Applicazione pratica della Security Awareness
Sviluppare una cultura della sicurezza in azienda
La Security Awareness non finisce mai. Due specialisti spiegano in che modo un’azienda può influire positivamente sul comportamento dei collaboratori e accrescere in loro l’attenzione alla sicurezza, illustrando come funziona l’applicazione pratica della Awareness.
Testo: Andreas Heer, Immagini: Swisscom
26 settembre 2023
A livello di cultura della sicurezza, nelle aziende ha avuto luogo un cambiamento di approccio. «Solo qualche anno fa, le imprese adottavano misure di Awareness soltanto perché erano obbligate dalla compliance», ricorda Marcus Beyer, responsabile Security Awareness di Swisscom. Di conseguenza, non si andava molto più in là di una formazione sulla Awareness all’anno per lo staff. La sola conferma di partecipazione era spesso sufficiente per rispettare gli standard di certificazione. Risultato: un effetto a lungo termine sulla protezione dell’azienda piuttosto modesto.
La cultura della sicurezza evoluta
Oggi, invece, si guarda soprattutto all’impatto che i programmi di Awareness possono avere. Un esempio è Raiffeisen Svizzera. Monika Geitlinger, Information Security Officer, è la responsabile del programma di Security Awareness dell’istituto di credito: «L’obiettivo non è semplicemente mettere un segno di spunta su un requisito di compliance. Vogliamo che i nostri collaboratori sappiano valutare e gestire meglio i rischi nel mondo informatico.» Anche Marcus Beyer ne sottolinea la rilevanza a livello pratico nella quotidianità: «Faccio sempre un passo più avanti e dico che voglio un cambiamento nei comportamenti.»
«Una cultura dell’errore funzionante è importantissima per noi.»
Monika Geitlinger, Raiffeisen Svizzera
In altre parole, i collaboratori sviluppano un’attenzione alla sicurezza che applicano nel loro lavoro di tutti i giorni (al computer e non solo). Perché non si tratta solo di riconoscere le e-mail di phishing, spiega Marcus Beyer: «L’obiettivo è che i collaboratori adottino un comportamento sicuro, consapevolmente o anche inconsapevolmente: ad esempio classificare i documenti al momento dell’archiviazione oppure evitare di spedire i file in allegato ai messaggi di posta elettronica, preferendo invece l’invio di un link via e-mail.» Questo è anche un esempio perfetto dell’interazione tra essere umano e tecnologia nella cybersicurezza: l’essere umano classifica e la tecnologia adotta le opportune misure di protezione.
Per raggiungere un tale livello di maturità nella Security Awareness, però, servono adeguate risorse umane: Monika Geitlinger e Marcus Beyer sono concordi nell’affermarlo. Questa è anche una delle conclusioni del sondaggio condotto da specialisti in Awareness all’interno del SANS 2023 Awareness Report: più grande è il supporto del management e maggiore è il tempo messo a disposizione, più maturo è il programma di Awareness di un’azienda.
Misure attivanti dell’Awareness
Per conseguire la maturità desiderata e quindi un impatto decisivo nella quotidianità, entrambi gli specialisti in Awareness puntano su un ventaglio ampio e diversificato di misure nel corso di tutto l’anno. «In generale, mettiamo a disposizione informazioni su canali diversi e, quando possibile, interattivi: formazioni sotto forma di e-learning, lunch & learn, live stream, blog e ogni tanto anche una Security Escape Room», racconta Monika Geitlinger descrivendo le diverse attività.
Marcus Beyer fa ricorso a formati simili. Nella formazione sull’identificazione delle e-mail di phishing ha fatto buone esperienze con la gamification, in cui i collaboratori possono guadagnare punti supplementari giocando a individuare i messaggi fraudolenti. «Alle persone piace», sintetizza l’esperto.
Marcus Beyer pubblica anche regolarmente una videoserie su internet in cui traccia un ritratto di alcuni specialisti in cybersicurezza appartenenti a professioni diverse. «I collaboratori vogliono sapere chi è che ci protegge», racconta. «E tendono anche a replicare il comportamento delle persone ritratte.» La presentazione di modelli da imitare contribuisce così a migliorare la cybersicurezza.
Anche Monika Geitlinger ha fatto esperienze positive con la personalizzazione della cybersicurezza. «Ormai sono i collaboratori a venire da noi, ad esempio quando ci vedono all’angolo caffè. Questo produce discussioni stimolanti.» E, alla fine, effetti visibili sulla Security Awareness di tutto il personale.
Cultura della sicurezza, cultura dell’errore
Naturalmente, anche la migliore formazione sul phishing può garantire al 100% che nessuno cadrà vittima di una richiesta fraudolenta. In una situazione di questo genere occorrono misure tecniche di protezione e specialisti in cybersicurezza. Ecco perché è particolarmente importante che i collaboratori segnalino disattenzioni ed eventi sospetti. Queste informazioni, infatti, semplificano enormemente la incident response e aiutano a prevenire danni più ingenti.
«Ai collaboratori piace la gamification. Aumenta la motivazione e quindi l’impatto delle misure di sensibilizzazione.»
Marcus Beyer, Swisscom
Tutto questo, però, presuppone una cultura dell’errore in cui i collaboratori vengono motivati a segnalare questi eventi. «Una cultura dell’errore funzionante è importantissima per noi. I nostri collaboratori ci devono segnalare gli incidenti di sicurezza, anche a fatto compiuto», sottolinea Monika Geitlinger. Togliere ai collaboratori la paura di farlo è un elemento essenziale di una cultura della sicurezza. Lo conferma anche Marcus Beyer: «I collaboratori devono poter segnalare gli eventi di sicurezza senza paura e senza sensi di colpa, perché sanno che in questo modo aiutano se stessi e l’azienda.»
Awareness è approfondire
Lo sviluppo di questa cultura della sicurezza non può mai dirsi concluso, come sottolinea Monika Geitlinger: «I criminali informatici trovano modi e tecnologie sempre nuovi per attaccarci, quindi il traguardo del nostro lavoro si sposta sempre più in là e non può mai davvero dirsi raggiunto. Dobbiamo e dovremo continuamente adeguare i nostri sforzi alle nuove circostanze per non rimanere indietro in questa corsa al rilancio.»
Un altro tassello importante è il coinvolgimento del personale appartenente a tutti i settori di un’impresa. Anche i nuovi sviluppi in un’azienda devono quindi essere considerati, e qui «sviluppi» va inteso in senso assolutamente letterale: «Con la trasformazione digitale, può capitare che all’improvviso un’azienda assuma sviluppatori di software. Serve quindi una formazione sulla Awareness affinché queste figure tengano conto della cybersicurezza già nello sviluppo del codice.» Oppure il programma di Awareness coinvolge gli specialisti IT e si occupa di temi come la configurazione sicura di sistemi e piattaforme cloud. L’importanza di questo aspetto cresce di pari passo con la diffusione di ambienti ibridi e sempre più complessi.
Il cambiamento della cultura della sicurezza non può considerarsi concluso al raggiungimento di un più alto livello di maturità. Lo stesso può dirsi anche del lavoro di Monika Geitlinger e Marcus Beyer.