Il Security Awareness Training è un’attività che mira a far comprendere agli utenti il loro ruolo nella prevenzione degli attacchi.
L’attività di Security Awareness Training si concentra sull’anello debole della cybersecurity per antonomasia: le persone. Gli errori commessi dagli utenti sono infatti la principale causa di incidenti di sicurezza.
Questa attività consiste nella formazione del personale relativamente a:
- Quali sono le giuste pratiche da seguire
- Quali sono i rischi associati alle loro azioni
- Come identificare gli attacchi che possono, ad esempio, verificarsi tramite e-mail o web
ARGOMENTI TRATTATI
Phishing
Il phishing è un’applicazione di tecniche di social engineering in cui un utente malintenzionato invia un messaggio fraudolento per indurre una vittima a rivelare informazioni sensibili o per distribuire software dannoso sull’infrastruttura della vittima come un ransomware. Sebbene sia generalmente associato alle e-mail, esse non sono l’unico modo in cui può verificarsi un attacco di phishing. Infatti, esso può essere effettuato anche tramite SMS (smishing), chiamate vocali (vishing) e social media. Questi messaggi possono essere specificamente personalizzati per rivolgersi a diversi membri della tua organizzazione che possono anche essere dirigenti di alto livello (come il CEO) e la cui compromissione potrebbe consentire all’attaccante di accedere a dati più sensibili rispetto a quelli ottenibili dalla compromissione di un dipendente di più basso livello. Ciò significa che ogni membro dell’organizzazione dovrebbe essere a conoscenza di questo tipi di attacchi.
Passwords
Le password sono il metodo di autenticazione più utilizzato in assoluto. Per tale motivo la maggior parte degli attacchi sono mirati a comprometterle. Gli utenti tendono infatti ad utilizzare password che non sono abbastanza complesse e sicure così da renderle facili da ricordare. Ciò mette a rischio non solo i loro dati personali, ma anche i dati dell’intera organizzazione. L’intero personale deve essere formato per seguire delle linee guida circa la gestione delle password che consenta di mitigare il rischio di compromissione. Ciò può includere l’avere una complessità minima della password, ma anche istruzioni su come gestire le password, come ad esempio la pratica di evitare l’uso della stessa password per account diversi.
Sicurezza dei Dati
Al giorno d’oggi, i dati sono il bene più prezioso di un’organizzazione. Il problema è che spesso i dipendenti non prestano sufficiente attenzione a come trattano questi dati. Comportamenti errati possono causare una fuga di informazioni o, peggio ancora, la completa compromissione dell’organizzazione. Alcuni esempi sono rappresentati da dipendenti che trattano dati riservati tramite i propri account personali o dispositivi che possono essere violati, o da dipendenti che semplicemente non proteggono sufficientemente tali dati riservati. È quindi necessaria una formazione su quali sono le migliori pratiche da seguire per evitare questi problemi.
Sicurezza Fisica
La sicurezza fisica è spesso trascurata, ma in realtà è tanto importante quanto lo è quella digitale. Lo schermo di un computer lasciato sbloccato o una password Wi-Fi scritta su un post–it sulla scrivania sono solo due degli infiniti esempi di comportamenti sbagliati in ufficio. Tali disattenzioni possono portare alla completa compromissione di un’organizzazione. Anche se la tua organizzazione non consente l’ingresso di estranei, un insider potrebbe potenzialmente trarre vantaggio da queste informazioni non adeguatamente protette. Ciò significa che è assolutamente necessaria una formazione del tuo personale su come garantire un elevato livello di sicurezza fisica.
e molto altro
Questi sono solo alcuni degli argomenti trattati durante l’attività di Security Awareness Training. Ci sono tantissimi altri argomenti che vengono trattati, come le minacce interne, i supporti rimovibili, i dispositivi mobili, lo smart working e l’utilizzo dei social media.