In una ipotetica campagna di phishing gli utenti che cliccano su un link suggerito malevolo arrivano fino al 45%, con una percentuale che sale fino al 60% per coloro che cedono le proprie credenziali a richiesta. Questi dati, raccolti e analizzati da Cefriel coinvolgendo 20 aziende e 40.000 utenti, dimostrano quanto il fattore umano rappresenti ancora l’anello debole della catena e quanto siano pertanto necessarie attività di formazione del personale.
L’esperienza di un importante Comune italiano
Al fine di sensibilizzare i dipendenti sul tema della sicurezza e formarli su come muoversi nel caso di attacchi di diversa natura, un Comune del nord Italia, in collaborazione con Cybertech, ha dato vita a una iniziativa di training on line che coinvolgerà praticamente tutti i dipendenti.
“La particolarità del progetto – afferma Alessandro Di Luzio, Project Manager di Cybertech – sta nel fatto che i concetti legati alla sicurezza informatica sono spiegati attraverso lo storytelling e la simulazione, con l’uso di pseudo-fotoromanzi o sketch di situazioni concrete, per esempio cosa andrebbe fatto nel caso di ricezione di una email che ci chiede l’invio delle proprie credenziali aziendali. La risposta sembra semplice. Ma se apparentemente la mail arriva dal tuo capo?”.
Casi semplici, quelli fotoromanzati, ma non banali e che aiutano a evidenziare come le persone possano sbagliare o agire in modo impulsivo, mettendo in pericolo l’azienda o la Pubblica Amministrazione di appartenenza.
“L’introduzione del GDPR a metà 2018 – commenta Eugenio Nicotra, Marketing Manager di Cybertech – ha spronato moltissime aziende italiane e enti pubblici nel mettere in campo azioni finalizzate alla protezione dei propri dati e alla difesa dagli attacchi informatici. Tra queste quelle di formazione e istruzione delle persone che con i dati lavorano e che a volte, trattando le informazioni in modo disattento e superficiale, mettono a rischio la sicurezza”.
Oltre alla modalità di narrazione scelta, che ha reso il corso accessibile a chiunque, il progetto ha previsto una modalità di erogazione o line molto flessibile.
“Nella prima fase di sperimentazione del progetto – spiega Eugenio Nicotra – ci si è dati come obiettivo la raccolta di feedback utili a modellare l’attività formativa sulle esigenze e sulla percezione degli utenti. Avendo individuato il formato adatto, nelle settimane successive si è partiti con le sessioni di tutte le Direzioni del Comune per coinvolgere, nei prossimi mesi, tutti i dipendenti”.
Formazione e informazione per la sicurezza
L’attività di formazione messa in campo, che prevede un test finale utile a verificare la comprensione delle regole base di sicurezza informatica, contribuirà a migliorare il livello complessivo della sicurezza dell’Ente. Il progetto accompagna una serie di altre iniziative messe in atto in parallelo. Tra queste, per esempio, Identity Access Management, per la protezione degli accessi ai sistemi informativi comunali e Data Loss Prevention, che mira a monitorare la condivisione e la fuoriuscita di documenti sensibili quali per esempio bandi di concorso o di gara ancora in bozza.
“Education e awareness – conclude Alessandro Di Luzio – sono fondamentali in ambito Cybersecurity. Istruire i dipendenti aiuta a prevenire il danno legato a comportamenti inappropriati nella gestione dei dati e delle informazioni personali o aziendali”.
