Dumarey, il gruppo di eccellenza dell’automotiva
Dopo appena un anno con Cyber Guru il rischio cyber è molto più basso
Il Gruppo Dumarey si è costituito, con questo nome, da circa un anno ma la sua storia è molto più antica. Nasce dietro la spinta di Guido Dumarey, fondatore e attuale presidente, che nel 1983 ha effettuato la sua prima acquisizione: una piccola azienda belga specializzata nella punzonatura dei metalli. Fino a un anno fa conosciuto con il nome Punch, il gruppo si è affermato sul mercato come fornitore indipendente per lo sviluppo, l’integrazione e la produzione di sistemi di propulsione ad alte prestazioni, a partire da trasmissioni e motori. Il Gruppo impiega più di 3.000 persone in 6 sedi in Europa e Asia, con un fatturato annuo di circa 1 miliardo di euro.
Organizzato in diverse Business Unit, il Gruppo collabora e condivide il proprio know-how per soddisfare le varie esigenze e richieste dei clienti, dalle propulsioni alle trasmissioni e software integrati.
Considerata la mole di informazioni che gestisce, l’alto numero di dipendenti e il profilo tecnologico elevato, l’azienda ha scelto di avere una particolare attenzione alla sicurezza informatica.
A parlarcene è Paolo Carlo Pomi, Ciso dell’azienda da circa un anno che, oltre a puntare sulla tecnologia ha scommesso sulla formazione dei dipendenti, anche perché le certificazioni del settore richiedono che l’azienda si impegni nella formazione e consapevolezza del personale su temi di sicurezza cyber.
“Credo che per essere più resistenti agli attacchi di ingegneria sociale – racconta Pomi – sia necessario un continuo addestramento. Nel mio campo l’efficacia del corso frontale, fatto una volta l’anno, può risolvere il problema di compliance, ma non è abbastanza efficace per gestire il rischio. Su questo tema spesso la comunicazione risulta noiosa e poco coinvolgente. Per proteggere l’azienda dal crescente rischio cyber, la tecnologia deve essere affiancata ad una soluzione formativa di facile e veloce distribuzione e di misurabile efficacia, che in sia in grado di abbassare il rischio in breve tempo, trasformando i dipendenti nella prima linea di difesa dagli attacchi informatici”.
Secondo Pomi, la forza di un piano formativo come quello di Cyber Guru sta soprattutto nella continuità del messaggio. “Un programma continuo con sezioni di addestramento e di simulazione e con la verifica della resilienza di fronte agli attacchi di social engineering. Non si tratta di solo phishing, ma è un’altra linea di difesa, oltre a quella tecnologica, che trasforma ogni dipendente in un guardiano attento ai confini dell’azienda.”.
Inoltre, oggi siamo tutti connessi e spesso i due mondi, quello professionale e lavorativo e quello personale, si accavallano e si confondono.
“Questo, infatti, è un altro grande fattore di rischio che non si può più ignorare”, dice Pomi. “Per quanto ci si possa sforzare di tenere separati i due aspetti, anche utilizzando device aziendali, l’attacco di social engineering gioca molto su questa compenetrazione. Così, dato che non si possono controllare i dispositivi personali dei dipendenti, l’unica strada per abbassare il rischio è quella di far crescere la loro consapevolezza e la loro attenzione”.
Con Cyber Guru “Molti segnalano e pochi cliccano”
Il programma formativo di Cyber Guru è stato adottato dal Gruppo Dumarey da circa un anno prima nella sede di Torino e recentemente nelle altre sedi per solo per il personale in possesso di una mail aziendale.
“A lungo termine, il mio obiettivo – dice Pomi – è di estendere questo tipo di formazione anche alle persone che non hanno a disposizione un email aziendale. Di fatto, è un tipo di formazione utile anche per la sfera personale, e a prescindere dal contesto in cui si opera”.
Secondo Pomi, a un anno dall’adozione del programma formativo, si vedono già i primi importanti riscontri. “E’ senz’altro aumentata la consapevolezza e si è abbassato il livello di rischio. Molti segnalano e pochi cliccano. Un episodio che conferma questa nuova tendenza è quello di pochi giorni fa, un dipendente mi ha raccontato che per fare la prenotazione in un ristorante gli erano stati chiesti i dati della carta di credito. La pagina dove avrebbe dovuto inserirli era però strana e sprovvista di certificazione e così la prenotazione non è stata fatta. Questa è una conferma di come un percorso formativo come quello di Cyber Guru sia capace di alzare la soglia dell’attenzione per riconoscere un potenziale truffa. Non si trattava di un addetto ai lavori, ma di un commerciale. Quindi il messaggio, spiegato in modo concreto, pratico e comprensibile, arriva a tutti, a prescindere dalle mansioni che i dipendenti svolgono. Dopo un anno, il livello di sensibilizzazione è molto più alto di prima. Inoltre, questo garantisce all’azienda il buon esito delle visite degli auditor delle varie certificazioni che chiedono conto della parte di awareness e di quella di formazione”.
Certo, quello proposto da Cyber Guru è un modello formativo di nuova concezione e che si discosta di parecchio dalla formazione tradizionale.
“Il punto è – conclude Pomi – che l’utente medio non vuole sentire la teoria per addetti ai lavori ma vuole sapere, per esempio, quali sono concretamente le cinque cose più importanti che non deve fare per non cadere in una trappola informatica.
È necessario un addestramento continuo, perché anche il muscolo dell’attenzione va tenuto allenato.
Del resto, può capitare a tutti di dare involontariamente origine ad un attacco, basta un momento di distrazione per fare gravi danni, considerando che l’uso dell’intelligenza artificiale rende le tecniche di attacco sempre più scaltre e raffinate.
Il modello di Cyber Guru è vincente perché ha proprio questo tipo di approccio e tiene conto del fatto che ormai l’obiettivo dei criminali è prevalentemente quello umano e la sola tecnologia non è una barriera sufficiente”.