Continuano gli appuntamenti con i consigli di Sophos, specializzata nella protezione delle reti e dell’endpoint, nel mese della sicurezza informatica. Il secondo spunto è proposto da Craig Jones, Cyber Security Manager di Sophos, che sul blog dell’azienda dedica un’interessante riflessione al tema della sicurezza informatica in una realtà come Sophos, che nel settore è da sempre in prima linea contro i cyber-criminali.
Sophos è un’azienda uguale a qualunque altra ed in quanto tale ha le stesse esigenze di proteggersi dai pericoli del Web. Diventa imprescindibile fornire ai dipendenti gli strumenti per tutelarsi senza però limitare la libertà di svolgere efficacemente il loro lavoro.
Chi lavora vuole garantire ai propri colleghi e ai clienti il massimo del supporto e dell’efficienza, ma così facendo c’è il rischio di incorrere in comportamenti poco sicuri e dunque offrire ai cyber criminali comodi accessi alla rete e ai dati sensibili dell’azienda, con conseguenze potenzialmente devastanti.
Chi attacca sfrutta infatti le debolezze della natura umana come la curiosità o la distrazione, peculiarità che naturalmente non affliggono le macchine e che possono indurre l’utente a commettere errori di valutazione dannosi per la sicurezza sua e dell’azienda.
La miglior difesa da questi attacchi di tipo social engineering è una giusta combinazione di controllo e consapevolezza che prende il via da una semplice policy che fornisca indicazioni chiare per tutelare la sicurezza, supportata da un’adeguata campagna formativa.
A chi posso chiedere aiuto?
Di fondamentale importanza per tutte le aziende è prevedere un singolo riferimento al quale i dipendenti possano rivolgersi per chiedere spiegazioni, segnalare problemi, condividere dubbi legati alla sicurezza. Spesso i più grossi incidenti in questo ambito nascono da un episodio apparentemente insignificante e sottovalutato ed è dunque fondamentale comunicare efficacemente a tutta l’azienda i contatti della persona selezionata per questo compito.
Educare attraverso la consapevolezza
In Sophos esiste una campagna interna di educazione chiamata “I 7 peccati capitali della sicurezza” che punta a condividere con i dipendenti le principali tematiche legate al tema della security: dal phishing alla gestione delle password fino alla gestione sicura della condivisione dei documenti.
Una campagna recente promossa in azienda “Non lasciare che i tuoi dati vengano…rapiti: cripta!” è stata lanciata in concomitanza con il lancio di Sophos SGN 8 file-level encryption product.
Grazie a queste iniziative, tutti dipendenti Sophos vengono informati tramite post sul blog, locandine negli uffici e banner in merito ai rischi nei quali possono incorrere e sugli strumenti per proteggersi efficacemente.
Non solo per i nuovi arrivati
La formazione in ambito sicurezza e il rafforzamento della consapevolezza dei rischi legati ad un uso imprudente di web e tecnologia non dovrebbero essere appannaggio esclusivo dei nuovi arrivati in azienda né tanto meno venire percepite come una pratica da sbrigare in fretta per rispettare la conformità alle normative di legge.
Si tratta invece di un processo che deve essere continuativo e che va comunicato attraverso canali diversificati al fine di mantenere viva l’attenzione dei dipendenti.
Phishing
Una delle tecniche che in Sophos viene utilizzata maggiormente per rafforzare la consapevolezza dei dipendenti è rappresentata dai “phishing test”. Basati su reali minacce ricevute dal nostro team per la sicurezza, questi test replicano domini simili a quelli di nostra proprietà. Tendenzialmente viene eseguito un test al mese e chi cade in trappola riceve una sessione di formazione ad hoc per chiarire le implicazioni che un comportamento imprudente può avere per sé e per l’azienda.
Chi lavora in Sophos è incoraggiato a segnalare tempestivamente agli esperti di sicurezza dell’azienda eventuali anomalie o potenziali rischi per la sicurezza. Ciò è reso possibile da un semplicissimo meccanismo per la segnalazione, che include un pulsante di Outlook per inoltrare direttamente tali presunte minacce informatiche al team responsabile del controllo e della verifica.
Password davvero sicure
In Sophos è disponibile anche un programma di revisione delle password: viene promosso l’utilizzo di password con requisiti idonei a resistere agli attacchi dei cyber-criminali e viene caldamente consigliato l’utilizzo di applicazioni per la gestione automatica delle password. Qualunque utente interno all’azienda utilizzi password ritenute deboli dagli esperti viene invitato ad approfondire la campagna dedicata proprio al ruolo chiave che le password rivestono nella tutela dei dati.
Questo è solo un assaggio….
…quanto descritto rappresenta solo una piccola parte del modo in cui viene sviluppata la cultura della sicurezza all’interno di Sophos. Ciò che è fondamentale ribadire è che si tratta di un processo costante e non semplicemente di un compito da smarcare velocemente e distrattamente.