Swascan crea una piattaforma e-learning per educare i dipendenti delle aziende alla cybersecurity
Lo scopo è di agire sulla consapevolezza di ogni dipendente e sulla capacità di riconoscere minacce potenziali e conseguentemente adottare comportamenti corretti per rafforzare il livello di sicurezza
05/07/2022 di Redazione
Il tema della formazione aziendale è oramai caposaldo culturale di ogni buona organizzazione. La necessità di aggiornarsi e di continuare a evolvere le proprie capacità è riconosciuta come uno dei fondamenti di un’impresa di successo che guarda ai propri lavoratori con un occhio di riguardo. Ma la formazione è un argomento dalle mille sfaccettature e oggi più che mai è declinata anche in awareness e comprensione dei rischi che circondano tutti noi che siamo – chi più chi meno – interfacciati in qualche modo con la rete. Nel mondo anglosassone, ogni ottobre si celebra la cybersecurity awareness month: il mese della “consapevolezza” sulla cybersecurity. Sintomo di come questo fenomeno stia diventando sempre più importante.
LEGGI ANCHE > I 623 milioni previsti dal governo per la strategia italiana di cybersicurezza
Da dove iniziare
Partiamo dalle basi. Banalmente avere consapevolezza di questo argomento implica porre maggiore attenzione a come interagiamo con la tecnologia nelle situazioni quotidiane. Essere consapevoli dei pericoli che si corrono navigando sul web, controllando la posta elettronica e interagendo online sono tutte componenti dell’awareness. È diventato best practice assodata assicurarsi che tutti considerino la cybersecurity una parte essenziale della propria mansione lavorativa. Certo, non è necessario – né tantomeno sempre applicabile – che tutti i livelli aziendali di un’organizzazione comprendano alla perfezione concetti come i firewall o tecniche l’avvelenamento della cache DNS, ma fornire a ogni dipendente le informazioni rilevanti per il suo ruolo lo aiuta a stare al sicuro online, sia al lavoro che a casa. La formazione basata sui ruoli per il personale tecnico e non tecnico è il modo migliore per preparare le persone giuste alle giuste minacce alla sicurezza informatica.
Diverse skill per diversi ruoli
La consapevolezza, naturalmente, potrebbe avere un significato diverso per la forza lavoro generale rispetto a quella dei team tecnici o IT. La gestione dei dati, le autorizzazioni e le normative sono argomenti che il team informatico deve conoscere, ma che non sono necessariamente rilevanti per il resto dell’organizzazione. Questo è un altro concetto chiave: fornire formazione appropriata a ciascun team è fondamentale per costruire un programma di sensibilizzazione alla cybersecurity che motivi un cambiamento duraturo del comportamento di tutti.
Il prezzo da pagare è sempre alto
Non è necessario ricordarlo, visto che le conseguenze di un attacco informatico sono oramai davanti agli occhi di tutti. Insomma, un cyber security incident può essere più costoso di un incidente “fisico”. Allocare budget per la formazione, strumenti o competenze in materia di cyber security rientra fermamente nella gestione del rischio, non è un “extra”. Con un numero sempre crescente di attacchi informatici ogni anno, le lacune in termini di awareness e formazione si pagano sempre più care. D’altronde, i criminali informatici trovano sempre nuovi modi per aggirare gli strumenti e le tecnologie più recenti. Solo nel 2021, l’85% dei Data Breach ha coinvolto in qualche modo il fattore umano, secondo un altro studio, oltre il 70% dei malware si è diffuso via mail… Il phishing – il metodo con cui vengono consegnate questi virus – non solo è un attacco semplice da eseguire, ma è anche a portata di ricerca su Google. Chiunque sia in grado di accedere al dark web può acquistare un kit di phishing come si farebbe con un libro su Amazon. I dipendenti si troveranno prima o poi di fronte a un incidente informatico e vorrete che siano preparati a reagire di conseguenza, segnalando le minacce al team IT o di sicurezza. Fortunatamente, la formazione può essere una difesa efficace contro gli attacchi di phishing. Per difendersi dagli attacchi di phishing e di social engineering è necessario sapere con cosa si ha a che fare. Questi possono assumere diverse forme, ma gli attacchi informatici più comuni sono le e-mail di phishing che chiedono nomi utente, password e informazioni di identificazione personale. Questo può sembrare un compito scoraggiante per qualsiasi azienda, figuriamoci per una piccola impresa. La realtà è che il costo opportunità della mancata formazione dei dipendenti è troppo alto per essere ignorato. Secondo IBM, l’anno scorso il costo medio di una violazione dei dati è stato di 4,24 milioni di dollari. Il 38% delle aziende ha perso l’attività a causa di una violazione, il che rappresenta oltre la metà delle perdite finanziarie totali. Formando la vostra forza lavoro a identificare questi attacchi, potete ridurre significativamente il rischio di un incidente o di una violazione della sicurezza. Questo può fare la differenza tra una costosa infezione da ransomware e un messaggio al reparto IT con scritto: “Questa e-mail sembra sospetta, quindi non l’ho aperta”.
Da consapevolezza a cultura
Se la consapevolezza della cybersecurity è il primo passo, perché sia davvero efficace è necessario che i dipendenti accettino e utilizzino in modo proattivo le pratiche di sicurezza informatica sia a livello professionale che personale. Le organizzazioni con una forte cultura della sicurezza informatica hanno una maggiore visibilità sulle minacce potenziali, una riduzione degli incidenti informatici e una maggiore resilienza post-attacco, oltre ad altri vantaggi misurabili. Per essere efficaci, le aziende hanno dovuto andare oltre la sensibilizzazione, assicurandosi che i dipendenti adottassero i protocolli di sicurezza come parte della cultura del luogo di lavoro. Proprio come oggi non si entra in un cantiere senza un elmetto, la creazione di una cultura della sicurezza renderà gli errori più comuni, come il riutilizzo delle password o l’apertura di file dannosi, un ricordo del passato. Affinché la cultura della sicurezza sia più efficace, è importante che la formazione sulla sicurezza sia non solo coinvolgente, ma anche rilevante per i dipendenti, in modo che comprendano l’impatto della cybersecurity sul lavoro e fuori dal lavoro.
Cosa si può fare per iniziare?
Per questo motivo Swascan ha dato vita a una piattaforma e-learning costruita ad-hoc per le aziende che necessitano di agire sulla consapevolezza di ogni dipendente e sulla sua capacità di riconoscere minacce potenziali e conseguentemente adottare comportamenti corretti per rafforzare il livello di sicurezza delle organizzazioni.
Formazione Professionale e Consapevolezza, oltre alla Tecnologia: sono queste le chiavi per una maggiore tutela del perimetro aziendale grazie al coinvolgimento di ogni singolo membro dell’organizzazione.