In tema di security awareness una premessa è d’obbligo. I CISO oggi non stanno vivendo un momento tranquillo, tutt’altro. Secondo la recente ricerca Voice of the CISO di Proofpoint, di fronte a un panorama di attacchi in costante mutazione, il 64% dei CISO italiani si sente a rischio di subire un cyberattacco materiale nei prossimi 12 mesi.
Elemento fondamentale di questa preoccupazione è la preparazione delle proprie organizzazioni: il 63% dei CISO italiani ritiene che la propria organizzazione sia impreparata a far fronte a un cyberattacco mirato nel corso di quest’anno.
Se consideriamo che Il 97% delle minacce informatiche richiede un intervento umano per la sua attivazione, comprendiamo perché il tema della formazione degli utenti a livello di sicurezza sia ampiamente dibattuto. La consapevolezza dei dipendenti, però, non sempre porta a un cambiamento comportamentale: mentre il 54% degli intervistati ritiene che i dipendenti comprendano il loro ruolo nel proteggere la loro azienda dalle minacce informatiche, il 50% dei CISO italiani considera ancora l’errore umano la più grande vulnerabilità della loro organizzazione.
I CISO italiani hanno segnalato che non avere una password sicura (non cambiandola o riutilizzandola), la fuga di dati intenzionale (attacco da parte di insider) ed essere colpiti da email di phishing rappresentano i modi più probabili in cui i dipendenti mettono a rischio la loro azienda. Più in generale, i CISO indicano Cloud Account Compromise (account O365 o G suite compromessi, 37%), attacchi DDOS (35%) e Business Email Compromise (31%) come i tre principali tipi di attacchi da affrontare. In particolare, Cloud Account e Business Email Compromise fanno riferimento alla email, ancora di gran lunga il canale di comunicazione più usato in ogni organizzazione.
Security awareness in Italia, il caso dell’Aeroporto di Bologna
Come sottolineato in una nota ufficiale da Luca Maiocchi, Country Manager per l’Italia di Proofpoint: «Formazione e consapevolezza alla sicurezza sono temi riconosciuti di grande rilievo anche sul mercato italiano. La nostra esperienza globale, abbinata a una piattaforma flessibile e completamente personalizzabile ci rende di gran lunga i leader sul mercato, con oltre 150 clienti italiani della piattaforma Proofpoint Security Awareness Training (PSAT), capaci di migliorare il loro status di sicurezza non solo sensibilizzando il personale, ma innescando un cambiamento duraturo nei comportamenti, con l’obiettivo finale di innalzare il livello di protezione della struttura».
Tra le realtà locali, spicca il caso dell’Aeroporto di Bologna, che ha scelto la piattaforma PSAT per la sua semplicità di utilizzo e per la possibilità da parte del team IT dell’Aeroporto di gestire direttamente i contenuti, personalizzando ad hoc le singole azioni. È stato avviato un programma di formazione e parallelamente sono stati condotti test tra i dipendenti per verificarne il livello di attenzione e consapevolezza in particolare rispetto al phishing, l’arma che sempre più spesso i cybercriminali utilizzano per colpire le loro vittime in azienda.
Per Luigi Ricchi, Information Security Manager, Aeroporto di Bologna: «In tema di cyber security, abbiamo intrapreso un percorso che mette tutti i dipendenti al centro del processo, e non solamente di quelli che si occupano di tecnologia. Le persone sono diventate la prima linea di difesa, per questo formazione e consapevolezza sono fondamentali, perché il comportamento di ognuno può fare la differenza. Con Proofpoint abbiamo a disposizione uno strumento potente ed efficace per potere migliorare in modo continuativo i livelli di security awareness attraverso la formazione e la misurazione continua».
Consapevolezza e conoscenza da parte dell’utente sono elementi fondamentali per ridurre il rischio di violazioni e perdite di dati e supportare pratiche email sicure. Utenti ben formati sono in grado di riconoscere, evitare e segnalare contenuti sospetti e dannosi trovati in email, testi o link web.
Frost & Sullivan ha recentemente pubblicato il report Frost & Sullivan Frost RadarTM: Security Awareness Training Market 2021, che analizza il mercato globale della formazione sulla consapevolezza della sicurezza in termini di crescita e innovazione, per aiutare le organizzazioni a selezionare la soluzione giusta per le loro esigenze e in tema di security awareness training ha riconosciuto Proofpoint come leader.
L’innovazione è essenziale per le aziende che lavorano per ridurre il rischio, promuovendo un cambiamento positivo del comportamento, permettendo agli utenti di identificare le tecniche ingannevoli e in costante evoluzione dei cybercriminali, e sviluppando una cultura della sicurezza che trasforma gli utenti da obiettivi a difensori. In un campo che includeva più di 16 player globali di mercato, l’analisi di Frost & Sullivan ha dato a Proofpoint il punteggio più alto nell’Innovation Index e come leader nel Growth Index.