Ottobre è il mese della sicurezza informatica e continuano gli appuntamenti con i consigli di Sophos.
Il secondo spunto è proposto da Craig Jones, Cyber Security Manager di Sophos, che sul blog dell’azienda dedica un’interessante riflessione al tema della sicurezza informatica in una realtà come Sophos, che nel settore è da sempre in prima linea contro i cyber-criminali.
Contrariamente al famoso detto “predica bene e razzola male”, Sophos investe molte risorse in iniziative volte a fornire ai propri dipendenti tutte le informazioni e gli strumenti necessari a proteggere loro stessi, i loro device e dunque l’Azienda da possibili rischi legati ad attacchi e minacce Web.
Chi lavora vuole garantire ai propri colleghi e ai clienti il massimo del supporto e dell’efficienza ma così facendo c’è il rischio di incorrere in comportamenti poco sicuri e dunque offrire ai cyber criminali comodi accessi alla rete e ai dati sensibili dell’azienda…con conseguenze potenzialmente devastanti.
Chi attacca sfrutta infatti le debolezze della natura umana come la curiosità o la distrazione, peculiarità che naturalmente non affliggono le macchine e che possono indurre l’utente a commettere errori di valutazione dannosi per la sicurezza sua e dell’azienda.
La miglior difesa da questi attacchi di tipo social engineering è una giusta combinazione di controllo e consapevolezza che prende il via da una semplice policy che fornisca indicazioni chiare per tutelare la sicurezza, supportata da un’adeguata campagna formativa.
A chi posso chiedere aiuto?
Di fondamentale importanza per tutte le aziende è prevedere un singolo riferimento al quale i dipendenti possano rivolgersi per chiedere spiegazioni, segnalare problemi, condividere dubbi legati alla sicurezza. Spesso i più grossi incidenti in questo ambito nascono da un episodio apparentemente insignificante e sottovalutato ed è dunque fondamentale comunicare efficacemente a tutta l’Azienda i contatti della persona selezionata per questo compito
Educare attraverso la consapevolezza
In Sophos esiste una campagna interna di educazione chiamata “I 7 peccati capitali della sicurezza” che punta a condividere con i dipendenti le principali tematiche legate al tema della security: dal phishing alla gestione delle password fino alla gestione sicura della condivisione dei documenti.
Una campagna recente promossa in azienda “Non lasciare che i tuoi dati vengano…rapiti: cripta!” è stata lanciata in concomitanza con il lancio di Sophos SGN 8 file-level encryption product.
Grazie a queste iniziative, tutti i nostri dipendenti vengono informati tramite post sul blog, locandine negli uffici e banner in merito ai rischi nei quali possono incorrere e sugli strumenti per proteggersi efficacemente.
Non solo per i nuovi arrivati
La formazione in ambito sicurezza e il rafforzamento della consapevolezza dei rischi legati ad un uso imprudente di web e tecnologia non dovrebbero essere appannaggio esclusivo dei nuovi arrivati in azienda né tantomeno venire percepite come una pratica da sbrigare in fretta per rispettare la conformità alle normative di legge.
Si tratta invece di un processo che deve essere continuativo e che va comunicato attraverso canali diversificati al fine di mantenere viva l’attenzione dei dipendenti.
Phishing
Una delle tecniche che in Sophos viene utilizzata maggiormente per rafforzare la consapevolezza dei dipendenti è rappresentata dai “phising test”. Basati su reali minacce ricevute dal nostro team per la sicurezza, questi test replicano domini simili a quelli di nostra proprietà. Tendenzialmente viene eseguito un test al mese e chi cade in trappola riceve una sessione di formazione ad hoc per chiarire le implicazioni che un comportamento imprudente può avere per sé e per l’azienda.
Chi lavora in Sophos è incoraggiato a segnalare tempestivamente agli esperti di sicurezza dell’azienda eventuali anomalie o potenziali rischi per la sicurezza. Ciò è reso possibile da un semplicissimo meccanismo per la segnalazione, che include un pulsante di Outlook per inoltrare direttamente tali presunte minacce informatiche al team responsabile del controllo e della verifica.
Password davvero sicure
In Sophos è disponibile anche un programma di revisione delle password: viene promosso l’utilizzo di password con requisiti idonei a resistere agli attacchi dei cyber-criminali e viene caldamente consigliato l’utilizzo di applicazioni per la gestione automatica delle password. Qualunque utente interno all’azienda utilizzi password ritenute deboli dagli esperti viene invitato ad approfondire la campagna dedicata proprio al ruolo chiave che le password rivestono nella tutela dei dati.
Questo è solo un assaggio….
…quanto descritto rappresenta solo una piccola parte del modo in cui viene sviluppata la cultura della sicurezza all’interno di Sophos. Ciò che è fondamentale ribadire è che si tratta di un processo costante e non semplicemente di un compito da smarcare velocemente e distrattamente.