Banche e istituti finanziari sono frequentemente obiettivo di cyber attack. E come tali sono anche gli obiettivi spesso più difficili da aggredire.
Per l’importanza non solo economica dei dati custoditi le banche innalzano sempre più i livelli di controllo e cybersecurity, diventano sempre più tecnologicamente avanzate e controllate per evitare simili aggressioni.
Ovviamente come in ogni guerra di strategia, anche nel campo di battaglia telematico, quando si incontra un ostacolo troppo difficile da superare, si cercano vulnerabilità per evitare un attacco frontale. Nel caso specifico, inconsapevoli vettori di minacce sono coloro che hanno accesso facilitato ai dati bancari cioè gli operatori finanziari.
Operatori finanziari sotto attacco
Una ricerca effettuata dalla Clearswift conferma infatti che in un anno, il 70% degli operatori finanziari ha subito un incidente di sicurezza informatica. Quasi la metà di questi incidenti informatici non si è generato da carenze dei sistemi di sicurezza aziendale, ma dalla scarsa aderenza, da parte dei dipendenti, alle guideline di sicurezza o alle policy di data protection.
Spesso i veicoli di malware sono chiavette USB e dispositivi personali, mentre la condivisione di dati con soggetti non autorizzati a riceverli può costituire un carco nel sistema.
L’anello debole
Dunque, l’anello debole della catena è il fattore umano. L’imprevedibilità dei comportamenti individuali può creare disagi e danni ben maggiori di quanto ci si potrebbe aspettare. La singola disattenzione di un momento o la superficialità di un gesto possono avere conseguenze disastrose.
È di immediata evidenza come, il ricorso sempre più spinto allo smart working e al lavoro da remoto, dettato dalla situazione pandemica, renda il fattore umano ancora più fondamentale per la definizione di una corretta politica di sicurezza informatica.
Una corretta politica di awareness
I protocolli di awareness non possono limitarsi alla tradizionale formazione periodica.
Lo sviluppo e l’implementazione di strategie di security awareness è prioritario per arginare la crescita di attacchi di phishing e di social engineering. Basti pensare che nell’ultimo anno, anche a causa del lavoro da remoto, gli attacchi informatici sono aumentati del 25%.
Per quanto riguarda la gestione del personale, è indispensabile coadiuvare la formazione classica mutuata da contenuti online live e in streaming, con attività di assessment per monitorare le competenze iniziali e la loro evoluzione durante il percorso. Inoltre, bisogna considerare una formazione personalizzata in base alle mansioni del personale di una banca, un ente oppure un’azienda.
La gestione della piattaforma formativa
Per una corretta politica di sicurezza bisogna gestire adeguatamente una piattaforma formativa. Affidarsi ad un team competente e costantemente aggiornato su nuove tecniche di attacco e potenziali debolezze, può letteralmente salvare banche e aziende da tentativi di cyber attack.
Inoltre, per i dipendenti va considerato un addestramento di security awareness. Tale addestramento consiste in simulazioni di attacchi come campagne di phishing via e-mail e attacchi elaborati di social engineering.
Utili sono anche le tecniche di gamification, che rendono il percorso formativo più accattivante e coinvolgente per i dipendenti.
Trasformare il fattore umano, cioè l’anello debole della catena di cyber security, in uno strumento di sicurezza aggiuntivo può realmente fare la differenza nelle strategie di protezione aziendale.
