Gli attacchi informatici sono all’ordine del giorno e sappiamo bene che non si parla tanto della eventualità di essere attaccati, ormai data per scontata, ma di quando questo succederà, sia a livello di grande impresa che di pmi.
L’Italia è uno dei Paesi maggiormente colpiti dai criminali informatici: da noi è andato a segno nel 2022 il 7,6% degli attacchi globali, contro il 3,4% del 2021. Il numero totale di attacchi gravi andati a segno lo scorso anno è di 188, con un incremento del +169% anno su anno: un elemento allarmante anche alla luce della gravità degli attacchi, elevata o critica nell’83% dei casi, rispetto all’’80% su scala globale (fonte: Clusit).
Il Global Risks Report 2022 del World Economic Forum ha confermato che anche nel 2022, inevitabilmente, quanto si parla di attacchi informatici l’anello debole della catena è rappresentato dai dipendenti: il 95% di tutti gli incidenti di sicurezza informatica, infatti, è causato da errori umani.
Perché occorre lavorare sulla awareness dei dipendenti
Sarà capitato a tutti, per ingenuità o semplice distrazione, di aprire un allegato o cliccare su un link che successivamente si è rilevato malevolo. La situazione è peggiorata dal fatto che nella maggior parte dei casi i cyber attack restano latenti per un periodo di tempo molto lungo. Questo favorisce l’esfiltrazione di dati finalizzata alla richiesta di un riscatto, come è tipico del caso del ransomware, il tipo di attacco più diffuso.
Il Ransomware Report 2022 di Hornetsecurity, società pioniera nella Cloud Security nata nel 2007, conferma tutto questo evidenziando che il 60% degli attacchi proviene da tentativi di phishing.
A facilitare la vita ai cyber attackers è anche la diffusione del remote working, completamente sdoganato nel mondo occidentale, e del cloud: due fattori che rendono il perimetro aziendale ancora più labile e difficile da controllare. Ecco perché oggi un’impresa non può prescindere dalla scelta di tecnologie allo stato dell’arte e dalla messa in atto di una cyber hygene corretta per i propri dipendenti con l’obiettivo di migliorare la loro awareness in materia di sicurezza informatica di modo da ridurre il rischio di violazioni andate a buon fine, limitando o evitando del tutto fermi e altre spiacevoli conseguenze, anche dal punto di vista economico.
Il Security Awareness Service di Hornetsecurity può rivelarsi un alleato determinante
Senza dubbio l’implementazione di una formazione sulla Security Awareness sostenibile è una sfida troppo grande per molti team Sec-Ops, con un investimento di tempo e risorse davvero elevato. Per questo la scelta migliore è quella di adottare soluzioni che supportino questo lavoro semplificando la vita alle equipe di sicurezza: il Security Awareness Service di Hornetsecurity va proprio in questa direzione. La soluzione di nuova generazione, semplice ed intuitiva, nasce infatti per skillare i dipendenti nel contrastare gli attacchi informatici con un servizio di formazione che integra il fattore umano nel ciclo della sicurezza informatica.
Al cuore del Security Awareness Service di Hornetsecurity troviamo l’Awareness Engine, che offre una formazione su misura per il singolo utente in base al principio che ciascuno di questi debba ricevere la minore formazione necessaria possibile. Questa tecnologia consente infatti di erogare una presentazione basata sulla domanda di contenuti di e-learning rilevanti, un’opzione booster per gli utenti che richiedono un training più intensivo e una conduzione di e-training completamente automatizzata.
Il servizio di Spear Phishing, inoltre, simula attacchi sofisticati per costruire la conoscenza dei meccanismi che stanno dietro ad un attacco consentendo una formazione puntuale, anche grazie all’utilizzo di vari fattori di manipolazione psicologica, dati aziendali e informazioni sui dipendenti disponibili pubblicamente per rendere la simulazione di Phishing ancora più mirata.
Infine, l’ESI (Employee Security Index) è un benchmark di consapevolezza che misura i progressi di ciascun dipendente in maniera concreta, e consente la misurazione standardizzata e trasparente del comportamento di sicurezza a livello di azienda, gruppo e utente.