Imparare a riconoscere le minacce come prima misura di difesa e protezione. Italiaonline sceglie Cyber Guru per la formazione dei dipendenti. I programmi di awareness e addestramento anti-phishing, integrati nella strategia cyber della prima internet company italiana
Articolo di Giuseppe Badalucco tratto da Data Manager
Italiaonline, nata dalla fusione per incorporazione con SEAT Pagine Gialle, è la più grande internet company italiana. Agenzia di comunicazione digitale, concessionaria di web advertising con oltre 29 milioni di utenti unici e quattro miliardi di impression mese, e storico email – 9.4 milioni di account gestiti con i portali Libero e Virgilio – occupa stabilmente i vertici della classifica dei portali più visitati in Italia.
«La cybersecurity è sicuramente un elemento importante per il business di Italiaonline» – racconta a Data Manager Marcello Fausti, head of cybersecurity.
…
Le strategie cyber di Italiaonline
…
«Siamo partiti con la gap analysis, il primo step per posizionare IOL rispetto alle best practice. Dopo l’analisi preliminare, abbiamo deciso di adottare il cybersecurity framework nazionale – uno strumento messo a disposizione di piccole e grandi aziende da parte del CIS Sapienza sul modello del NIST – sulla base del quale abbiamo predisposto un piano, articolato su 13 progetti entro un orizzonte temporale di 36 mesi. Con l’obiettivo di traghettare l’azienda verso un livello di maturità cyber disegnato sulle esigenze dell’azienda» – spiega Fausti. La cyber security awareness è uno di questi.
…
L’importanza del fattore umano
…
«In ambito security, il fattore umano riveste un ruolo centrale» – conferma Fausti. «La quasi totalità degli attacchi passa attraverso le email di phishing, perciò imparare a comprendere le minacce che possono celare è molto importante. Questa capacità si ottiene allenando le persone. In quest’ ottica abbiamo lanciato due iniziative, entrambe basate su Cyber Guru. La prima di e-learning, articolata lungo dodici mesi, in cui vengono proposti una serie di temi, ognuno composto da tre pillole. Lezioni agili e interattive con un test di apprendimento finale».
…
«La seconda – prosegue Fausti – ha come oggetto campagne strutturate di finto phishing, attraverso l’invio di email che simulano un tentativo di attacco». Un meccanismo centrato sull’interazione e la partecipazione attiva delle persone.
…
Verifica dell’apprendimento
….
«Già dopo cinque mesi di campagne mirate di finto phishing, abbiamo raggiunto livelli di click rate inferiori della metà rispetto al bench di mercato. Con percentuali di abbattimento sino all’85%. Anche rispetto a precedenti esperienze condotte in azienda meno di due anni fa».
…
Risultati sul campo
…
«Una modalità di formazione con una user experience anche minimamente macchinosa costituisce una barriera d’accesso insormontabile. Ma non è questo il caso. Al contrario, le soluzioni Cyber Guru adottano un approccio ludico che garantisce i risultati migliori».
Anche in termini di diminuzione degli incidenti di sicurezza. «Rispetto al numero di incidenti che gestiamo sui cosiddetti endpoint, abbiamo riscontrato diversi casi in cui le persone ci hanno segnalato email sospette che si sarebbero trasformate immediatamente in una compromissione del pc. Inoltre – prosegue Fausti – c’è stata una sensibile riduzione delle infezioni da malware sui pc. Pensiamo poi a tutti gli attacchi basati su social engineering che fanno leva sulla disponibilità di ciascuno di noi di fidarsi».
…
