Qualsiasi framework di Cybersecurity si sia deciso di adottare, la componente più debole nella catena della gestione della sicurezza è indubbiamente il fattore umano. L’effort necessario, da parte di un attaccante, per eludere i sistemi di sicurezza tecnologici (firewall, intrusion prevention ecc.) è largamente maggiore di quello necessario per indurre un utente ad eseguire azioni che determinino l’introduzione di malware in azienda. Questo fa sì che l’utilizzo di mail di phishing rappresenti il vettore principale di data breach e di incidenti di sicurezza, con il risultato che il comportamento degli utenti finali rappresenta un discrimine fondamentale della cybersecurity aziendale.
Il 55% delle aziende italiane ha subito un attacco di phishing. Il dato emerge dall’utlima ricerca Trend Micro, leader globale di cybersecurity, dal titolo “Nella mente degli IT security leader: minacce sfide e opportunità”. L’obiettivo dello studio era scoprire quali fossero le minacce che le aziende affrontano oggi, i punti deboli delle organizzazioni e le sfide più significative secondo i responsabili IT.
Dalla ricerca è emerso che gli attacchi di phishing rappresentano una vera e propria piaga nel nostro Paese, che vede più della metà delle aziende colpite contro una media del 38% a livello globale. Non stupisce quindi che le vulnerabilità maggiori in futuro, secondo i responsabili italiani, saranno gli attacchi mirati (56%) e di phishing appunto (51%).
Il 41% del campione ha ammesso, inoltre, che gli errori dei dipendenti hanno reso le aziende più vulnerabili, spingendo il 98% a organizzare dei corsi di training, percentuale seconda al mondo dopo gli Stati Uniti. La formazione è una priorità per l’89% del campione, ma i responsabili italiani più di tutti credono che le loro contromisure tecnologiche siano sufficienti a mitigare gli errori dei dipendenti, sebbene la metà dei CISO lotti ancora per far comprendere al business l’impatto delle minacce.
La sicurezza aziendale allora passa anche dalla realizzazione di campagne di phishing per la determinazione del livello di security awareness degli utenti e la successiva realizzazione di sessioni formative per allenare gli utenti a riconoscere le mail di phishing e ad entrare nella modalità “zero trust” che è il paradigma da impostare attualmente per incrementare il livello di cybersecurity.
L’obiettivo del programma di Security Awareness Program (SAP) è quello di innescare un processo di miglioramento continuo della consapevolezza da parte degli utenti di essere una parte integrante ed essenziale della sicurezza aziendale da un punto di vista informatico, esattamente come è già per quello che riguarda la sicurezza sul lavoro.