Un anno di sensibilizzazione? Fatto!

 

 
Supponiamo di arrivare in un’organizzazione senza strumenti tecnologici di protezione. Iniziamo quindi con l’installazione di strumenti Antivirus, Antispam, Firewall, IDS/IPS, DLP, ecc. Dopo un anno di duro lavoro, implementando, configurando e mantenendo gli strumenti, raggiungiamo il livello di sicurezza desiderato. E abbandoniamo tutto. Non effettuiamo più la manutenzione di nessuno strumento, sospendiamo gli aggiornamenti, smettiamo di pagare le licenze software e riduciamo persino i computer. Ci dimentichiamo della loro esistenza.
 
Suona intelligente?
 
Altrettanto buona è l’idea di attuare un programma di sensibilizzazione, portare il livello di rischio dell’organizzazione a un punto accettabile, apportare valore alle persone della nostra organizzazione e, dopo un anno, dare per terminata la gestione.
 
Vediamo perché:
 

Gestione del rischio

Mediante la sensibilizzazione, viene gestito uno dei principali rischi di cybersicurezza che devono affrontare le organizzazioni: l’ingegneria sociale.
 
Praticamente tutti i rapporti dell’ultimo decennio menzionano il Phishing come la porta di accesso per oltre il 90% dei cyberattacchi. Non importa a quale regione si riferisca il rapporto né quale organizzazione lo elabori né l’anno che analizzi. Il Phishing è il problema principale.
 
Se gli strumenti tecnologici sono ogni giorno più efficienti, le loro tecniche più elaborate (Heuristic-based detection, Signature-based detection, Behavioral detection, Cloud antivirus detection, Sandbox detection) e fanno persino uso di Machine Learning, perché il problema si mantiene o cresce anno dopo anno?
 
I cybercriminali prendono direttamente di mira le persone e, in questo modo, aggirano le misure di protezione tecnologiche. Il rischio esiste, sta succedendo ed è pericoloso. I costi tecnologici e di business in cui le organizzazioni possono incorrere a causa di un attacco di ingegneria sociale sono sufficienti per interromperne il funzionamento e persino provocarne il fallimento.
 
E come gestiamo un rischio del genere?
 
Come gestiamo tutti i rischi. È necessario misurare il livello di esposizione attuale e intraprendere azioni per portarlo ad un livello desiderato. Una volta lì, dobbiamo continuare a misurarlo e a mantenerlo nel punto desiderato in modo continuo. A questo serve esattamente un programma di sensibilizzazione.
 
Se lo metti in atto per un periodo e poi lo lasci, come fai a sapere qual è l’attuale livello di esposizione della tua organizzazione a un attacco di ingegneria sociale? Come fai a tenerlo basso? Quali azioni puoi intraprendere nei confronti delle persone con scoring di rischio alto? Dove va finire l’investimento fatto nel periodo in cui hai sensibilizzato?
 
 
 

Cultura della sicurezza

Quando sensibilizziamo, uno dei principali obiettivi strategici del programma è quello di sviluppare una cultura della sicurezza all’interno dell’organizzazione.
 
Cosa significa questo?
 
Una cultura della sicurezza è quella in cui gli utenti trovano nella sicurezza un valore aggiunto per la loro vita personale e aziendale. L’area Cybersecurity fornisce informazioni utili e l’utente le riconosce come tali, tenendo conto degli aspetti di sicurezza nella sua vita quotidiana (sia all’interno che all’esterno dell’organizzazione). La persona dimostra abitudini sicure nelle piccole azioni di tutti i giorni, come segnalare e-mail sospette, non scaricare file inaspettati, utilizzare password forti o l’autenticazione a due fattori, bloccare lo schermo prima di alzarsi dalla scrivania e così via.
 
Come si ottiene?
 
Trasmettendo contenuti di qualità attraverso diversi mezzi (Video, Videogiochi, Moduli interattivi, ecc.), aggiornati, incentrati sul rinforzo positivo e sull’apporto di valore alla persona.
 
Come si misura?
 
In modo oggettivo, attraverso la valutazione dei comportamenti degli utenti (tramite strumenti di simulazione) e delle loro conoscenze e opinioni (esami e sondaggi).
 
Per ottenere un cambiamento di cultura è necessario costruire sul cambiamento, stabilire processi di miglioramento continuo e ancorare i cambiamenti nella cultura aziendale.
 
Quanto tempo ci vuole?
 
Non dobbiamo vedere la cultura della sicurezza come un progetto da realizzare in un certo periodo di tempo. Una cultura della sicurezza si sviluppa e si mantiene ogni giorno. E questo ha molto a che fare con il fatto che stiamo lavorando con persone:
  • I membri del team cambiano, c’è il turnover e anche i nuovi dipendenti devono essere sensibilizzati.
  • Le persone dimenticano i concetti appresi e perdono le abitudini se non vengono rafforzate.
  • Senza stimoli, le persone non rimangono attente ai rischi.
 
Quindi, proprio come un rischio deve essere gestito su base continuativa, una cultura della sicurezza deve essere mantenuta giorno per giorno.
 

Aggiornamento

Tornando all’esempio iniziale: Perché aggiorniamo le soluzioni tecnologiche dell’organizzazione? Perché il Malware si evolve, le tecniche di evasione migliorano, si scoprono nuove vulnerabilità, ecc.
 
Perché allora non mantenere sempre aggiornato il livello umano?
 

 
È il livello più attaccato dai cybercriminali. Non dovrebbe essere il livello più forte? Dipende da noi.
 
I cybercriminali sono originali, intelligenti e davvero creativi. Inoltre, sono altamente motivati perché vedono risultati molto redditizi. Gli utenti devono essere al corrente di tutte le novità su di loro, al fine di rilevare inganni e prevenire problemi di sicurezza.
 

Regolamenti e Normative

Attualmente, molte normative richiedono di sensibilizzare gli utenti, e non una tantum. Inoltre, le stesse normative vengono aggiornate e modificate nel tempo, ed è necessario adeguarsi per continuare a rispettarle.
 

Immagine dell’area Sicurezza

La sensibilizzazione ha il potere di migliorare l’immagine che gli utenti hanno dell’area Cybersecurity dell’organizzazione. Gli utenti smettono di percepire i controlli come ostacoli nel loro lavoro quotidiano e trovano un alleato nell’immagine del CISO e della sua area, sia per la loro vita personale che per quella lavorativa.
 
Se dopo un periodo di sensibilizzazione le azioni cessano bruscamente, l’immagine dell’area peggiorerà, poiché ha fatto qualcosa di apprezzato dalle persone e poi ha smesso di farlo. Ci saranno persone che si aspettano una frequenza nella comunicazione e alla fine dimenticheranno l’aiuto che hanno trovato nell’area.
 

Idee finali

I rischi esistono perché i fattori che li provocano sono al di fuori del nostro controllo diretto e hanno una certa probabilità di verificarsi.
 
La decisione di agire su uno dei rischi più rilevanti per la cybersicurezza mediante un processo di Hardening degli Utenti è, oggi più che mai, un punto immancabile nella nostra strategia di sicurezza.
 
Ma non perdiamo di vista il problema a cui siamo di fronte. Se sensibilizziamo per un anno, due o tre, e poi abbandoniamo il processo, i fattori di rischio rimarranno lì, e la probabilità che colpiscano la nostra organizzazione aumenterà man mano che le azioni che eseguiamo si diluiscono nel tempo.
 
Hai sensibilizzato per un anno e hai dato per risolto il problema? Congratulazioni! Non gestisci più il principale rischio di cybersicurezza e presto la tua organizzazione sarà vittima di Phishing (o forse lo è già).
 
 

Posts Relacionados:

← Entrada más reciente Página Principal Entrada más antigua →

0 comentarios: