Perché la sicurezza di rete aziendale è anche questione di cultura 

Per comprendere a pieno il legame tra cultura e sicurezza di rete aziendale si può partire da un dato: secondo il Data Breach Investigations Report 2023 di Verizon, il 74% di tutti i breach “include (tra le cause, ndr) il fattore umano, determinato da errori, furto di credenziali, uso scorretto di privilegi d’accesso e social engineering”. Nonostante la percentuale sia inferiore rispetto all’anno precedente, laddove superava l’80%, il fattore umano della sicurezza resta determinante.

La relazione tra sicurezza di rete e la security culture 

Negli anni, garantire la sicurezza di rete è diventato sempre più complicato. Almeno tre i motivi: 

• ormai, le reti aziendali sfuggono da quel concetto chiuso e perimetrale nel quale sono state confinate per anni; 
• tutti i processi aziendali sono digitalizzati, con una naturale estensione della superficie d’attacco;  
• le aziende implementano con sempre maggiore frequenza modelli di lavoro agili, basati sull’accesso alle risorse aziendali da reti non sicure e con svariati dispositivi, anche personali. 

La complessità dello scenario potrebbe portare le aziende a concentrarsi unicamente sulle misure tecniche di protezione di reti e sistemi, ovvero su quei concetti di robustezza e resilienza che si raggiungono con strumenti e competenze ad hoc. Tuttavia, i dati ci dicono che a questi due pilastri si debba aggiungere saldamente, e non in posizione subalterna, proprio la cultura della sicurezza, la cui assenza (o “presenza modesta”) può essere facilmente sfruttata dai malintenzionati: al di là degli errori umani, il dilagare del social engineering e di pattern insidiosi come il Business Email Compromise (BEC) va in questa direzione. Prima di attaccare i sistemi, che richiede competenze specialistiche, i malintenzionati attaccano le persone, a garanzia di massima resa con costi contenuti.

Da anello debole della catena a protezione invalicabile 

Qual è lo scopo della cultura della sicurezza? Semplicemente, è quello di trasformare l’anello debole della catena (la persona) nella prima invalicabile misura di sicurezza a protezione dei sistemi aziendali e dei dati custoditi. Tuttavia, per quanto il concetto appaia logico, è nettamente più complesso attivare una trasformazione sistemica, e che come tale deve coinvolgere tutti i livelli aziendali, che delegare ad un partner il monitoraggio dei sistemi critici e delle reti, per quanto complesse esse siano. Un conto è avere competenze, un altro trasformare la cultura aziendale.  

Per questo, in Fasternet ci occupiamo di entrambe le anime della sicurezza informatica: quella tecnica, con soluzioni su misura a protezione di sistemi, reti e processi, e quella umana, il cui fine non è soltanto fornire conoscenza, ma di aiutare l’azienda a plasmare una vera e propria security culture. Riteniamo che solo in questo modo sia possibile integrare comportamenti virtuosi in tutti i processi e le attività quotidiane, da una gestione oculata delle credenziali di accesso all’aggiornamento costante dei sistemi, dall’uso di tool che garantiscono un certo livello di protezione allo sviluppo di quella sana diffidenza che potrebbe contrastare qualsiasi attacco di phishing o, più in generale, di social engineering. Associando alla security culture soluzioni tecniche personalizzate che aiutano a rilevare i malware, a prevenire i comportamenti scorretti (es, invio via email di documenti confidenziali) e a proteggere dagli attacchi esterni, otteniamo un innalzamento concreto della postura di sicurezza aziendale, con contestuale (forte) riduzione dei livelli di rischio. 

Il nostro approccio alla Security Awareness 

Per quanto concerne le modalità concrete con cui aiutiamo le aziende a sviluppare una cultura della sicurezza, l’elemento cardine sono i percorsi di security awareness, che pur integrando il concetto tradizionale di formazione, vanno ben al di là di esso. L’obiettivo che ci poniamo è sfidante, poiché si tratta di coinvolgere tutta l’azienda, top management incluso, e soprattutto di stimolare un dialogo continuo su questi temi, senza interruzione. Solo così si crea una cultura solida, che viene trasmessa naturalmente a tutte le nuove risorse.  

Quello a cui puntiamo nei percorsi di awareness è l’engagement delle persone, e lo facciamo sì attraverso una formazione moderna, interattiva e on-demand, ma soprattutto grazie a strumenti, piattaforme e attività che, intrise di una forte componente pratica, portino le persone a integrare comportamenti virtuosi nelle loro routine di tutti i giorni.  

Ci occupiamo quindi di simulare attacchi di phishing e di social engineering, di fornire contenuti aggiornati e interattivi, di favorire la comunicazione continua su questi temi e, soprattutto, di progettare percorsi personalizzati a livello di divisione e anche di singola persona, valutandone nel tempo la conoscenza, l’aumento di sensibilità e i comportamenti. A beneficio di tutta l’organizzazione.