Contro le crescenti minacce alla sicurezza informatica è necessario investire in formazione. La recente crisi sanitaria legata al Covid19 l’ha dimostrato. Ora sta alle aziende fare tesoro di questa esperienza.
Sicurezza informatica e formazione contro gli attacchi legati al Covid19
A seguito del picco di crimini informatici rilevati tra marzo e aprile 2020, molte organizzazioni hanno riconosciuto l’elevato rischio che stavano correndo. Di conseguenza hanno deciso di condurre corsi di sensibilizzazione sulla sicurezza informatica, con focus sugli attacchi legati al Covdi19.
I risultati dell’attività di sensibilizzazione si sono dimostrati molto buoni, portando a una maggiore capacità dei dipendenti di riconoscere tentativi di phishing e di evitare attività in grado di aumentare il rischio informatico (es. usare un’unica password per tutte le piattaforme o non cambiare periodicamente la password).
Ciò ha permesso alle organizzazioni di evitare grossi danni sia economici che di immagine.
Sicurezza informatica e formazione: le criticità
Anche se dopo il picco di attacchi informatici del 2020 molte aziende affermano di essere preparate grazie alle attività di training dei dipendenti, c’è un’enorme differenza tra le aziende che eseguono attività di formazione sulla sicurezza informatica e quelle che implementano un programma di formazione sulla sicurezza informatica efficace.
Ecco quali sono le principali criticità.
Mancanza di regolarità e continuità
Se da una parte è un bene che le organizzazioni abbiano capito l’importanza della formazione nel proteggere la propria realtà da attacchi informatici, dall’altra molte aziende ritengono sufficiente una formazione saltuaria per sentirsi al sicuro.
Non è così.
Per essere efficace, la formazione sulla sicurezza informatica deve svolgersi regolarmente, adattandosi continuamente alle minacce del momento. Deve essere una parte centrale del programma di sicurezza di un’organizzazione, tutto l’anno e non solo in stato di crisi.
Formare solo il personale di reparti considerati “a rischio”
Tutti gli utenti aziendali che hanno accesso alla rete aziendale, alle sue informazioni e alle sue infrastrutture tecnologiche sono a rischio. Questo perché, come dimostrano i dati, i cyber-criminali preferiscono prendere di mira non l’infrastruttura informatica aziendale ma i singoli utenti che vi hanno accesso.
Solitamente inoltre si pensa che le persone che corrono il maggior rischio di subire attacchi all’interno di un’organizzazione siano le figure apicali (es. amministratori, manager, direzione). In realtà non è sempre così. A rischiare maggiormente di diventare bersagli dei malintenzionati sono soprattutto dipendenti con mansioni meno rilevanti ma strategiche per l’organizzazione e per le informazioni a cui hanno accesso.
Mancanza di esercitazioni pratiche
Non è sufficiente insegnare agli utenti che esiste una minaccia. Per ottenere i migliori risultati, devono affrontarle in contesti considerati sicuri (es. nel perimetro aziendale protetto da firewall, dove il livello di allerta è più basso) e con modalità di attacco tipiche del mondo reale.
Altrimenti la teoria resta tale e gli utenti rischieranno più facilmente di cadere nelle trappole tese da criminali informatici esperti nell’aggirare le barriere delle persone.
Mancanza di coinvolgimento degli utenti
Il grado di interiorizzazione delle best practice in ambito della sicurezza informatica cambia in base a quanto un utente viene integrato nel programma. Ad esempio, un dipendente che riceve una notifica che gli conferma che l’email segnalata era davvero un tentativo di phishing, aiuta a promuovere e incentivare una cultura della sicurezza rispetto a un’email segnalata alla quale non segue alcun tipo di feedback.
Formazione efficace: quella che crea una cultura della sicurezza
Una volta terminata la pandemia, invece che tornare ad operare come nulla fosse successo, le organizzazioni devono utilizzare questa esperienza per implementare programmi di formazione a lungo termine che cercano attivamente di cambiare i comportamenti a rischio degli utenti. Programmi che si concentrano sull’individuo e si adattano alle attuali minacce del mondo reale.
Questo perché quando un’azienda offre regolarmente questo tipo di formazione completa e incentrata sulle persone, crei una cultura della sicurezza. Una cultura aziendale che permette a tutti i tuoi dipendenti e collaboratori di sapere prevenire, rilevare e scoraggiare gli attacchi informatici. E in cui le best practice diventano pratiche standard.
Axsym e il programma di User Awareness
Sei alla ricerca di un programma di formazione efficace sulla sicurezza informatica per i tuoi dipendenti e collaboratori? Contattaci e ti presenteremo il nostro esclusivo User Awareness Program!
