Sababa Awareness Program è una piattaforma che, con un approccio integrato, vuole migliorare il livello di consapevolezza degli utenti finali in materia di sicurezza informatica. Il fattore umano è ancora oggi infatti il vettore primario utilizzato dalla criminalità IT per insinuarsi all’interno delle organizzazioni. Di solito con strategie offensive che si fanno sempre più sofisticate. Sono proprio gli utenti, con diversi background, ruoli e influenze all’interno delle aziende che svolgono e affrontano attività e situazioni differenti nella loro quotidianità lavorativa. Allo stesso tempo, con i loro comportamenti non adeguati, aprono inconsapevolmente la porta agli attaccanti.
Attacchi cresciuti esponenzialmente
Secondo quanto emerso dal Rapporto Clusit 2023, l’Italia ha avuto un notevole incremento di cyber-attacchi andati a segno nel 2022, arrivando a raggiungere il 7,6% degli attacchi globali (contro il 3,4% del 2021). E, solo negli ultimi 5 anni, la situazione è peggiorata nettamente. Infatti confrontando i numeri del 2018 con quelli del 2022, la percentuale di crescita di attacchi rilevati è stata del 60%.
Il livello di attenzione
Competenze generali di cybersecurity e la conoscenza di argomenti specifici di sicurezza rilevanti per ogni area di competenza aiutano infatti i dipendenti ad acquisire un “comportamento digitale” più sicuro e consapevole sul lavoro. I cyber criminali inoltre sfruttano l’emotività degli utenti che, sotto pressione dall’urgenza, dalla gerarchia e richieste di aiuto, abbassano il livello di attenzione. Questo li induce a compiere azioni che risultano essere pericolose per la sicurezza aziendale.
Migliorare la consapevolezza
Il programma, personalizzabile in base alle esigenze del cliente, si sviluppa tramite attività integrate e ricorrenti di formazione e verifica del livello raggiunto. Il tutto svolto con contenuti formativi costantemente aggiornati sia in termini di argomenti sia di formato, in modo da mantenere alto il livello di interesse e il coinvolgimento degli utenti. Il programma prevede contenuti in diverse lingue standard o personalizzabili (tra cui l’Italia), la distribuzione di campagne di phishing per verificare il livello di attenzione e consapevolezza e una formazione differenziata per funzione aziendale e obiettivi, sia in termini di contenuti che di metodi di erogazione.
Coinvolgere attivamente gli utenti
Andrea Ghislandi, Chief Business Officer di Sababa Security
Il nostro primario traguardo, come azienda che si occupa di cybersecurity, è quello di prevenire rischi ed attacchi cyber che possano compromettere la sicurezza delle aziende. Per fare ciò, abbiamo deciso di creare un training program gestito dall’approccio integrato e suddiviso in diverse fasi. Così da coinvolgere gli utenti attivamente e, allo stesso tempo, informarli sui rischi sempre più diffusi dei cyber attacchi.
Come si struttura il progetto
Sababa Awareness prevede una formazione che si divide in 5 fasi. Si parte dalla Blind Campaign che permette di comprendere il livello di conoscenza dell’intera organizzazione aziendale tramite una raccolta delle informazioni. Queste sono necessarie alla definizione dell’ambiente, alla comprensione del perimetro, all’attivazione della piattaforma di e-learning e alla relazione con gli interlocutori interni all’azienda coinvolti nello sviluppo del programma. La seconda fase è il Training Program, per definire un piano integrato di formazione in base ai risultati evidenziati dalla Blind Campaign. Una volta approvato, il piano si svolge in un periodo di almeno 12 mesi e sfrutta diverse metodologie di formazione e verifica, per migliorare velocemente il livello di consapevolezza degli utenti.
Migliorare la consapevolezza in materia di sicurezza informatica
La terza fase, Reporter, è l’attivazione di un plugin per misurare l’effettiva capacità del personale aziendale di individuare campagne di phishing. E quindi di segnalarle alla struttura preposta all’analisi ed intervento. La quarta fase è suddivisa in due sottofasi, Targeted Campaign e Mixed Training. Si occupa, in primo luogo, di erogare campagne personalizzate in base alle esigenze del cliente e a quanto stabilito nella fase di programmazione.
Quindi di condividere contenuti di formazione – differenziati per livello di maturità, dipartimenti e ruolo aziendale – che sono collegati ad un test volto a verificare l’efficacia del momento formativo. Infine, l’ultima fase Program Review, che comprende un’analisi trimestrale dei risultati del programma. Necessaria per analizzare l’andamento delle attività, condividerle con il cliente ed eventualmente applicare azioni correttive sulla base degli obiettivi stabiliti nel piano generale.