Cyber Security e formazione

La prima difesa contro il cybercrimine è la formazione dei dipendenti. Per proteggersi non servono per forza competenze informatiche, ma conoscere il problema.

6 min 5 key ideas

Capitoli

1
Se la digital transformation ha creato nuove opportunità per le nostre aziende, ha anche permesso ai cyber criminali di escogitare forme di attacco sempre nuove.
2
Non solo “nerd”
3
Awareness, training e learning
4
Observe, Orient, Decide, Act

Sicurezza

Salva

Contenuto curato da

Valuta

Esplora l'articolo

1. Se la digital transformation ha creato nuove opportunità per le nostre aziende, ha anche permesso ai cyber criminali di escogitare forme di attacco sempre nuove.

Più ancora degli antivirus e dei sistemi avanzati di crittografia, la nostra prima linea di difesa è un'altra: la formazione.
Durante il 2021 il numero di attacchi ransomware effettuati ai danni di persone, aziende e istituzioni italiane è cresciuto dell'81% (dati Kaspersky). Se i privati devono fare i conti principalmente con le truffe informatiche (phishing e furti d'identità fra tutti), le imprese e gli enti pubblici si trovano ad affrontare minacce più serie e organizzate, mirate a rubare o comunque danneggiare le informazioni a meno che non venga pagato un sostanzioso riscatto. Il problema del cybercrimine non può e non deve essere sottovalutato: si tratta di un danno da miliardi di euro ogni anno, che porta con sé gravi ripercussioni economiche (ma anche psicologiche) ai danni di chi viene colpito. A peggiorare la situazione è intervenuta la pandemia, in un modo che non è immediatamente ovvio. Il distanziamento sociale ha portato milioni di lavoratori a dover intraprendere giocoforza formule di lavoro da remoto o in modalità smart. Questo significa che l'intero sistema lavorativo del paese ha subito una brusca accelerazione per quanto riguarda la digital transformation. Ciò ha creato un divario fra lo stato delle tecnologie utilizzate e i dipendenti che questi strumenti li usano ogni giorno, essendo mancato il tempo per una trasformazione fisiologica e una corretta formazione. Dobbiamo infatti tenere conto di un fatto fondamentale: la prima linea di difesa contro il cybercrimine, prima ancora degli strumenti informatici (come antivirus o crittografia end-to-end) è costituita da una corretta formazione dei nostri dipendenti.

Scorri orizzontalmente
e passa al prossimo punto

2. Non solo “nerd”

Un primo ostacolo al problema della formazione sui temi della cybersecurity è di tipo psicologico. Infatti accade spesso che i lavoratori non esperti del settore vedano queste tematiche come troppo complesse, riservate solamente alla figura stereotipata del “nerd”. Questo malinteso mette in luce un aspetto fondamentale della questione: la formazione in ambito di cybersecurity non passa esclusivamente attraverso complicati concetti informatici. Spesso una corretta informazione sull'argomento, mirata a costruire comportamenti prudenti, non ha nulla a che fare con gli strumenti informatici. Spiegare come i cybercriminali riescano a intrufolarsi in un sistema attraverso link o allegati, oppure insegnare a riconoscere una mail sospetta osservando il mittente, o ancora ricordare ai dipendenti di effettuare backup regolari dei documenti, sono tutte azioni che non comportano la necessità di conoscenze informatiche specifiche, e possono essere trasferite a qualunque dipendente, a prescindere dal suo grado di formazione. In questo caso l'obiettivo è quello di creare una base di conoscenze solide e fornire ai lavoratori gli strumenti necessari per essere vigili, evitare comportamenti imprudenti, soprattutto quando si trovano a lavorare in ambienti meno controllati (ad esempio da casa) e infine guadagnare tempo, permettendo agli esperti di sicurezza informatica di intervenire nel caso malaugurato di un cyber-attacco.

Scorri orizzontalmente
e passa al prossimo punto

3. Awareness, training e learning

È necessario a questo punto prendersi un attimo per distinguere le varie tipologie di formazione che è possibile effettuare riguardo al tema della cybersecurity: l'awareness, il training e il learning. 1. Awareness Si tratta della forma più superficiale di educazione e punta a fornire al dipendente una conoscenza sommaria dell'argomento, facendogli prendere coscienza dell'esistenza di un fenomeno e delle sue possibili manifestazioni. Un esempio potrebbe essere un corso mirato a far conoscere il pericolo del phishing, così da mitigare il rischio di esserne colpiti. 2. Training Il training mira a fornire una serie di strumenti operativi che il dipendente deve utilizzare nel caso si trovasse in una situazione di rischio. Di solito questo tipo di formazione consiste nell'apprendere comportamenti pratici da eseguire in determinate situazioni (ad esempio: “se non puoi stabilire l'identità del mittente di una mail, NON aprire gli allegati”). Questo sistema può risultare molto utile, tuttavia non tiene conto della complessità e dell'innovazione continua dell'azione dei cybercriminali. 3. Learning Quest'ultima tipologia di formazione è la più completa, sebbene richieda più tempo e fatica per essere messa in atto. Essa ha l'obiettivo di costruire nel dipendente una comprensione profonda del tema, sviluppando in lui un senso critico capace di cogliere i campanelli d'allarme, valutare il livello di rischio e agire di conseguenza. Nel prossimo paragrafo vedremo proprio un esempio di questo approccio.

Scorri orizzontalmente
e passa al prossimo punto

4. Observe, Orient, Decide, Act

La strategia educativa denominata OODA (Observe, Orient, Decide, Act) è nata in ambito militare negli anni cinquanta per insegnare ai piloti di caccia americani a reagire sotto pressione, ed è strutturata come segue:

Observe: osserva la situazione e raccogli velocemente informazioni sul contesto.
Orient: orientati nella situazione e dai un senso alle informazioni raccolte.
Decide: decidi quale sia la strategia più giusta utilizzando i dati che possiedi.
Act: agisci di conseguenza per risolvere la situazione di emergenza.

Questo approccio è alla base di una metodologia di formazione chiamata Full Spectrum Vulnerability Assessment (FSVA). Si tratta di una valutazione di vulnerabilità che prende la forma di una simulazione di attacco informatico, effettuato all'insaputa di dipendenti e team IT.
Questo tipo di “terapia d'urto”, unita a una formazione teorica più classica, si avvicina al concetto di learning di cui abbiamo parlato prima. Generando emozioni forti nel lavoratore e mettendolo in una “vera” situazione di stress, si possono formare quelle competenze necessarie per riconoscere il pericolo e agire in fretta, valori essenziali in un ambito come quella della cybersicurezza, dove anche pochi minuti possono fare la differenza. In conclusione, la formazione in ambito di cybersecurity può essere utilizzata come uno strumento di difesa insostituibile, che accresce non solo la sicurezza (e quindi il valore) degli asset aziendali, ma anche le competenze dei propri dipendenti, sia sul posto di lavoro che nella vita di tutti i giorni.