Le aziende più solide dal punto di vista della sicurezza informatica sono quelle che affiancano a un efficace stack tecnologico un percorso di security awareness training. Il motivo è semplice da comprendere: visto che la tecnologia evolve di giorno in giorno e rende sempre più ardua la vita ai criminali, questi ultimi hanno rivolto da tempo le proprie attenzioni all’anello debole della catena, quello umano. Secondo una ricerca di Verizon, il 94% degli attacchi che hanno avuto successo (2019) all’interno delle aziende sono stati veicolati tramite l’e-mail. Sviluppare la giusta consapevolezza e comportamenti virtuosi, nonché un po’ di sana diffidenza di fronte a certe richieste, è ormai un obbligo assoluto per ogni azienda che non possa permettersi un data breach.
L’approccio di LumIT, le competenze e gli strumenti di Security Awareness Training
Forte delle sue competenze specialistiche e di un’esperienza più che decennale nel territorio della cyber security, LumIT è il partner ideale per accompagnare le imprese in un percorso di security awareness training efficace e dai risultati misurabili. Il concetto è proprio quello dell’efficacia: per questo, non bisogna confondere un percorso di security awareness training con un mero corso di formazione a tutta (o quasi) la popolazione aziendale. LumIT, infatti, lavora con metodologie testate e piattaforme dedicate, al fine di creare una cultura della sicurezza in grado di proteggere l’azienda anche di più dei tradizionali strumenti di difesa. In particolare, ci sono quattro aspetti su cui l’esperienza e le competenze di LumIT possono davvero fare la differenza. Eccoli:
– Utilizzo di strumenti leader di mercato
LumIT gestisce il percorso di Security Awareness Training a stretto contatto col cliente e si avvale di una piattaforma leader di mercato: PSAT di Proofpoint. La piattaforma comprende più di 200 moduli di formazione, che coprono un ampio spettro di tematiche, tra cui social engineering, phishing, sicurezza della rete, GDPR, sicurezza fisica dei luoghi di lavoro, dello smart working e molto altro. La piattaforma rappresenta il basamento stabile e sempre aggiornato su cui i project manager LumIT impostano, secondo una metodologia di comprovata efficacia, tutto il percorso di training. La flessibilità del software consente a LumIT di creare iter personalizzati, survey, attacchi simulati, verifiche e di impostare un percorso di formazione continua in base ai risultati, cioè con un approccio fortemente data-driven.
– Approccio e metodologia orientata ai risultati
Il valore di LumIT dipende chiaramente dalla sua esperienza in ambito security e nei percorsi di formazione ad hoc, ma anche dalla conoscenza della piattaforma Proofpoint. “La piattaforma è di per sé ricca di contenuti e di funzionalità – afferma Daniele Tieghi, Strategic Operations Manager di LumIT – ma alle aziende mancano le competenze su come usarla al meglio e indirizzarla verso risultati tangibili. L’esperienza ci permette di creare programmi personalizzati in funzione delle loro esigenze e del livello di awareness, garantendo una notevole differenza tra un uso ‘fai da te’ della piattaforma e una gestione puntuale da parte nostra”.
L’attività di LumIT parte dall’Assessment, fondamentale per comprendere il livello culturale e di consapevolezza della sicurezza informatica. Vengono usati due strumenti: la somministrazione di questionari/survey agli utenti finali, che sono fondamentali per non erogare formazione generalizzata e poco efficace, e attacchi simulati che replicano le dinamiche di campagne reali e sono finalizzati a misurare il tipo di reazione dell’end user. I risultati, conferma Tieghi, variano molto da un’azienda all’altra e dipendono da quanto seriamente avessero già affrontato il tema della protezione dalle minacce informatiche: di fronte a una campagna simulata di phishing, si può ottenere un 5% di fallimento come un 45%, da cui conseguenze molto diverse.
Adottando un approccio data-driven, LumIT lavora con l’azienda cliente per impostare tempi e contenuti di formazione in modo del tutto personalizzato, così da rendere il percorso più efficace possibile. Durante il ciclo di formazione, esistono poi specifici momenti di rinforzoche consistono in survey mirate e in nuovi attacchi simulati che, in caso di successo, iscrivono l’end user a un corso specifico e forniscono pillole di formazione just-in-timeal fine di evitare la reiterazione dell’errore. È anche possibile dare un ruolo attivo ai destinatari della formazione permettendo loro, grazie ad appositi plug-in, di segnalare mail sospette o eventuali attacchi in corso, contribuendo alla security posture dell’azienda. Tutto ciò si riflette sui dati, che vengono analizzati costantemente dai tecnici LumIT e sono fondamentali per valutare e migliorare l’efficacia del processo di formazione continua.
– Competenze e aggiornamento
LumIT può vantare una Business Unit dedicata alla sicurezza IT & Cyber Security e dispone di tutte le competenze interne per strutturare in modo più che adeguato un percorso di progressivo miglioramento della security awareness aziendale. Al costante aggiornamento della piattaforma impiegata per erogare la formazione si accompagna l’evoluzione costante dell’expertise dei tecnici e dei project manager dell’azienda.
– Notevole risparmio di tempo
Infine, ma aspetto tutt’altro che secondario, c’è il risparmio di tempo e di risorse: a meno che l’azienda non abbia personale con le giuste competenze da dedicare in modo pressoché esclusivo all’organizzazione e alla gestione dell’attività, un security awareness training gestito è un’ottima soluzione in termini di efficienza.
