Quello della security awareness, ovvero di un adeguato livello di consapevolezza degli utenti in tema di sicurezza IT aziendale, è un argomento di grande attualità. Sono infatti numerosissimi gli attacchi che hanno successo perché un dipendente ha inavvertitamente abilitato l’accesso alla rete interna ai criminali informatici. Può essere accaduto perché ha cliccato su un link di una mail che sembrava totalmente lecita, ha aperto un allegato da un mittente sconosciuto, oppure ha controllato il contenuto di una chiavetta USB trovata casualmente in giro.
Si sentono con una certa frequenza notizie di furti di milioni di dati di utenti da siti o servizi online che si pensa dovrebbero essere assolutamente inespugnabili. Si parla invece molto meno dei milioni di accessi illegali ai dati di aziende di tutte le dimensioni che avvengono quotidianamente per carpire le informazioni piú strategiche, arrecando danni gravissimi al business e alla brand reputation. La maggior parte di questi ha successo proprio perché il personale interno non ha un livello adeguato di security awareness.
Che cos’è la security awareness
Siccome oggi la sofisticatezza degli attacchi ha raggiunto un livello tale da indurre in “errore” anche chi ha una certa esperienza, è fondamentale che chiunque in azienda usi un dispositivo con accesso alla rete interna sia consapevole dei rischi e, ancora meglio, sappia riconoscerli.
Un’adeguata security awareness significa avere quindi la consapevolezza sia del tipo di attacchi che potrebbero essere indirizzati alla sicurezza IT aziendale, sia delle loro eventuali conseguenze. Questo è un aspetto particolarmente importante perché molti utenti non considerano la reale gravità dell’impatto che può avere un attacco andato a buon fine a causa di una semplice azione di cui sono i responsabili. In primo luogo, perché riguarda un bene che non è loro e poi, soprattutto, perché non devono “pagarne” in prima persona il danno provocato.
Per fortuna, i danni si sistemano, ma le conseguenze possono sono pesanti. Soprattutto, secondo quanto afferma Clusit, l’Associazione Italiana per la Sicurezza Informatica, perché in media un’azienda non si accorge di aver subito un attacco prima di una decina di mesi. Il risultato é che il business ne risente sul lungo termine a causa di problemi di varia natura sul versante IT. Purtroppo, nelle situazioni peggiori, le ingenti perdite finanziarie dovute a un attacco di successo possono portare anche alla perdita di posti di lavoro. Da non sottovalutare poi anche i danni alla reputazione dell’azienda.
Che cosa si può fare per migliorare la security awareness
Per evitare un security incident, o quantomeno limitarne il più possibile i danni, è bene che dipendenti e collaboratori siano chiaramente informati sulle best practice aziendali per l'utilizzo di dispositivi digitali e, più in generale, sulle politiche di sicurezza. Questo vale soprattutto per chi opera da remoto, magari usando smartphone, tablet o computer propri, strumenti che più facilmente permettono l’accesso alla rete aziendale alle persone non autorizzate e, possibilmente, malintenzionate.
L’obiettivo non deve essere quello di trasformare tutti in esperti informatici, quanto invece avere persone consapevoli dei rischi, più vigili rispetto alle potenziali minacce e dotati delle conoscenze necessarie per prevenire e mitigare incidenti gravi. Per esempio, i dipendenti potrebbero essere responsabilizzati sul valore che può avere, in termini di danni evitati, informare chi si occupa della sicurezza IT nel caso di mail sospette.
La formazione è dunque fondamentale. A questo proposito, diventa importante un piano di sviluppo dedicato, in modo continuativo e con obiettivi sul lungo termine, da corredare anche con materiale informativo accessorio. Se non ci sono i tempi e le risorse interne per farlo, meglio rivolgersi a strutture esterne. Si tratta certamente di un costo, ma la cui spesa sarà sicuramente ben ripagata se confrontata con i danni che l’azienda dovrebbe affrontare se fosse presa di mira da un attacco.
In conclusione: una security awareness diffusa è essenziale per evitare e limitare i danni di qualsiasi attacco informatico. Azioni primarie in questo senso sono la condivisione di best practice chiare aziendali in materia, lo sviluppo di un piano di formazione sul tema e la produzione di materiale informativo che dovrà essere sempre disponibile e aggiornato.
