wp-statistics
domain was triggered too early. This is usually an indicator for some code in the plugin or theme running too early. Translations should be loaded at the init
action or later. Please see Debugging in WordPress for more information. (This message was added in version 6.7.0.) in /home2/fasternet/blog.fasternet.it/wp-includes/functions.php on line 6114
Per comprendere a pieno il legame tra cultura e sicurezza di rete aziendale si può partire da un dato: secondo il Data Breach Investigations Report 2023 di Verizon, il 74% di tutti i breach “include (tra le cause, ndr) il fattore umano, determinato da errori, furto di credenziali, uso scorretto di privilegi d’accesso e social engineering”. Nonostante la percentuale sia inferiore rispetto all’anno precedente, laddove superava l’80%, il fattore umano della sicurezza resta determinante.
Negli anni, garantire la sicurezza di rete è diventato sempre più complicato. Almeno tre i motivi:
La complessità dello scenario potrebbe portare le aziende a concentrarsi unicamente sulle misure tecniche di protezione di reti e sistemi, ovvero su quei concetti di robustezza e resilienza che si raggiungono con strumenti e competenze ad hoc. Tuttavia, i dati ci dicono che a questi due pilastri si debba aggiungere saldamente, e non in posizione subalterna, proprio la cultura della sicurezza, la cui assenza (o “presenza modesta”) può essere facilmente sfruttata dai malintenzionati: al di là degli errori umani, il dilagare del social engineering e di pattern insidiosi come il Business Email Compromise (BEC) va in questa direzione. Prima di attaccare i sistemi, che richiede competenze specialistiche, i malintenzionati attaccano le persone, a garanzia di massima resa con costi contenuti.
Qual è lo scopo della cultura della sicurezza? Semplicemente, è quello di trasformare l’anello debole della catena (la persona) nella prima invalicabile misura di sicurezza a protezione dei sistemi aziendali e dei dati custoditi. Tuttavia, per quanto il concetto appaia logico, è nettamente più complesso attivare una trasformazione sistemica, e che come tale deve coinvolgere tutti i livelli aziendali, che delegare ad un partner il monitoraggio dei sistemi critici e delle reti, per quanto complesse esse siano. Un conto è avere competenze, un altro trasformare la cultura aziendale.
Per questo, in Fasternet ci occupiamo di entrambe le anime della sicurezza informatica: quella tecnica, con soluzioni su misura a protezione di sistemi, reti e processi, e quella umana, il cui fine non è soltanto fornire conoscenza, ma di aiutare l’azienda a plasmare una vera e propria security culture. Riteniamo che solo in questo modo sia possibile integrare comportamenti virtuosi in tutti i processi e le attività quotidiane, da una gestione oculata delle credenziali di accesso all’aggiornamento costante dei sistemi, dall’uso di tool che garantiscono un certo livello di protezione allo sviluppo di quella sana diffidenza che potrebbe contrastare qualsiasi attacco di phishing o, più in generale, di social engineering. Associando alla security culture soluzioni tecniche personalizzate che aiutano a rilevare i malware, a prevenire i comportamenti scorretti (es, invio via email di documenti confidenziali) e a proteggere dagli attacchi esterni, otteniamo un innalzamento concreto della postura di sicurezza aziendale, con contestuale (forte) riduzione dei livelli di rischio.
Per quanto concerne le modalità concrete con cui aiutiamo le aziende a sviluppare una cultura della sicurezza, l’elemento cardine sono i percorsi di security awareness, che pur integrando il concetto tradizionale di formazione, vanno ben al di là di esso. L’obiettivo che ci poniamo è sfidante, poiché si tratta di coinvolgere tutta l’azienda, top management incluso, e soprattutto di stimolare un dialogo continuo su questi temi, senza interruzione. Solo così si crea una cultura solida, che viene trasmessa naturalmente a tutte le nuove risorse.
Quello a cui puntiamo nei percorsi di awareness è l’engagement delle persone, e lo facciamo sì attraverso una formazione moderna, interattiva e on-demand, ma soprattutto grazie a strumenti, piattaforme e attività che, intrise di una forte componente pratica, portino le persone a integrare comportamenti virtuosi nelle loro routine di tutti i giorni.
Ci occupiamo quindi di simulare attacchi di phishing e di social engineering, di fornire contenuti aggiornati e interattivi, di favorire la comunicazione continua su questi temi e, soprattutto, di progettare percorsi personalizzati a livello di divisione e anche di singola persona, valutandone nel tempo la conoscenza, l’aumento di sensibilità e i comportamenti. A beneficio di tutta l’organizzazione.