Consapevolezza del rischio cyber: un percorso didattico alla security awareness in azienda - Cyber Security 360

SICUREZZA INFORMATICA

Consapevolezza del rischio cyber: un percorso didattico alla security awareness in azienda

Per una piena consapevolezza del rischio cyber occorre adottare un approccio innovativo e provvedere ad una formazione continuativa e distribuita costantemente nel tempo che metta al corrente gli utenti aziendali delle nuove e sempre più sofisticate tecniche di attacco

12 Nov 2020
B
Michela Bonora

Cyber Security Team Leader di Securbee e membro delle Women for Security


La security awareness è un processo cha ha lo scopo di migliorare la consapevolezza del rischio cyber da parte dei dipendenti in materia di sicurezza informatica. Gli utenti sono chiamati ad essere consci dei rischi provenienti dalla rete e consapevoli del danno che un loro errato comportamento può portare a livello aziendale.

Questo cambio culturale si realizza con un approccio didattico che riproduce situazioni a rischio, simulazioni di attacchi e un’indagine continuativa dei progressi.

Lo scopo è che i nostri utenti imparino a:

  1. saper gestire, archiviare e proteggere il dato aziendale;
  2. capire perché devono essere partecipanti attivi alla conformità complessiva del GDPR;
  3. riconoscere le minacce interne;
  4. identificare URL pericolosi;
  5. riconoscere app non affidabili per il mondo mobile;
  6. evitare violazioni della sicurezza fisica;
  7. condividere in modo sicuro sui social;
  8. mantenere sicuri i dati anche quando si lavora fuori dall’ufficio;
  9. riconoscere una mail di phishing;
  10. evitare tecniche comuni di ingegneria sociale;
  11. gestire in sicurezza le password aziendali rendendole conformi.

Approccio didattico alla consapevolezza del rischio cyber

Cominciamo a parlare di e-mail di phishing: nonostante il principale canale di attacco siano i messaggi di posta elettronica, gli investimenti a protezione delle stesse sono ancora scarsissimi e largamente insufficienti.

Questo tipo di attacco risulta essere tra i più dannosi per aziende pubbliche e private, senza discriminazione sulla dimensione.

Le tecniche del phishing unite a strategie di social engineering tendono a sfruttare le vulnerabilità della psicologia umana. È per questo motivo che la security awareness deve agire a un livello più istintivo, deve diventare la “palestra” in cui gli utenti allenano la prontezza e la reattività, sfruttando Il concetto chiave che sbagliando si impara.

In realtà difficilmente si parla solo di phishing perché gli attacchi via e-mail si sono sviluppati in queste direzioni:

  • attacchi mirati o spear phishing verso un individuo o un’azienda. Lo scopo di questi attacchi è tipicamente quello di ottenere accesso ad informazioni riservate di tipo finanziario o a segreti industriali;
  • attacchi via SMS o smishing. Facciamo un esempio: smishing è un messaggio che afferma di provenire dalla propria banca e che chiede informazioni finanziarie o personali come il numero di conto o di carta di credito. Il cyber crimine mirato ai cellulari si sta evolvendo a velocità impressionanti, proprio come l’uso dei cellulari stessi. Il problema che c’è a valle di questo smishing è che quando le persone usano il cellulare sono distratte e di fretta, spengono il cervello e sono meno diffidenti. Questo implica che si abbassa la guardia e che si risponde senza pensare;
  • attacchi via telefonia o vishing: la truffa sfrutta la persuasione tipica delle tecniche di Social Engineering ed è effettuata tramite servizi di telefonia. Un esempio: gli aggressori effettuano delle telefonate simulando l’esistenza di un call center, il finto operatore ci avvisa che i nostri dati sono stati compromessi e che lo scopo della telefonata è quello di aiutarci. Si fa leva sulla fiducia che l’essere umano tende a riporre in una persona che sembra essere autorizzata a richiedere informazioni;
  • attacco con impersonificazione o Business Email Compromise o Truffa del Ceo: i criminali fingono di essere il CEO dell’azienda per muovere i soldi aziendali.

L’attacco sempre più utilizza tecniche di ingegneria sociale resa possibile dalla sovraesposizione enorme dei nostri dati amplificata dai social. Chi vuole attaccarci ci segue sui social, segue i nostri collaboratori e ricostruisce le nostre abitudini, i nostri modi di scrivere le e-mail.

Il social engineer è una persona paziente, che sa aspettare settimane o anche mesi prima di sferrare l’attacco.

WHITEPAPER
Gestione dei contratti e GDPR: guida all’esternalizzazione di attività dei dati personali
Legal

Il primo step del social engineer è raccogliere tutte le informazioni possibili sulla vittima: dati e interessi personali, numero di telefono, e-mail, rete di contatti, organigramma aziendale. Ogni singola informazione reperibile in rete può sembrare insignificante ma è come una tessera di un puzzle: tutte insieme permettono al criminale di definire un identikit minuzioso, personale e lavorativo della vittima.

Successivamente, il social engineer prende contatto con la vittima cercando di creare una relazione di fiducia sfruttando le informazioni raccolte nella prima fase.

Lo scopo è manipolare la vittima per farle compiere un’azione malevola senza che lei se ne accorga.

Pensiamo alla truffa del falso CEO: l’attaccante individua tramite social una figura all’interno dell’azienda che ha potere di effettuare dei pagamenti. Facendo leva sull’urgenza, sulla confidenzialità, e sulla riservatezza dell’operazione il finto CEO convince la vittima a movimentare del denaro.

Conclusioni

Per combattere queste tecniche sempre più fini di manipolazioni occorre un approccio innovativo, una formazione continua che metta al corrente gli utenti delle nuove tecniche di attacco. Ed è per questo che la formazione deve essere continuativa e distribuita costantemente nel tempo.

Il punto di forza di questa formazione è che gli argomenti trattati non servono solo a proteggere il dipendente nella sua dimensione professionale ma anche nella sua dimensione privata.

Ricordiamoci che non possiamo proteggerci da quello che non conosciamo e solo un aumento di consapevolezza del rischio cyber può rendere il mondo più sicuro.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5