Una guida completa alla formazione sulla cybersecurity

Il cybercrimine è un rischio in continuo aumento sia per i singoli utenti che per le aziende. Con l'incremento del volume e della complessità degli attacchi informatici, la necessità di formazione sulla cybersecurity e la cybersecurity awareness è oggi più sentita che mai. La formazione sulla cybersecurity non si rivolge solo al personale IT: chiunque utilizzi la tecnologia è un potenziale bersaglio per i criminali informatici e pertanto potrà trarre vantaggio dalla formazione e da una maggiore consapevolezza.

Cos'è la formazione sulla cybersecurity?

Spesso, il modo migliore per imparare la cybersecurity è attraverso la formazione. Le organizzazioni portano avanti attività di formazione sulla cybersecurity e la cybersecurity awareness per aiutare i membri del personale ad ampliare le proprie conoscenze delle best practice per tenere al sicuro i dati sensibili. In genere, la formazione sulla cybersecurity insegna procedure di risposta per affrontare e gestire il rischio per i sistemi informatici. I partecipanti possono apprendere come identificare minacce quali attacchi informatici, violazioni dei dati e attività di phishing, come valutare i livelli di rischio, come segnalare incidenti e in che modo affrontarli.

La formazione sulla cybersecurity è un componente essenziale della preparazione della forza lavoro sulla cybersecurity, per aggiornare i partecipanti sull'attuale panorama delle minacce. Alcune organizzazioni possono ricorrere alla formazione sulla cybersecurity anche per supportare lo sviluppo di criteri relative alle pratiche di sicurezza informatica.

Che aspetti copre la formazione sulla cybersecurity?

I rapidi cambiamenti nell'ambiente digitale, e le parallele innovazioni da parte dei cybercriminali, implicano che il personale e altri utenti finali necessitino di formazione costante su come stare al sicuro online e proteggere le informazioni.

La formazione sulla cybersecurity e la cybersecurity awareness spesso include:

• Attacchi di phishing: come individuarli e come segnalarli
• Supporti rimovibili: come usarli in modo sicuro
• Password e autenticazione: come creare password complesse e come implementare l'autenticazione a più fattori
• Sicurezza fisica: come garantire la protezione di dispositivi fisici e documenti
• Sicurezza mobile: come usare i dispositivi mobili in tutta sicurezza
• Lavoro da remoto: come stare al sicuro lavorando in smart working, inclusi i rischi del Wi-Fi pubblico
• Sicurezza cloud: come orientare il personale nell'uso sicuro di applicazioni basate su cloud
• Social engineering: le tecniche più comuni utilizzate dai criminali informatici e l'influenza della psicologia
• Gestione di dati e record: come monitorare e gestire i dati aziendali in modo sicuro
• Protocolli di installazione: come installare programmi software e applicazioni di terze parti in tutta sicurezza nei computer aziendali
• Procedure di risposta agli avvisi: per affrontare e gestire i rischi per i sistemi informatici
• Conformità: comprendere l'ambiente normativo per lo specifico settore o giurisdizione e quello che implica in termini di cybersecurity

Per chi intende intraprendere una carriera nell'ambito della sicurezza informatica, la formazione dipenderà dal percorso di sviluppo professionale intrapreso. I professionisti della cybersecurity lavorano in organizzazioni di tutte le dimensioni, in diversi settori e in reti di tutte le complessità.

Perché la formazione sulla cybersecurity è importante?

Si stima che il 95% delle violazioni della cybersecurity sia il risultato di un errore umano. La sicurezza digitale di un'azienda è nelle mani di ogni dipendente, indipendentemente dal fatto che lavori o meno nell'IT. Ecco alcuni degli errori più comuni commessi dai dipendenti che compromettono la sicurezza digitale:

• Download di allegati e-mail infetti da malware.
• Accesso a siti Web inaffidabili.
• Uso di password deboli.
• Mancato aggiornamento regolare delle password.
• Invio accidentale di un'e-mail al destinatario sbagliato.

Considerata la portata dell'errore umano, la formazione sulla cybersecurity e la cybersecurity awareness è essenziale. I vantaggi della formazione sulla cybersecurity includono:

Riduzione del rischio di violazioni di dati e attacchi di phishing

L'aumento della cybersecurity awareness all'interno di un'organizzazione può aiutare a ridurre il rischio di violazioni dei dati. Una volta che i singoli utenti hanno appreso a individuare i potenziali rischi e come superarli, hanno meno probabilità di essere vittime di attacchi di phishing, ad esempio. Considerato che il costo medio delle violazioni dei dati può essere di milioni, in confronto la formazione sulla cybersecurity è una soluzione conveniente.

Definizione di una cultura della sicurezza

L'obiettivo principale della formazione sulla cybersecurity è quello di instillare la cultura della sicurezza all'interno di un'organizzazione. Per cultura della sicurezza si intende integrare i valori della sicurezza nella struttura dell'azienda, facendo del personale la prima linea di difesa contro le minacce come il social engineering.

Aumento delle difese tecnologiche contro le cyberminacce

Le difese tecnologiche costituiscono una valida arma nella prevenzione delle violazioni, ma richiedono l'input umano. Ad esempio, i firewall devono essere attivati, il software va aggiornato e gli avvisi di sicurezza devono essere riconosciuti. Sono poche le organizzazioni che operano senza difese tecnologiche e tuttavia, senza formazione sulla cybersecurity e la cybersecurity awareness per il personale, c'è il rischio che queste difese tecnologiche non servano allo scopo.

Maggiori garanzie per i clienti

I clienti sono sempre più consapevoli delle minacce informatiche e di conseguenza vogliono sentirsi protetti e al sicuro. Questo vuol dire che le aziende devono prendere sul serio la cybersecurity in modo da guadagnare la fiducia dei clienti. A sua volta, questa fiducia contribuirà a consolidare la fedeltà dei clienti. Se un'azienda subisce una violazione dei dati o si verifica un incidente di sicurezza e la notizia diventa di pubblico dominio, l'azienda può avere anche un danno alla reputazione.

Conformità alle normative

A seconda del settore e della giurisdizione, possono esserci dei motivi di ordine normativo per cui le organizzazioni sono tenute a considerare seriamente la questione della cybersecurity. Le autorità di controllo possono richiedere a settori specifici di implementare una formazione sulla cybersecurity awareness. La conformità non deve essere l'unica ragione per cui un'organizzazione mette in atto una formazione sulla cybersecurity, ma predisporre la giusta formazione rende più sicura un'organizzazione e, in molti settori, costituisce un requisito normativo.

Dimostrare una responsabilità aziendale e sociale

Gli attacchi informatici possono diffondersi rapidamente. Con l'aumentare delle reti infettate, aumenta anche il rischio a cui risultano esposte le altre reti. La debolezza di una rete fa aumentare la minaccia complessiva per le altre. Questo significa che la mancanza di una formazione sulla cybersecurity awareness in un'organizzazione rende vulnerabili le altre organizzazioni. In definitiva, la formazione sulla cybersecurity awareness non va a vantaggio solo delle singole organizzazioni, ma anche dei loro clienti, fornitori e qualsiasi altra entità interconnessa con la loro rete.

Elementi chiave della cybersecurity

La cybersecurity è costituita da diversi elementi chiave. Ecco quali sono:

• Sicurezza delle applicazioni
• Sicurezza delle informazioni
• Pianificazione del ripristino di emergenza
• Sicurezza della rete
• Sicurezza dell'utente finale
• Sicurezza operativa

Ognuno di questi elementi rappresenta un'area differente dell'infrastruttura di un'organizzazione, che richiede una protezione specifica.

Sicurezza delle applicazioni

La sicurezza delle applicazioni si concentra sulla protezione delle applicazioni software dalle minacce. Questo si applica in special modo alle aziende che sviluppano e vendono applicazioni e servizi cloud, ma anche alle organizzazioni più in generale.

Le impostazioni di sicurezza non configurate correttamente costituiscono una causa significativa di violazioni dei dati degli account cloud. A volte le aziende possono utilizzare un servizio cloud principale senza realizzare che è necessario personalizzare le impostazioni di sicurezza predefinite.

Le principali cause dell'errata configurazione delle applicazioni cloud sono:

• Mancanza di consapevolezza dei criteri di sicurezza cloud
• Mancanza di supervisione e controlli adeguati
• Troppe interfacce da gestire in modo efficace
• Comportamenti interni negligenti (ad esempio, errori degli utenti)

Azioni come l'impostazione di controlli dei privilegi di amministrazione e autenticazione a più fattori sono aspetti chiave della cybersecurity awareness che contribuiscono a consolidare la sicurezza delle applicazioni e a prevenire la violazione delle app.

Sicurezza delle informazioni

Per sicurezza delle informazioni si intende la protezione dei dati aziendali e dei dati raccolti da clienti o fornitori.

La maggior parte delle organizzazioni deve aderire agli standard di sicurezza delle informazioni, con conseguenze finanziarie per la mancata conformità se la negligenza porta alla compromissione delle informazioni personali.

La cybersecurity si concentra sul modo in cui le organizzazioni raccolgono, archiviano e trasmettono i dati. Un piano di cybersecurity ha lo scopo di mettere in atto misure di protezione per garantire che i dati siano criptati secondo le necessità e protetti dalle violazioni.

Pianificazione del ripristino di emergenza

Il 60% delle piccole imprese cessa l'attività dopo essere rimasta vittima di un attacco informatico. Per evitare di rientrare in queste statistiche, è importante che le aziende mettano in atto un piano di ripristino di emergenza.

Le misure di protezione per il ripristino di emergenza in genere includono:

• Strategie per la prevenzione di violazioni o infezioni malware
• Organizzazione per il ripristino rapido una volta che si è verificato un attacco

Tra le misure messe in atto da un esperto di sicurezza rientrano un sistema di backup e ripristino, procedure di risposta agli incidenti e una protezione avanzata degli endpoint.

Sicurezza della rete

La sicurezza della rete ha l'obiettivo di proteggere la rete fisica di un'organizzazione e tutti i dispositivi che vi sono connessi. La maggior parte delle aziende utilizza firewall per monitorare il traffico in entrata e in uscita alla ricerca di minacce.

Altri aspetti chiave della sicurezza della rete includono la protezione della rete wireless e la garanzia che tutte le connessioni remote avvengano attraverso metodi criptati.

La sicurezza della rete è pensata per assicurare che solo gli utenti autorizzati possano accedere alla rete e che all'interno della rete stessa non si verifichino comportamenti sospetti che indichino una violazione.

Sicurezza dell'utente finale

Per sicurezza dell'utente finale, o sicurezza degli endpoint, si intende la protezione dei dispositivi utilizzati dagli utenti e degli utenti stessi. Considerata la proporzione elevata degli attacchi informatici che hanno inizio da un'e-mail di phishing, la sicurezza dell'utente finale è essenziale.

I tipi più comuni di protezione dell'utente finale includono:

• Aggiornamento costante dei dispositivi
• Utilizzo di un software anti-virus aggiornato
• Filtro DNS per il blocco di siti Web dannosi
• Protezione del firmware per prevenire violazioni a livello firmware
• Blocchi dello schermo protetti da passcode
• Gestione remota e rilevamento dei dispositivi

Le organizzazioni che non mettono in atto misure per la sicurezza dell'utente finale potrebbero subire una violazione attraverso il dispositivo non protetto di un dipendente infettato da malware che diffonde l'infezione in tutta la rete aziendale.

Oltre alla protezione dei dispositivi, anche la formazione sulla cybersecurity awareness è un aspetto fondamentale della sicurezza dell'utente finale. È buona norma fornire al personale una formazione regolare su argomenti quali individuazione delle e-mail di phishing, sicurezza delle password, gestione di dati sensibili e altri principi di igiene informatica.

Sicurezza operativa

Per sicurezza operativa si intende la revisione dell'intera strategia di protezione di un'organizzazione nel suo complesso per garantire che tutte le tattiche di sicurezza siano integrate, e non in conflitto, in tutti i processi operativi.

La sicurezza operativa è lo scudo che copre tutti i processi di sicurezza IT. Garantisce che l'organizzazione non protegga solo tutte le aree di una potenziale violazione, ma aggiorni anche con regolarità le proprie strategie di protezione per essere sempre al passo con le minacce più recenti e i passi avanti in termini di sicurezza. Una parte di questo processo implica anche pensare come un criminale informatico, vale a dire esaminare le diverse aree di un ambiente tecnologico per identificare dove potrebbe avvenire una potenziale violazione.

Come iniziare nell'ambito della cybersecurity

Molte carriere nel settore della cybersecurity iniziano con ruoli IT di base, come tecnici dell'help desk, amministratori di rete o sviluppatori software. Molti professionisti della cybersecurity iniziano le loro carriere come analisti IT junior dopo avere ottenuto una certa esperienza nel settore IT.

Prima di poter ricoprire un ruolo nell'ambito della cybersecurity, è importante sviluppare alcune competenze IT di base, come programmazione, amministrazione di reti e sistemi e cloud computing. È generalmente riconosciuto che una qualche forma di training strutturato possa accelerare il percorso nella ricerca di un lavoro.

Percorsi di sviluppo professionale nell'ambito della cybersecurity

Una carriera nella cybersecurity può prendere direzioni diverse, a seconda degli interessi e degli obiettivi personali. Ecco come può specializzarsi un analista nel campo della cybersecurity:

Ingegneria e architettura

I security engineer utilizzano le proprie conoscenze su minacce e vulnerabilità per creare e implementare sistemi di difesa contro una vasta gamma di problemi di sicurezza. I security engineer possono diventare security architect, responsabili dell'intera infrastruttura di protezione di un'organizzazione. Le competenze per questo ruolo includono:

• Pensiero critico
• Conoscenze di rete IT
• Amministrazione del sistema
• Valutazione del rischio

Incident response

Nonostante i notevoli sforzi per garantire la cybersecurity, le organizzazioni possono comunque rimanere vittime di incidenti di sicurezza. Il settore dell'incident response si focalizza sulle misure richieste dopo che ha avuto luogo un incidente di sicurezza. I responsabili dell'incident response monitorano la rete dell'organizzazione e lavorano per correggere le vulnerabilità e ridurre al minimo le perdite in caso di violazioni. 

L'incident response riguarda anche l'analisi forense digitale e il cybercrimine. Gli esperti di analisi forense digitale collaborano con le forze dell'ordine per recuperare dati dai dispositivi digitali e condurre indagini sul cybercrimine. Le competenze per questo ruolo includono:

• Technical writing e documentazione
• Strumenti di rilevamento delle intrusioni
• Software di analisi forense
• Attenzione al dettaglio

Gestione e amministrazione

I responsabili della cybersecurity supervisionano la rete e i sistemi di sicurezza informatica di un'organizzazione. Si tratta di ruoli per chi ha più esperienza. Un responsabile della cybersecurity può gestire i team di sicurezza, coordinare i diversi team e garantire la conformità ai requisiti di sicurezza. In genere, il ruolo di sicurezza più elevato in un'organizzazione è quello di Chief Information Security Officer (CISO). Lavorare nella sicurezza a un livello esecutivo spesso significa gestire operazioni, criteri e budget nell'ambito dell'infrastruttura di sicurezza dell'azienda. Le competenze per questo ruolo includono:

• Gestione di progetti
• Gestione del rischio
• Leadership
• Collaborazione

Consulenze

Le organizzazioni assoldano consulenti per la sicurezza per testare sistemi di reti e computer alla ricerca di vulnerabilità o rischi per la sicurezza. In questo ruolo, si metteranno in atto attività di offesa e difesa nel campo della cybersecurity testando i sistemi in cerca di vulnerabilità e rilasciando raccomandazioni per consolidare questi sistemi. Le competenze per questo ruolo includono:

• Penetration testing e vulnerabilità
• Gestione delle minacce
• Sistemi operativi

Testing e hacking

Questo campo della cybersecurity è noto con vari nomi, tra cui sicurezza offensiva, red team, hacking white hat e hacking etico (ulteriori informazioni sui diversi tipi di hacking sono disponibili qui). Chi lavora nell'ambito della sicurezza offensiva ha un approccio proattivo alla cybersecurity. Infatti, rivestendo i panni del criminale informatico, cerca di identificare le vulnerabilità prima che lo faccia un hacker vero e proprio. Chi si occupa di penetration testing cerca di identificare e sfruttare le debolezze del sistema per aiutare le aziende a realizzare sistemi più sicuri. Gli hacker etici provano ancora più vettori di attacco (come il social engineering) per rivelare le debolezze della sicurezza. Le competenze per questo ruolo includono:

• Crittografia
• Penetration testing
• Conoscenze di rete
• Creazione di script

Tipologie di cyberattacchi

Gli attacchi informatici includono, tra gli altri:

• Phishing: implica l'invio di messaggi e-mail fraudolenti come se provenissero da una fonte attendibile. L'obiettivo è quello di sottrarre informazioni sensibili come dettagli di pagamento o credenziali di accesso.
• Malware: software dannoso che tenta di ottenere un accesso non autorizzato e danneggiare un computer o una rete.
• Ransomware: simile al malware, ma l'obiettivo è quello di bloccare l'accesso ai file presenti in un computer finché la vittima non paga un riscatto.
• DDoS: attacco Distributed Denial of Service, in cui il cybercriminale attacca le risorse di un sistema in modo che non funzioni correttamente.
• Attacco SQL (Structured Query Language) injection: avviene in un sito Web basato su database quando l'hacker manipola una query SQL standard. Viene messo in atto inserendo un codice dannoso nella casella di ricerca di un sito Web vulnerabile, forzando così il server a rivelare informazioni cruciali.
• Cryptojacking: avviene quando gli hacker accedono al computer di un utente per il mining di cryptovaluta. 
• Exploit zero-day: gli hacker sfruttano una vulnerabilità della sicurezza nota ma non ancora corretta.
• Minacce interne: una minaccia che non implica l'intervento di terzi ma avviene a livello interno. Potrebbe provenire da un individuo all'interno dell'organizzazione con una conoscenza estesa dell'organizzazione stessa. Le minacce interne hanno il potenziale per causare danni significativi. 

Cybersecurity Awareness Month

Negli Stati Uniti, dal 2004 il Presidente e il Congresso hanno dichiarato ottobre il Cybersecurity Awareness Month, ovvero il mese della sensibilizzazione alla sicurezza informatica. L'intento è quello di aiutare gli utenti a proteggersi online di fronte alla crescente diffusione delle minacce informatiche. Negli Stati Uniti, la Cybersecurity and Infrastructure Security Agency (CISA) e la National Cybersecurity Alliance (NCA) collaborano con il governo e il settore per aumentare la cybersecurity awareness sia nel paese che nel resto del mondo.

Best practice per la risposta agli attacchi informatici

In che modo dovrebbero rispondere le aziende a un cyberattacco? Ecco una guida dettagliata:

Passaggio 1: rivolgersi a un team di risposta

Una volta che è stato identificato un attacco, la prima cosa che un'organizzazione dovrebbe fare è proteggere l'infrastruttura IT il più rapidamente possibile e mobilitare un team di risposta per la cybersecurity. La prima attività del team è identificare la fonte dell'attacco e la sua causa. In base alle risorse dell'organizzazione, questo team può essere interno o costituito da terzi. La cosa importante è muoversi rapidamente e iniziare ad agire mentre le prove sono ancora fresche.

Passaggio 2: Determinare il tipo di attacco

Identificare il tipo di cyberattacco consente al team di risposta per la cybersecurity di mettere in atto le misure appropriate. Sapere che tipo di attacco si sta verificando permette di concentrare le risorse in modo efficace in modo da contenere l'attacco e riprendersi dai suoi effetti.

Passaggio 3: Contenere la minaccia

Dopo che il tipo di attacco è stato identificato e confermato, il passaggio successivo consiste nell'impedire che la minaccia causi ulteriori danni. La maggior parte degli attacchi passivi è progettata per fornire agli hacker una backdoor permanente nei sistemi di un'organizzazione, in modo da poter continuare a estrarre dati nel tempo. Per questa ragione, è importante identificare e chiudere tutti gli accessi a un sistema di cui gli aggressori potrebbero disporre. 

Passaggio 4: Denunciare alle autorità competenti

A seconda della portata e della natura dell'attacco, potrebbe essere necessario segnalare l'incidente alle forze dell'ordine locali. Quanto prima verranno informate, maggiore sarà l'aiuto che potranno dare. In base al settore e alla giurisdizione, potrebbe essere necessario informare anche specifiche agenzie o enti locali del settore. In presenza di assicurazioni informatiche, occorrerà contattare il prima possibile anche la compagnia assicurativa.

Passaggio 5: Comunicare con le parti interessate

Se l'attacco ha avuto ripercussioni sui dati dei clienti, dovranno essere informati dell'accaduto. È importante essere il più chiari e trasparenti possibili su quello che è avvenuto. Se sono state coinvolte anche altre aziende con cui si lavora, sarà necessario informarle. I cyberattacchi possono comportare notevoli danni in termini di reputazione, quindi è consigliabile collaborare con uno specialista in PR per determinare il modo migliore per gestire le comunicazioni e l'impatto dell'incidente sulle pubbliche relazioni.

Corsi di formazione sulla cybersecurity

Come imparare la sicurezza informatica? Può essere utile un corso di formazione sulla cybersecurity. Con un panorama delle minacce in costante evoluzione, è essenziale che gli specialisti della sicurezza IT così come gli altri team di un'organizzazione mantengano sempre aggiornate le proprie competenze. Kaspersky offre corsi di formazione online per il personale per apprendere strategie efficaci per il rilevamento e la mitigazione delle minacce.

Questi corsi possono essere seguiti da casa e sono tenuti da esperti che sanno come gestire le minacce poste dagli oltre 350.000 tipi di malware con cui ogni giorno si interfacciano e in che modo condividere queste conoscenze con chi si trova ad affrontare i pericoli in continua evoluzione dell'attuale realtà informatica.

Pertanto questi corsi possono essere utili sia al professionista di sicurezza informatica che intende migliorare le proprie competenze che al team manager che vuole investire in un team SOC e di risposta agli incidenti. Ulteriori informazioni sulla formazione sulla cybersecurity online per gli esperti sono disponibili qui.

Ulteriori approfondimenti:

• Cos'è l'Extended Detection and Response?
• Come il concetto di zero trust sta plasmando la cybersicurezza su larga scala
• Che cos'è il furto di dati e come proteggere i dati