Essere consapevoli dell’esistenza di un reale pericolo e delle conseguenze che questo comporta a più livelli, rappresenta – esso stesso – uno strumento per difendersene, per proteggersi.
Accade anche nell’ambito della sicurezza informatica, dove la cyber security awareness, sensibilizzando gli utenti, rendendoli consapevoli circa le tipologie, i metodi e gli impatti dei cyber attack ai danni di computer, server, reti, dispositivi mobili e dati aziendali, mira a elevare il livello di sicurezza dell’intera organizzazione e, dunque, del suo business. Vediamo in che modo questo è reso possibile.
Cos’è la cyber security awareness
La traduzione letterale dell’espressione “cyber security awareness” rimanda al concetto di consapevolezza di quelli che sono le caratteristiche, i contenuti e le criticità della sicurezza IT all’interno delle strutture aziendali. Consapevolezza che va acquisita attraverso un’informazione e una formazione puntuali e costanti destinate ai dipendenti, considerati figure centrali nel tradurre in pratica quotidiana quanto contenuto nelle policy di security aziendale.
Purtroppo, infatti – per semplice disattenzione, dimenticanza, non piena comprensione o addirittura per totale mancanza di conoscenza relativa alle misure di sicurezza da adottare – accade che il dipendente, senza volerlo, si trovi ad abilitare un accesso illecito alla rete aziendale, cliccando banalmente su un link contenuto in un messaggio di posta elettronica sospetto, aprendo un allegato proveniente da un mittente sconosciuto oppure scaricando del materiale ritenuto non sicuro.
Tuttavia, la cyber security awareness non riguarda solo i dipendenti, bensì tutto il personale, compresi il management e le figure direzionali. Pensare il contrario, equivale a una visione limitata della sicurezza, che non tiene conto di tutte le sue dinamiche e di tutti i suoi attori, inclusi coloro i quali – proprio per l’alta carica che ricoprono e per l’elevato livello di responsabilità – fanno ampio uso di dispositivi mobili contenenti una vasta mole di informazioni sensibili relativi all’azienda e al suo business e che, soggetti a frequenti spostamenti, si avvalgono spesso (e senza conoscerne il livello di protezione) di infrastrutture pubbliche per l’accesso wireless a Internet, col rischio di incorrere in attacchi esterni volti al furto di dati.
Dunque, tutti in azienda, devono poter divenire consapevoli circa le diverse tipologie di minacce ai danni della cyber security, i loro impatti sull’operatività dell’azienda, sulla continuità dei servizi erogati, sul business e sulla privacy e la riservatezza dei dati e circa le misure di difesa da adottare.
A seconda del tipo di azienda e delle sue peculiarità sotto il profilo organizzativo, l’informazione e la formazione possono seguire canali differenti, che vanno dalla didattica in aula a cura di formatori interni o esterni all’azienda, a programmi di e-learning specificatamente sviluppati in base al livello generale di preparazione del personale e a tecniche di gamification, fino alla messa a punto di materiale informativo ad hoc – erogato per mezzo di newsletter o mediante la Intranet aziendale – incentrato su temi precisi definiti periodicamente.
I contenuti dovranno innanzitutto partire dalle basi, spiegando quali sono i cyber attack più comuni, come poterli identificare e come vanno protetti computer e dispositivi mobili utilizzati in azienda, come vanno rese inviolabili le proprie credenziali di accesso e le informazioni personali. Successivamente, ci si potrà, invece, focalizzare su tematiche più complesse, che concernono, ad esempio, le concrete soluzioni di controllo e prevenzione, nonché di risposta efficace agli attacchi.
L’obiettivo principe è quello di far sì che tutti, in azienda – indipendentemente dai singoli ruoli e dalle singole mansioni – si impossessino delle competenze e dei metodi di base della sicurezza informatica, atti a fare prevenzione e – in caso di criticità – a difendersi. Ma non solo.
A un livello più profondo, lo scopo della cyber security awareness è portare la cultura della cyber security nelle aziende, rendendo gli utenti più responsabili sul tema, motivandoli a un atteggiamento più attivo nei confronti delle possibili minacce alle quali essi stessi – in quanto parte del “sistema azienda” – sono esposti.
Le minacce da cui difendersi
Conoscere il male per potersi difendere: questo il principio cardine della cyber security awareness. E il male, in questo caso, è dato dalle minacce alla sicurezza IT, tra cui – solo per citare alcuni esempi – la più comune è il malware, il cui nome (contrazione di “malicious software”, ossia “software malevolo”) ne contiene l’obiettivo.
Si tratta, in sostanza, di un software – in molti casi fatto circolare mediante allegati email o download apparentemente insospettabili – finalizzato alla messa fuori uso del computer della vittima. Ne esistono di diversi tipi, tra i quali ricordiamo i virus e i trojan: programma dal codice malevolo in grado di infettare i file all’interno del sistema in cui riesce a penetrare, il primo, e software malevolo nascosto all’interno di un software all’apparenza innocuo, il secondo.
Spyware, invece, è un’altra pericolosa tipologia di malware capace di registrare – senza che l’utente se ne accorga – le azioni di quest’ultimo, riuscendo, ad esempio, a impossessarsi dei dati della sua carta di credito e di altre informazioni sensibili. Mentre il ransomware è quel malware in grado di impedire alla vittima di accedere ai suoi file e ai suoi dati, a meno che non paghi al criminale un riscatto in denaro.
Un altro genere di attacco, del quale avere piena consapevolezza per poterlo prevenire e combattere, riguarda il phishing, per mezzo del quale l’utente riceve una email non sospetta che, in realtà, cela lo scopo di estorcergli informazioni personali, tra cui le proprie credenziali bancarie.
Sempre finalizzato alla sottrazione di dati è l’attacco Man in the Middle – che agisce intercettando le comunicazioni fra due utenti – mentre l’attacco DoS – Denial of Service, sovraccaricando le reti e i server, punta a rendere inutilizzabile il sistema informativo, impedendogli di erogare servizi e bloccando l’azienda nello svolgere le sue attività.
Nelle aziende, tra le misure di difesa alle minacce citate figurano i protocolli per crittografare messaggi email, file e informazioni riservate, proteggendo, in questo modo, i dati in transito e difendendosi da eventuali tentativi di furto.
Inoltre, ai protocolli di sicurezza si deve anche la rilevazione, in tempo reale, dei malware e di quei virus che si mimetizzano cambiando codice. E alcuni programmi consentono anche di isolare quei software ritenuti potenzialmente dannosi, per studiarli e arrivare a comprendere come – in futuro – poterli intercettare più rapidamente e con maggiore efficienza.
La situazione in Italia
I cyber attack, nel nostro Paese – con oltre 36 milioni di eventi su oltre 6,5 milioni di indirizzi IP pubblici, secondo l’ultimo rapporto del Clusit – hanno registrato, nel 2020, una flessione rispetto all’anno precedente.
Il Rapporto Clusit 2021 sulla sicurezza ICT, nell’analizzare tale dato, pone l’accento sull’emergenza pandemica che ha segnato il 2020 e sulla situazione lavorativa che ne è derivata, ossia sull’adozione dello smart working da parte della netta maggioranza delle aziende italiane.
È stato proprio questo cambio di registro che, al fine di agevolare l’accesso da remoto alle reti aziendali, ha portato le organizzazioni a una maggiore attenzione nei confronti della sicurezza dei propri sistemi, spingendole ad adottare soluzioni come firewall e VPN – Virtual Private Network.
Atteggiamento, questo, che ha contribuito a rovesciare lo scenario, facendo dei PC personali (con ben 85.000 attacchi, praticamente il doppio rispetto a quelli verificatisi nel 2019) e della rete internet (con un aumento significativo degli attacchi DoS e DDoS) i bersagli prediletti dai criminali informatici nel 2020, con i settori finanza e assicurazioni, PA, service provider e media al centro del mirino.
E, relativamente all’andamento del mercato della cyber security in Italia, i dati dell’Osservatorio Cybersecurity & Data Protection 2021 della School of Management del Politecnico di Milano sottolineano come la pandemia, pur rallentandone la crescita, non ne ha arrestato il movimento, con una spesa in soluzioni di security che, nel 2020, ha comunque segnato un + 4% rispetto all’anno prima.
Si è trattato, certo, di investimenti – come si è detto – correlati alla gestione dell’emergenza sanitaria che, in particolare, hanno visto, primariamente, l’acquisto di soluzioni per la protezione delle infrastrutture da accessi illeciti, per la protezione delle reti collegate in remoto ai dispositivi client e la gestione del remote working.
Ma, al di là della crescita numerica del mercato (anche se lieve), dai dati dell’Osservatorio del Politecnico di Milano emerge un altro aspetto saliente relativo alla situazione italiana, che ha a che vedere con un dato di tipo qualitativo, espresso dalla volontà, da parte delle aziende durante la pandemia da Covid, di aumentare la sensibilità dei propri dipendenti in materia di sicurezza informatica, investendo proprio nella cyber security awareness, ovvero – come accennato – nella cultura della sicurezza.
