per garantire un percorso duraturo e coerente per tutta l’organizzazione. «La finalità è creare una consapevolezza diffusa tra tutti i colleghi riguardo ai rischi legati, ad esempio, all’utilizzo di device, sia nel contesto lavorativo sia nella vita privata. Comprendere quanto questi due mondi siano ormai strettamente integrati, è fondamentale per definire le leve per il successo dell’iniziativa» – spiega Ricci.

«Ma non è tutto. La resistenza iniziale del personale, dovuta a una certa diffidenza nei confronti del tema della sicurezza informatica, storicamente considerata “antipatica e noiosa”, è stata superata grazie alla concretezza del progetto e al concetto di gamification sul quale si basa il programma. La possibilità di eccellere in una classifica virtuale a livello di Associazione Raiffeisen ha indubbiamente accelerato l’adesione ai corsi. L’obiettivo di migliorare la consapevolezza del rischio e di ragionare sulle scelte quotidiane con una vista più sicura da parte degli utenti è stato quindi raggiunto brillantemente» – conclude Ricci. La piattaforma Cyber Guru si dimostra quindi un ottimo e fidato compagno di viaggio per il percorso che l’Associazione Raiffeisen ha intrapreso sul tema della sensibilizzazione e formazione del personale sulle tematiche della cyber security.

Leggi anche:  Kaspersky collabora con l’INTERPOL nell’operazione di contrasto al cybercrime internazionale