phish&chips

Phish &…Tips

Come organizzare efficacemente un corso di Security Awareness
…e perché è importante.

Ti sei mai chiesto come organizzare un corso sulla security awareness che possa piacere agli impiegati e che si riveli efficace anche a lungo termine? In questo articolo, sveleremo alcune tecniche che abbiamo trovato utili e che ti aiuteranno a pianificare il tuo programma di formazione alla consapevolezza delle minacce informatiche.

KnowBe4 aiuta le organizzazioni di tutto il mondo ad aumentare il livello di consapevolezza su phishing e le altre minacce di ingegneria sociale. La nostra esperienza ci ha fornito preziose intuizioni su come incrementare la consapevolezza in modi efficaci, divertenti ed informativi.

Perché il Phishing richiede un’attenzione speciale

Il phishing è il ‘piede nella porta’ di un’organizzazione e costituisce abitualmente il primo passo nelle truffe cosiddette di payment redirection, in cui un criminale si spaccia per un nostro fornitore in modo da indurci a modificare le credenziali del nostro conto bancario, o nelle frodi BEC (Business Email Compromise), una forma di attacco di phishing in cui un truffatore si finge un dirigente dell’organizzazione (spesso il CEO) per indurci a trasferire fondi o rivelare informazioni confidenziali. I criminali informatici considerano le piccole imprese come prede facili perché sono spesso prive di personale dedicato alla sicurezza IT e il loro personale non ha la formazione o esperienza necessarie per fronteggiare con successo le frodi informatiche.

Fonte: Kaspersky [CC BY-SA 4.0 (https://creativecommons.org/licenses/by-sa/4.0)], via Wikimedia Commons

Il phishing è tra le prime cause di data breach: secondo numerosi rapporti oltre il novanta per cento degli incidente di sicurezza che provocano la perdita o la compromissione di dati è scatenato da un’email di phishing. La buona notizia è che il rischio di phishing è attenuabile con la giusta combinazione di istruzione, modifica dei processi di business e tecnologie anti-phishing.

Probabilmente tutti noi abbiamo partecipato a qualche sessione di formazione che ci ha annoiati a morte con con fatti irrilevanti e tediosi, banalità e consigli superati.

Sebbene il tema della security awareness possa inizialmente non sembrare allettante, dei buoni contenuti riusciranno a catturare l’attenzione della tua audience. Analogamente a quanto accade in alcune seguitissime serie TV in cui sono narrati fatti assolutamente ordinari, i tuoi impiegati troveranno affascinanti le tue sessioni se ben scritte. Ricorda ‘Il contenuto è il re‘ ha scritto Bill Gates nel 1996, e ciò è applicabile anche ai contenuti formativi.

Se intendi scrivere da te i tuoi contenuti, segui questi suggerimenti per catturare l’attenzione della tua audience:

1. Rendi significativi i tuoi contenuti

Innanzitutto, rendi i tuoi contenuti più familiari possibile. Non vi è  nulla di più distaccato che il ripetere a pappagallo:

  • fatti vecchi e stantii circa una rapina miliardaria di oltre due anni fa;
  • Casi di studio e storie di altri paesi, o di settori di business diversi dal tuo.

Al contrario, utilizza articoli recenti dai giornali locali su aziende del tuo stesso settore o simile al tuo per spiegare perché le più recenti minacce informatiche sono rilevanti per la tua organizzazione. Per esempio, se la tua azienda opera nel campo delle comunicazioni, racconta loro l’affascinante storia del data breach di Telecom Trust, iniziato tra il 2001 e il 2003 e protrattosi fino al 2017, in cui sono stati sottratti i dati di quasi 600 indirizzi PEC.

Lavorare in Telecom Italia: offerte di lavoro e stage ...

Oppure, se lavori nel settore bancario, racconta ai tuoi impiegati del recentissimo data breach di Unicredit , in cui i criminali informatici hanno ottenuto i dati di accesso di oltre 700.000 correntisti utilizzando tecniche tutto sommato abbastanza primitive.

2. Un’immagine vale più di mille parole

Fai degli screenshot delle email di phishing ricevute dalla tua azienda. Le email reali mostreranno perché è necessario un alto livello di vigilanza e perché i consigli obsoleti come ‘sii sempre sospettoso se ricevi email in con errori di ortografia’ raramente funzionano. Il tuo team IT può essere una buona fonte di email altamente sofisticate come quella riportata qui sotto.


3. Introduci un cambiamento positivo in modo semplice

La gestione del cambiamento è un argomento tanto vasto che ci vorrebbe un libro intero per parlarne in modo esaustivo. Anche se dotati delle migliori intenzioni, i tuoi impiegati possono resistere a un cambiamento positivo se aborrito. La resistenza al cambiamento può essere dovuta a ragioni molteplici come la paura dell’ignoto, quella perdere il lavoro o di uscire dalla propria routine, dalla propria comfort zone. Per affrontare questo tipo di resistenza, incoraggiali a seguire buone pratiche di sicurezza in primo luogo a casa propria.

Fonte: changedynamics.biz

Ad esempio, lo sfruttamento di credenziali altrui è uno dei metodi più semplici con cui i criminali hanno accesso alle email aziendali per commettere frodi BEC (vedi sopra). In breve, i cattivi usano le password del tuo staff trafugate in qualche precedente data breach per accedere massivamente alle caselle email aziendali. I tuoi impiegati dovrebbero scegliere password uniche per ogni account ed utilizzare un’app di password management per ricordarle.

Dimostra come tutti possono proteggere i propri account personali. Una volta che avranno visto a casa propria il valore delle buone pratiche di sicurezza, seguiranno le stesse pratiche anche al lavoro.

Per esempio, le credenziali degli account sui social media (come Facebook) e di quelli dei giochi vengono spesso rubate con tecniche di stuffing e poi vendute sul dark web per pochi dollari. Sono target facili perché le persone tendono ad utilizzare le loro password favorite anche quando sono state compromesse in un data breach.

Per un individuo è disastroso perdere l’accesso al proprio account. Così, una volta definiti di rischi derivanti dal riutilizzo delle password durante la formazione, spiega al tuo personale come può evitare che questo accada a loro e alle loro famiglie. Nello specifico, dovrebbero:

  • non riutilizzare la stessa password per più account;
  • affidarsi ad un password manager per memorizzare e recuperare queste password uniche;
  • optare per l’autenticazione a 2 fattori quando è supportata.

Esistono della app come Keeper  che ti permettono di memorizzare un numero infinito di password in piena sicurezza (no, creare un elenco delle password in Word e conservarlo sul proprio computer NON è un metodo sicuro per ricordarsi le password! :-D). Oppure GateKeeper che, oltre a memorizzare le password, si combina con un token di autenticazione che sblocca e sblocca automaticamente la tua postazione via wireless, e supporta l’autenticazione a 2 fattori. Potresti pensare di offrire dei voucher perché le possano provare a casa propria di modo che, quando deciderai di introdurre l’autenticazione a 2 fattori in ufficio, non incontrerai alcuna resistenza perché tutti saranno già abituati a metodi di autenticazione robusti e ne saranno rimasti contenti.

4. Valida i tuoi risultati con il phishing simulato

Infine, provare per credere. Ancor prima della formazione, la simulazione di un attacco di phishing è un metodo eccezionale per misurare il livello di rischio della tua organizzazione.

Il vantaggio è duplice:

  • puoi individuare i membri del tuo staff più vulnerabili e,
  • misurare l’efficacia della tua formazione.
phishpronepercentage

La dashboard di KnowBe4 mostra l’andamento dei risultati delle campagne di phishing simulato

E’ possibile utilizzare email di phishing reali come template per replicare un attacco effettivo nel modo più accurato possibile: trovare email di phishing nella propria cartella di spam è più semplice che mettersi ad inventarle.

Per effettuare campagne di phishing, puoi affidarti a strumenti open source o prodotti a pagamento. Il vantaggio di questi ultimi è costituito sia dai template di phishing gratuiti che dai materiali aggiuntivi di e-learning (giochi, video, quiz interattivi) che mettono a disposizione.

5. Dopo il Training

Il tuo lavoro non finisce con la fine della formazione. Noi tutti abbiamo partecipato a meeting di cui non ricordavamo una sola parola nel momento stesso in cui lasciavamo la sala. La buona notizia è che ci sono alcuni trucchi che ti possono aiutare ad ottenere degli effetti più a lungo termine.


La ‘curva dell’oblio’ spiega perché l’apprendimento è difficile (Fonte: growthengineering.co.uk)

Una volta effettuate le sessioni di awareness, abbiamo scoperto che campagne di follow-up di phishing simulato costituiscono un metodo efficace per misurare il successo del corso. I risultati sono spesso strabilianti dal momento che tipicamente si osserva una drastica riduzione del numero di persone ingannate dalle false email rispetto a quello rilevato prima del training. Analogamente, grazie ad esse puoi dimostrare il valore dei tuoi sforzi.

Come secondo ‘trucco’, puoi consolidare le buone pratiche di sicurezza premiando il tuo staff. Per esempio, gli impiegati che notificano le email di phishing al tuo dipartimento IT entro le prime due settimane dal termine della formazione potrebbero avere una chance di vincere una gift card o qualcosa di simile. Grazie a piccoli incentivi come questo, hai buone possibilità di mantenere alto il livello di consapevolezza degli impiegati anche dopo il training.


Inoltre, le sessioni di training dovrebbero essere ripetute su base regolare poiché gli effetti positivi tendono a svanire con il tempo, e le campagne di phishing simulato dovrebbero essere un esercizio di routine in modo da:
  • mantenere un alto livello generale di security awareness e vigilanza;
  • individuare nuovi impiegati (neo-assunti, lavoratori a contratto, ecc.) che risultino vulnerabili rispetto alle minacce di ingegneria sociale;
  • individuare membri dello staff che richiedano ulteriore istruzione; e
  • aumentare la consapevolezza su nuovi tipi di email che potrebbero ricevere.

Infine, condividi le tue slides all’interno dell’organizzazione e incoraggia tutti ad utilizzarle come guida di riferimento. Se riesci a trovare il tempo, potresti anche scrivere un articolo da postare sull’intranet aziendale in base ad esse, rendendo il contenuto più accessibile per coloro che non hanno potuto partecipare al training.

Conclusioni

Le attuali sfide relative alla sicurezza informatica richiedono di affrontare tre elementi basilari: persone, processi e tecnologie. Ma quando hai a che fare con l’ingegneria sociale, la tua ultima linea di difesa sono proprio loro: le persone. Pertanto, un programma di security awareness deve essere parte integrante della tua strategia cyber. In base alla nostra esperienza ti raccomandiamo:

  • crea dei contenuti pregnanti e utilizza reali email di phishing che la tua azienda ha ricevuto;
  • incoraggia gli utenti a seguire buone pratiche di sicurezza a casa ancor prima che in ufficio;
  • considera la formazione un processo continuo;
  • verifica l’efficacia del tuo training con simulazioni di phishing prima, durante, dopo e dopo ancora.

Sei pronto a partire? Per iniziare, puoi utilizzare lo strumento offerto gratuitamente da KnowBe4. ASAP (Automated Security Awareness Program) è un rivoluzionario strumento che ti permete di creare in pochi minuti un completo programma di security awareness comprendente compiti operativi, suggerimenti utili sulla gestione e sulla formazione, e un calendario da poter condividere con il tuo team e con il CdA.

Provalo, è gratis!

https://www.knowbe4.com/automated-security-awareness-program

No Comments
Post a Comment