Information Technology
Come costruire un efficace programma di sensibilizzazione alla cybersicurezza secondo Fortinet
Il 2024 Cybersecurity Skills Gap Report di Fortinet mette in luce come l’87% delle aziende abbia subito lo scorso anno almeno una violazione che possa essere attribuita alla carenza di competenze informatiche. I professionisti della cybersecurity si trovano al giorno d’oggi a dover affrontare una serie di sfide continue: da un pool di minacce sempre più sofisticate alle normative relative alla conformità in continua evoluzione, fino appunto alla costante carenza di skill. Allo stesso tempo, i criminali informatici continuano ad agire. In questo contesto, i leader aziendali temono che le tattiche di attacco emergenti, in particolare quelle che coinvolgono l’Intelligenza Artificiale, saranno sempre più difficili da individuare e bloccare rispetto ai cyberattacchi “tradizionali”.
Quando si tratta di incidenti informatici, la posta in gioco è sempre più alta. Le violazioni richiedono infatti tempo e denaro per essere gestite e le figure dirigenziali sono sempre più chiamate a rispondere quando si verificano questi avvenimenti. Il Fortinet 2024 Cybersecurity Skills Gap Report, evidenzia ad esempio come il 51% degli intervistati abbia dichiarato che i direttori o i dirigenti della loro organizzazione hanno rischiato multe, carcere, perdita della posizione o del lavoro a seguito di un attacco andato a termine. La cybersecurity è oggetto di maggiore attenzione anche da parte dei board: il 72% degli intervistati ha infatti dichiarato che i membri del consiglio di amministrazione sono più attenti a questo ambito rispetto all’anno precedente. Con i team che si occupano di sicurezza alle prese con maggiori pressioni interne ed esterne, è chiaro che le organizzazioni hanno bisogno di un approccio “all hands on deck” alla gestione del rischio.
Ognuno ha un ruolo da svolgere
Un team di professionisti qualificati e avere a disposizione le tecnologie più adatte per tutelare la sicurezza sono aspetti fondamentali per la protezione di qualsiasi azienda; tuttavia, una delle migliori difese contro i malintenzionati è rappresentata dai dipendenti. Se dotati delle conoscenze adeguate, essi possono infatti rappresentare una solida prima linea di difesa contro la criminalità informatica. Considerando che lo scorso anno l’81% delle organizzazioni ha subito attacchi come malware, phishing e attacchi alle password che hanno preso di mira direttamente gli utenti, è fondamentale aiutare i lavoratori a diventare più consapevoli del cybercrime.
La formazione sulla consapevolezza della cybersecurity dovrebbe far parte della strategia di gestione del rischio di ogni azienda. La buona notizia è che la leadership organizzativa sta dando sempre più priorità alla formazione dedicata alla cybersicurezza: oltre il 60% dei leader ha infatti dichiarato che saranno introdotti programmi di sensibilizzazione e formazione sulla sicurezza per tutti i dipendenti.
Cosa dovrebbe comprendere la formazione sulla sicurezza informatica?
Che si stia sviluppando per la prima volta un programma di formazione sulla cybersecurity o che si stia ripensando un’iniziativa esistente, definire gli obiettivi può essere sicuramente un ottimo punto di partenza. Il passo successivo consiste nello stabilire format da adottare per la formazione e il relativo calendario. Condividere le idee che emergono con i colleghi di altri team e chiedere il loro feedback è una modalità valida per perfezionare il piano e identificare le persone che potranno promuovere l’iniziativa in tutta l’organizzazione.
Ogni programma di training dedicato alla consapevolezza in ambito cybersecurity dovrebbe essere unico nel suo genere e includere contenuti che siano personalizzati in base alle esigenze aziendali. Tuttavia, ci sono alcune informazioni fondamentali che ogni individuo dovrebbe possedere, indipendentemente dal settore o dall’organizzazione in cui opera. Gli argomenti essenziali da trattare nella formazione includono:
- Password: per proteggere le informazioni personali e finanziarie dai criminali informatici è fondamentale utilizzare password forti. La formazione deve quindi comprendere consigli su come creare combinazioni difficili da decifrare, nonché su come e perché utilizzare un password manager.
- Autenticazione a più fattori (MFA): questo tipo di autenticazione offre un ulteriore livello di protezione contro la criminalità informatica. Se il team che si occupa di sicurezza ha già implementato l’MFA, i dipendenti devono essere messi in grado di capire perché essa sia efficace e come usarla.
- Attacchi di social engineering, compreso il phishing: il phishing è la tattica principale utilizzata dai malintenzionati per infiltrarsi nelle reti aziendali e lanciare attacchi con ransomware e malware. Tutti i dipendenti devono essere sapere come riconoscere i tentativi di social engineering e conoscere le misure da adottare qualora pensino di essere un target.
- Aggiornamenti software: uno dei modi più semplici per ridurre il rischio di cadere vittima della criminalità informatica è quello di mantenere aggiornati software e applicazioni. I dipendenti devono sapere perché sia importante applicare rapidamente le patch e la policy della loro organizzazione in materia di aggiornamenti software.
Le iniziative dedicate alla formazione e alla sensibilizzazione in campo informatico sono vantaggiose per tutti
Le iniziative dedicate alla formazione e alla sensibilizzazione sulla sicurezza svolgono un ruolo fondamentale nella lotta al cybercrime. Esse aiutano i responsabili di aree quali l’IT, la sicurezza e la conformità a creare una cultura più consapevole, in cui i lavoratori abbiano maggiori probabilità di riconoscere ed evitare gli attacchi.
Alcune organizzazioni scelgono di sviluppare internamente la formazione. Ma per coloro che non hanno le risorse per farlo, sono disponibili offerte di alta qualità basate su SaaS, come il servizio Security Awareness and Training di Fortinet, che forniscono un curriculum completo e tempestivo, L’offerta di Fortinet comprende una dashboard con le attività delle campagne e degli utenti, che offre una reportistica immediata, un’interfaccia amministrativa intuitiva e la possibilità di personalizzare o co-brandizzare il servizio.
Con l’ampliarsi del panorama delle minacce, è il momento di creare o riprogettare il programma di sensibilizzazione e formazione sulla cybersecurity. Coinvolgere l’intera organizzazione nelle attività ad essa correlate è un importante vantaggio contro il cybercrime.