All’interno delle organizzazioni circolano molte informazioni “equivoche” su cosa significhi mettere in sicurezza i dati, sulla natura degli attacchi cyber, e su quelle che potrebbero essere le best practice più efficaci da adottare per prevenire i potenziali attacchi. E’ importante conoscere queste false argomentazioni non solo per combattere la disinformazione, ma anche per imparare a comprendere quanto sia importante proteggere la sicurezza della propria identità digitale e quella della propria organizzazione.
Ormai è un dato di fatto che gli attacchi cyber che causano la perdita di dati critici sono sempre più frequenti e che i relativi “costi” crescono in maniera esponenziale. Al contrario di quanto si possa pensare, piccole e medie imprese sono sempre più spesso nel mirino senza scrupoli dei cyber criminali, vittime designate di attacchi cyber che ne minacciano non sole le finanze ma anche la reputazione.
Per molte organizzazioni, che non hanno ancora avuto problemi, alcune minacce come la compromissione o il furto di dati, i ransomware, il phishing e altre tipologie di attacchi digitali, non sono ancora considerate priorità da cui mettersi al riparo. Queste minacce però sono reali, ed è fondamentale non cadere nella trappola di immaginare che non possano mai riguardare noi o la nostra organizzazione.
Vediamo quindi quali sono i fraintendimenti più diffusi sulla Cyber Security, e perché devono essere considerati tali:
#1: I miei dati e quelli a cui ho accesso non hanno un valore così grande
Niente di più falso! Iniziamo con la premessa che tutti i dati sono preziosi.
I dati che vengono regolarmente raccolti, memorizzati, consultati o inviati, sono molti di più di quanto si possa immaginare. Ma cosa più importante è che molti di questi, se trafugati, potrebbero avere un impatto considerevole sul business della propria organizzazione, sulla fiducia dei clienti e dei partner, e non ultimo essere utilizzati per scopi illeciti e in attività di social engineering.
#2: Non si può essere vittime “inconsapevoli” del Cyber Crime
Anche questo purtroppo è falso! Il Cyber Crime utilizza qualunque tipologia di connessione per i suoi scopi.
Molto spesso le vittime ignorano che è molto frequente che un attacco cyber inizi con una semplice email. Le comunicazioni fraudolente del phishing, così come il vishing e lo smishing, si basano sull’idea che il destinatario del messaggio venga inconsapevolmente ingannato da quanto descritto nel testo ed esegua le istruzioni indicate. L’apertura di un allegato, il click a un link malevolo sono solo l’inizio inconsapevole di un attacco cyber.
#3: La Cyber Security dipende esclusivamente dal livello di tecnologia utilizzata
Parzialmente vero! Purtroppo la tecnologia da sola non è in grado di proteggere le organizzazioni dal cyber crime, che preferisce sfruttare l’anello debole della catena, “il fattore umano”, per effettuare i suoi attacchi.
La Cyber Security andrebbe quindi considerata come un mix di soluzioni tecnologiche e di percorsi formativi di consapevolezza sui rischi cyber per tutto il personale non specialistico. Percorsi formativi in grado di fornire tutti gli strumenti utili per riconoscere un attacco e trasformare tutti i dipendenti in agenti attivi della Cyber Security.
#4: Il Cyber Crime può essere contrastato esclusivamente da esperti di sicurezza
Non è così! Il Cyber Crime utilizza spesso tecniche di social engineering per spingere le proprie vittime a rivelare informazioni sensibili, necessarie per mettere in atto delle attività criminali. Per non cadere vittime di queste tecniche non bisogna diventare esperti di sicurezza, ma è sufficiente modificare alcuni di quei comportamenti che possono esporre noi stessi e la nostra organizzazione ad un attacco. Questo è possibile attraverso l’utilizzo di percorsi formativi, a rilascio costante e graduale, in grado di fornire tutti gli strumenti necessari per incoraggiare un cambiamento nel proprio modo di operare all’interno della propria organizzazione.
#5: La formazione ha senso solo quando viene impartita a personale specializzato
Falso! I percorsi formativi di Cyber Security Awareness più efficaci sono universali e mirano ad aumentare il livello di consapevolezza di tutto il personale, e devono avere alcune caratteristiche basilari per essere compresi da tutti e riuscire a mantenere alto il livello di attenzione nel tempo.
Perché ciò accada sono necessari:
- Una piattaforma di e-learning per una fruizione on demand
- Un linguaggio divulgativo per essere comprensibile anche da non specialisti
- Delle sessioni brevi per consentire una facile fruizione basata sulle esigenze
- Dei contenuti multimediali per mantenere elevata l’attenzione formativa
- Un approccio interattivo e dei test per valutare il livello di apprendimento
- Delle simulazioni di attacco per allenare la prontezza
- Degli scenari di simulazione che corrispondono, grazie all’utilizzo di intelligenza artificiale, ai comportamenti individuali
#6: La formazione ha un impatto organizzativo troppo elevato
Anche in questo caso si tratta di un “fraintendimento”! I percorsi formativi a rilascio costante e graduale, che impegnano i partecipanti per pochi minuti a settimana, pur mantenendone elevata l’attenzione grazie all’interazione con le tecnologie digitali, hanno, a differenza della classica formazione, un impatto bassissimo sui livelli produttivi e sulla singola operatività.
Anche le simulazioni con funzioni anti-phishing, personalizzate sulla base delle caratteristiche peculiari dell’organizzazione, consentono di raggiungere degli ottimi livelli di reazione agli attacchi cyber con il minimo impegno organizzativo.
Cyber Security Awareness – i percorsi formativi di Cyber Guru
Nel panorama della Cyber Security di oggi, in continua evoluzione, è chiaro che non è più possibile ignorare l’importanza del “fattore umano”.
Cyber Guru è la prima linea di soluzioni di Cyber Security Awareness progettata per aumentare il livello di sicurezza degli individui e delle organizzazioni che agisce sul fattore umano. Cyber Guru, con i suoi percorsi formativi, si rivolge a tutti coloro che non ricoprono ruoli specialistici in ambito Cyber Security.