Applicazione pratica della Security Awareness

Sviluppare una cultura della sicurezza in azienda

La Security Awareness non finisce mai. Due specialisti spiegano in che modo un’azienda può influire positivamente sul comportamento dei collaboratori e accrescere in loro l’attenzione alla sicurezza, illustrando come funziona l’applicazione pratica della Awareness.

Testo: Andreas Heer, Immagini: Swisscom
26 settembre 2023, aggiornato il 24 luglio 2024

Cyber incidents can be avoided better, detected earlier and averted in a more targeted manner if all employees feel involved in cybersecurity.

A livello di cultura della sicurezza, nelle aziende ha avuto luogo un cambiamento di approccio. «Solo qualche anno fa, le imprese adottavano misure di Awareness soltanto perché erano obbligate dalla compliance», ricorda Marcus Beyer, responsabile Security Awareness di Swisscom. Di conseguenza, non si andava molto più in là di una formazione sulla Awareness all’anno per lo staff. La sola conferma di partecipazione era spesso sufficiente per rispettare gli standard di certificazione. Risultato: un effetto a lungo termine sulla protezione dell’azienda piuttosto modesto.

Formazione di sensibilizzazione con impatto

Oggi, invece, si guarda soprattutto all’impatto che i programmi di Awareness possono avere. Un esempio è Raiffeisen Svizzera. Monika Geitlinger, Information Security Officer, è la responsabile del programma di Security Awareness dell’istituto di credito: «L’obiettivo non è semplicemente mettere un segno di spunta su un requisito di compliance. Vogliamo che i nostri collaboratori sappiano valutare e gestire meglio i rischi nel mondo informatico.» Anche Marcus Beyer ne sottolinea la rilevanza a livello pratico nella quotidianità: «Faccio sempre un passo più avanti e dico che voglio un cambiamento nei comportamenti.»

Monika Geitlinger, Raiffeisen Schweiz

«Una cultura dell’errore funzionante è importantissima per noi.»

Monika Geitlinger, Raiffeisen Svizzera

In altre parole, i collaboratori sviluppano un’attenzione alla sicurezza che applicano nel loro lavoro di tutti i giorni (al computer e non solo). Perché non si tratta solo di riconoscere le e-mail di phishing, spiega Marcus Beyer: «L’obiettivo è che i collaboratori adottino un comportamento sicuro, consapevolmente o anche inconsapevolmente: ad esempio classificare i documenti al momento dell’archiviazione oppure evitare di spedire i file in allegato ai messaggi di posta elettronica, preferendo invece l’invio di un link via e-mail.» Questo è anche un esempio perfetto dell’interazione tra essere umano e tecnologia nella cybersicurezza: l’essere umano classifica e la tecnologia adotta le opportune misure di protezione.

Per raggiungere un tale livello di maturità nella Security Awareness, però, servono adeguate risorse umane: Monika Geitlinger e Marcus Beyer sono concordi nell’affermarlo. Questa è anche una delle conclusioni del sondaggio condotto da specialisti in Awareness all’interno del SANS 2023 Awareness Report: più grande è il supporto del management e maggiore è il tempo messo a disposizione, più maturo è il programma di Awareness di un’azienda.

Misure attivanti dell’Awareness

Per conseguire la maturità desiderata e quindi un impatto decisivo nella quotidianità, entrambi gli specialisti si affidano a un'ampia gamma di diversi tipi di formazione di sensibilizzazione durante l'anno. «In generale, mettiamo a disposizione informazioni su canali diversi e, quando possibile, interattivi: formazioni sotto forma di e-learning, lunch & learn, live stream, blog e ogni tanto anche una Security Escape Room», racconta Monika Geitlinger descrivendo le diverse attività.

Marcus Beyer fa ricorso a formati simili. Nella formazione sull’identificazione delle e-mail di phishing ha fatto buone esperienze con la gamification, in cui i collaboratori possono guadagnare punti supplementari giocando a individuare i messaggi fraudolenti. «Alle persone piace», sintetizza l’esperto.

Marcus Beyer pubblica anche regolarmente una videoserie su internet in cui traccia un ritratto di alcuni specialisti in cybersicurezza appartenenti a professioni diverse. «I collaboratori vogliono sapere chi è che ci protegge», racconta. «E tendono anche a replicare il comportamento delle persone ritratte.» La presentazione di modelli da imitare contribuisce così a migliorare la cybersicurezza.

Anche Monika Geitlinger ha fatto esperienze positive con la personalizzazione della cybersicurezza. «Ormai sono i collaboratori a venire da noi, ad esempio quando ci vedono all’angolo caffè. Questo produce discussioni stimolanti.» E, alla fine, effetti visibili sulla Security Awareness di tutto il personale.

Cultura della sicurezza, cultura dell’errore

Naturalmente, anche la migliore formazione sul phishing può garantire al 100% che nessuno cadrà vittima di una richiesta fraudolenta. In una situazione di questo genere occorrono misure tecniche di protezione e specialisti in cybersicurezza. Ecco perché è particolarmente importante che i collaboratori segnalino disattenzioni ed eventi sospetti. Queste informazioni, infatti, semplificano enormemente la incident response e aiutano a prevenire danni più ingenti.

Marcus Beyer, Swisscom

«Ai collaboratori piace la gamification. Aumenta la motivazione e quindi l’impatto delle misure di sensibilizzazione.»

Marcus Beyer, Swisscom

Tutto questo, però, presuppone una cultura dell’errore in cui i collaboratori vengono motivati a segnalare questi eventi. «Una cultura dell’errore funzionante è importantissima per noi. I nostri collaboratori ci devono segnalare gli incidenti di sicurezza, anche a fatto compiuto», sottolinea Monika Geitlinger. Togliere ai collaboratori la paura di farlo è un elemento essenziale di una cultura della sicurezza. Lo conferma anche Marcus Beyer: «I collaboratori devono poter segnalare gli eventi di sicurezza senza paura e senza sensi di colpa, perché sanno che in questo modo aiutano se stessi e l’azienda.»

Awareness è approfondire

Lo sviluppo di questa cultura della sicurezza non può mai dirsi concluso, come sottolinea Monika Geitlinger: «I criminali informatici trovano modi e tecnologie sempre nuovi per attaccarci, quindi il traguardo del nostro lavoro si sposta sempre più in là e non può mai davvero dirsi raggiunto. Dobbiamo e dovremo continuamente adeguare i nostri sforzi alle nuove circostanze per non rimanere indietro in questa corsa al rilancio.»

Un altro tassello importante è il coinvolgimento del personale appartenente a tutti i settori di un’impresa. Anche i nuovi sviluppi in un’azienda devono quindi essere considerati, e qui «sviluppi» va inteso in senso assolutamente letterale: «Con la trasformazione digitale, può capitare che all’improvviso un’azienda assuma sviluppatori di software. Serve quindi una formazione sulla Awareness affinché queste figure tengano conto della cybersicurezza già nello sviluppo del codice.» Oppure il programma di Awareness coinvolge gli specialisti IT e si occupa di temi come la configurazione sicura di sistemi e piattaforme cloud. L’importanza di questo aspetto cresce di pari passo con la diffusione di ambienti ibridi e sempre più complessi.

Il cambiamento della cultura della sicurezza non può considerarsi concluso al raggiungimento di un più alto livello di maturità. Lo stesso può dirsi anche del lavoro di Monika Geitlinger e Marcus Beyer.

Per saperne di più