Cybersecurity sul posto di lavoro

9 Nov 2018

Il personale rappresenta l’elemento di maggior valore per un’azienda: contribuisce ad aumentare le entrate, crea e consolida il rapporto con i clienti e, naturalmente, ha un ruolo fondamentale nella difesa della sicurezza della compagnia.

I cybercriminali, invece, vedono il personale come l’ultima linea di difesa dell’azienda da attaccare. In Nord America, ad esempio, le due cause principali di fughe nella sicurezza aziendali sono i dipendenti disinformati e incuranti della sicurezza che cadono nelle trappole del phishing e dell’ingegneria sociale. I cybercriminali lo sanno e se ne approfittano.

Se si attiva un programma robusto di educazione in tema di cybersecurity, la vostra azienda può proteggere le informazioni più sensibili in suo possesso evitando che i cybercriminali rompano il firewall “umano” formato dal personale.

Abbiamo molte domande in merito alla best practice da applicare sul posto di lavoro per salvaguardare la cybersecurity; per questo abbiamo chiesto a Barton Jokinen, Head of Information Security and Compliance for the Americas di Kaspersky Lab, di rispondere ad alcuni dei quesiti più frequenti.

Esposito: Cos’è la cybersecurity?

Jokinen: La cybersecurity può essere definita in molti modi ed è un termine che abbraccia diversi punti di vista. Per quanto riguarda la cybersecurity sul posto di lavoro, essa consiste nel difendere sistemi e dati da attacchi dannosi, e ciò comprende sia la sicurezza fisica sia la creazione di programmi di formazione.

Esposito: Qual è il miglior programma per creare maggiore consapevolezza sul tema della cybersecurity?

Jokinen: Non ci sono programmi che vadano bene per tutti. Ogni azienda ha esigenze diverse a seconda dei suoi obiettivi strategici, dall’analisi dei rischi e dalla predisposizione ad assumere rischi. Quindi faremmo meglio a chiederci: “In che modo la cybersecurity può contribuire al’attività principale dell’azienda?”

Esposito: Dal punto di vista della cybersecurity, di cosa si dovrebbero preoccupare le aziende nel proteggere il proprio posto di lavoro? 

Jokinen: Le aziende spesso trascurano tre aree della cybersecurity.

Sicurezza e protezione fisica– Il benessere dei dipendenti dovrebbe essere una priorità di qualsiasi programma per la cybersecurity aziendale. Potrebbe non sembrare un’idea intuitiva per un settore come cybersecurity, vero? Ma pensiamo un momento alla grande diffusione dei dispositivi che appartengono al mondo dell’Internet delle Cose (IoT), che hanno fatto sì che non esista più una linea ben definita tra sicurezza fisica e cybersecurity. Pensiamo, ad esempio, alle telecamere di sicurezza wireless gestite attraverso un’interfaccia web o una serratura smart che il dipendente apre con il suo smartphone: qual è il punto in cui un oggetto passa dal mondo fisico ad appartenere al mondo informatico?

Molte aziende utilizzano sistemi tradizionali di sicurezza fisica e di controllo dell’ambiente ma si tratta di sistemi che non hanno contatto con coloro che, nella realtà odierna, risolvono i problemi attuali. Nell’era odierna dell’IoT, i team che si occupano dell’Information Technology e della cybersecurity si occupano di queste problematiche e, sul posto di lavoro, i sistemi che si usano per tale scopo spesso condividono la rete con il resto delle attività dell’azienda. Collegare i dispositivi IoT alla rete principale è rischioso perché offre un punto di entrata a potenziali cybercriminali che desiderano accedere alle risorse di rete aziendali.

I sistemi vulnerabili possono anche essere utilizzati per accedere a sistemi di controllo industriali (ICS) non adeguatamente protetti. Le aziende che impiegano infrastrutture critiche o che si affidano agli ICS per la produzione, dovrebbero effettuare una ricerca approfondita di tutti i sistemi coinvolti. Anche le reti dovrebbero essere coinvolte nel tentativo di migliorare la cybersecurity in azienda.

Consapevolezza sulla situazione di asset e dati – La maggior parte delle strutture della cybersecurity si basa sulla conoscenza degli asset aziendali (dati compresi): parliamo dei sistemi e delle applicazioni che processano i dati, chi vi ha accesso e dove si trovano i dati. Una valutazione dei rischi della cybersecurity in base agli asset conosciuti permetterà di determinare in modo più specifico quali sono le possibili minacce. L’azienda potrà così concentrare le proprie risorse previste per la cybersecurity su ciò che importa davvero.

Consapevolezza e formazione sulla cybersecurity – Ma bisogna andare oltre il compito di scoprire e catalogare gli asset aziendali. Per generare consapevolezza su un tema così importante come la cybersecurity, bisogna sforzarsi continuamente affinché i dipendenti conoscano le politiche di scurezza aziendale, le ultime minacce e come gestirle. Particolare attenzione va rivolta all’ingegneria sociale, uno dei vettori di attacco più comuni e di maggior successo.

Le aziende dovrebbero proporre delle formazioni rivolte a certi ruoli in particolare e non solo training generici. Inoltre, le formazioni dovrebbero essere coinvolgenti e personalizzate, magari con l’aiuto di storie e giochi educativi che servano da supporto alle idee proposte per creare maggiore consapevolezza; e, soprattutto, queste formazioni non dovrebbero essere mai viste come dei test.

Un buon programma è un mix di una guida interna e di un formatore esterno, l’uso di moduli online autonomi, simulazioni e sondaggi. Infine, bisogna sempre utilizzare le metriche per verificare quali sono i punti deboli e di forza dei programmi di formazione per la sicurezza scelti.

Esposito: Il nostro team IT sa molto di cybersecurity. Perché dovrebbe aver bisogno di una formazione ulteriore?

Jokinen: Una buona educazione in termini di cybersecurity dovrebbe essere una pratica comune in azienda. I dipendenti sono spesso indicati come “l’anello debole” ma, al giorno d’oggi, sono i vettori di attacco più comuni di un’azienda e in azienda dovrebbero essere considerati come un qualsiasi altro vettore di attacco.

Esposito: Abbiamo avuto diversi programmi di formazione ma nessuno sembra essere efficace. Cosa dovremmo fare?

Jokinen: Non è un segreto che con i programmi di formazione tradizionali spesso non raggiungono l’obiettivo di portare a cambiamenti nel comportamento e nella motivazione. Per creare un programma efficace, bisogna capire cosa c’è dietro qualsiasi processo di insegnamento e apprendimento. Per quanto riguarda un programma focalizzato sulla sicurezza informatica, è fondamentale creare una cultura della cybersecurity che motivi i dipendenti ad adottare un comportamento sicuro nella propria vita quotidiana, anche al di fuori dell’ufficio. Creare consapevolezza grazie ai programmi di formazione vuol dire cambiare le abitudini e creare nuovi modelli più adeguati.

I prodotti presenti nella nostra sezione Kaspersky Security Awareness sono un buon punto di partenza e possono servire per colmare alcune lacune di programmi già esistenti. Sono stati creati per rispondere alle necessità delle strutture organizzative di tutti i livelli. I prodotti per la formazione computer-based sono stati progettati seguendo le tecniche di apprendimento moderne, come la gamification, il learning-by-doing e il rinforzo ripetuto, che aiutano a rafforzare certe capacità e ad evitare che ci si dimentichi delle buone abitudini. Inoltre, la simulazione del posto di lavoro e del comportamento del personale fanno sì che l’utente si senta più coinvolto a livello pratico. Tutti questi fattori motivanti garantiscono l’acquisizione delle capacità desiderate.

Esposito: Ogni quanto tempo il personale dovrebbe informare circa un’eventuale attività sospetta?

Jokinen: I team che si occupano della cybersecurity preferirebbero che i dipendenti indicassero minacce che poi risultano essere falsi positivi invece di aspettare che un sospetto si trasformi nel tempo in una grave minaccia da gestire. In ogni caso, prima che il personale informi di un’attività sospetta dovrebbe essere in grado di capire cosa rientra nell’aggettivo sospetto.

Un programma robusto dedicato alla cybersecurity awareness (e i materiali di rinforzo a esso connessi) dovrebbero dare una definizione di incidenti sospetti apportando esempi, per poi spiegare chi e come informare in merito. Inoltre, si dovrebbe incoraggiare il personale a informare circa qualsiasi attività che essi ritengano sospetta. Esistono diverse procedure per il report degli incidenti. Alcune aziende si avvalgono del service desk IT, altre richiedono la creazione di un ticket via e-mail, inviato al team che si occupa della sicurezza, altre aziende ancora vogliono che il personale informi i propri superiori.

Quando il personale ha capito cosa deve fare per identificare e informare in merito a un’attività sospetta, si può passare a stabilire delle politiche di risposta agli incidenti, grazie alle quali si indicano procedure e responsabilità.

Quando si vede qualcosa di strano, bisogna informare subito perché prevenire è meglio che curare.

Esposito: Qual è la tuo punto di vista sulla politica del BYOD (Bring Your Own Device)?

Jokinen: La politica del Bring your own device (BYOD) sta diventando sempre più popolare perché al personale piace la flessibilità di poter scegliere quando lavorare e con quali dispositivi. Le aziende, dal canto loro, hanno il beneficio di ridurre i costi di acquisto dei dispositivi. Tuttavia, i dati dell’azienda possono essere a rischio: permettere che il personale utilizzi i propri dispositivi personali anche per lavoro implica che questi dispositivi non sono soggetti ai controlli di sicurezza tradizionali.

Esposito: Ciò vuol dire che non sei a favore dell’approccio BYOD?

Jokinen: Le aziende non devono vietare le politiche BYOD, ma è fondamentale che vengano stabilite politiche e procedure di sicurezza adeguate. Ad esempio, sul dispositivo deve essere presente una netta distinzione tra materiale di lavoro e tutto il resto, e i dati aziendali dovrebbero essere processati solo da applicazioni approvate e protette adeguatamente dall’azienda. Una bella sfida per chi utilizza il proprio dispositivo per questioni di lavoro e personali. Per fortuna, esistono i tool MDM (Mobile Device Management), che proteggono i dati aziendali e li separano dal resto dei dati, bloccando e consentendo l’accesso alle applicazioni, rintracciando i dispositivi e cancellando i dati aziendali in remoto in caso di problemi.

Esposito: Dove è possibile approfondire la propria cultura in cybersecurity?

Jokinen: Kaspersky Lab offre varie risorse per essere sempre aggiornati sulle minacce e gli incidenti che riguardano il mondo della cybersecurity:

  • Threatpost: è una fonte autorevole di notizie su IT, sicurezza business e analisi della cybersecurity;
  • Securelist: propone notizie, report e ricerche interessanti per il settore della cybersecurity:
  • Il sito Kaspersky Lab Threats: viene aggiornato costantemente con le minacce e le vulnerabilità in continuo cambiamento del mondo della cybersecurity;
  • La Mappa in tempo reale delle minacce: è un tool interattivo grazie al quale è possibile visualizzare in real time le cyberminacce presenti in tutto il mondo.
  • E naturalmente, c’è il nostro blog principale Kaspersky Daily, con post di grande interesse per aziende e utenti privati.