Via XXV Aprile 138 - 25038 ROVATO
+39 0307709666
info@safeshield.it

6. I Big Data e la Cyber Intelligence: raccolta e utilizzo

6. I Big Data e la Cyber Intelligence: raccolta e utilizzo
why-your-port-based-firewall-is-putting-your-network-at-risk-next-gen-firewall-for-enterprise-wlan

Giorgia Dragoni
Ricercatrice Senior Osservatorio Information Security & Privacy, Politecnico di Milano

Ilaria GuIndani
Ricercatrice Osservatorio Big Data Analytics & Business Intelligence, Politecnico di Milano.

La disponibilità di grandi quantità di dati offre opportunità di innovazione importanti, anche nel mondo della sicurezza. L’utilizzo è ancora focalizzato ad azioni ex post in seguito ad incidenti, per attività di audit o per creare una base di conoscenza, risulta invece limitato lo sviluppo ex ante di modelli predittivi di monitoraggio delle minacce

[rd_line margin_top=”10″ margin_bottom=”10″]

Un’enorme mole di dati a disposizione
Negli ultimi anni abbiamo assistito ad una vera e propria esplosione di dati, generati a grandissima velocità da una moltitudine di fonti informative. I dati possono essere generati dalle interazioni tra dispositivi elettronici (machine-to-machine; esempio: sensori, RFId, ecc.), tra persone (people-to-people; esempio: social network), oppure dalla relazione tra uomo e dispositivi elettronici (people-to-machine; esempio: transazioni legate agli acquisti online).
Per dare un’idea dell’entità del fenomeno, si stima che a partire dal 2012 vengano creati ogni giorno circa 2,5 Exabyte di nuovi dati: il 9o% dei dati attualmente a disposizione è stato generato soltanto nel corso degli ultimi anni III. Considerando a titolo esemplificativo il mondo dei Social Media come nuova fonte di dati, si possono mostrare numeri significativi: gli utenti social attivi in tutto il mondo sono circa 2.79 miliardi 121; in un minuto vengono generati circa 440 mila tweet su Twitter, 4.2 miliardi di like su Facebook, il mila ricerche su Linkedln.
Le organizzazioni si trovano quindi oggi ad avere la possibilità di poter scegliere gli strumenti più adatti, secondo le proprie esigenze, per raccogliere ed estrarre valore dai dati eterogenei disponibili quotidianamente.
Con il termine Big Data si fa riferimento a dati che possiedono le seguenti caratteristiche:

  • Volume: si tratta di un’ingente massa di dati generata attraverso numerosi canali, in continuo aumento a ritmi difficilmente prevedibili;
  • Velocità: considera la rapidità con la quale i dati vengono generati e acquisiti. Si tratta di una caratteristica legata alla proliferazione di dispositivi dotati di sensoristica capace di raccogliere dati in tempo reale;
  • Varietà: è legata alle differenti tipologie di dati disponibili provenienti da un numero crescente di fonti eterogenee. I dati possono essere strutturati o non strutturati, interni oppure esterni alle organizzazioni;
  • Veridicità: il termine fa riferimento alla qualità dei dati e alla loro affidabilità, la cui garanzia rappresenta una sfida molto importante;
  • Variabilità: esprime la mutevolezza del significato o dell’interpretazione di un dato a seconda del contesto in cui lo stesso viene raccolto ed analizzato.

I Big Data rappresentano una fonte inestimabile di valore, che è possibile estrarre dalle informazioni a disposizione tramite opportuni strumenti di Analytics. Per Analytics si intende l’insieme di logiche di estrazione flessibili, metodologie di analisi e modelli matematici di predizione e ottimizzazione. Le soluzioni di Analytics sono i tools tecnologici attraverso i quali è possibile realizzare le analisi e applicare i modelli sui dati. Utilizzando adeguati strumenti di Analytics è possibile effettuare analisi sia di tipo descrittivo, orientate a rappresentare la situazione attuale e passata di un particolare processo o sistema, ma anche di tipo predittivo, per rispondere a domande relative a cosa potrebbe accadere nel futuro, seguendo una logica di anticipazione e previsione.
Secondo i dati dell’Osservatorio Big Data Analytics & Business Intelligence del Politecnico di Milano, il mercato Analytics nel 2016 ha registrato una crescita pari al 15%, per un valore totale di 905 milioni di Euro. In particolare, la componente legata ai Big Data ha visto un incremento del 44%, raggiungendo i 183 milioni di Euro.
Se da un lato è bene considerare che i Big Data introducono nuove sfide per quanto riguarda la privacy e la protezione dei dati, specialmente in caso di gestione di dati personali o particolarmente sensibili, dall’altro lato la crescita esponenziale dei dati stessi introduce nuove possibilità di estrazione di valore che possono generare enormi opportunità pel le aziende, anche dal punto di vista delle strategie di sicurezza.

Un cambiamento di approccio necessario: la Cyber Intelligence
È innanzitutto necessario partire dal presupposto che le minacce informatiche stanno diventando sempre più parte integrante del tessuto digitale aziendale e che non è possibile attuare misure in grado di evitare con certezza una violazione della sicurezza. In questo scenario, accanto all’approccio tradizionale basato sulla protezione dei sistemi, le aziende stanno cominciando ad adottare una logica di prevenzione e anticipazione delle minacce. Le organizzazioni hanno infatti a disposizione una grande quantità di dati, che possono analizzare per cercare di sviluppare nuove strategie di sicurezza.
Le tecnologie atte a proteggere il perimetro aziendale da eventuali intrusioni, infatti, non bastano più a garantire una protezione completa dalle violazioni. Pur rimanendo un elemento cruciale e necessario, infatti, l’approccio perimetrale non è più sufficiente, perché non riesce a evolvere di pari passo con la continua nascita di nuove minacce. Spesso gli attaccanti sfruttano infatti vulnerabilità zero-day, non ancora note pubblicamente, per ottenere l’accesso ai sistemi, che possono permettere loro di rimanere ignoti e nascosti anche per lungo tempo dopo aver lanciato l’attacco.
Gli attacchi di tipo APT (Advanced Persistent Threat), che hanno visto una rapida e crescente diffusione negli ultimi anni, sfruttano proprio questa caratteristica: si tratta infatti di attacchi sofisticati che prendono di mira un obiettivo colpendolo da più fronti, restando silenti per il tempo necessario all’esplorazione degli asset informativi delle aziende colpite.
Un aggressore potrebbe inoltre utilizzare le credenziali di accesso di un dipendente dell’organizzazione per penetrare nella rete, passando momentaneamente inosservato. Distinguere un’attività lecita dal comportamento di un malintenzionato intento a fare danni diventa così estremamente complicato, e crea un grande vantaggio per i cybercriminali: essere riconosciuti come utenti regolari permette loro di muoversi indisturbati nella rete aziendale.
Se da un lato all’attaccante bastano pochi minuti per provocare un incidente, per contro il tempo medio che le aziende impiegano per individuare un breach di sicurezza, secondo analisti internazionali, è pari a 205 giorni: un intervallo di tempo lunghissimo, in cui l’attaccante ha la possibilità di esplorate a fondo i sistemi, per progettare un furto di dati su grande scala o l’interruzione di un servizio essenziale.
L’asset da proteggere non è più (solo) il device, ma piuttosto l’informazione, il dato, e questo nuovo approccio richiede la capacità di intercettare e anticipare le minacce.
In questo contesto trovano applicazione le metodologie e gli strumenti di Anal3rtics citate precedentemente: nell’ambità della sicurezza si parla di Cyber Intelligence. L’integrazione di dati provenienti da varie fonti (es. dati sugli incidenti avvenuti a livello mondiale, indirizzi IP, log, URL sospette provenienti dalle segnalà7ioni degli utenti, ecc) permette di sviluppare modelli di monitoraggio delle minacce in grado di intercettare possibili anomalie e gestirle prima che la situazione diventi effettivamente critica.
Per Cyber Intelligence si intende la raccolta e l’analisi di dati che possono essere utili a proteggere gli asset critici dell’azienda, sviluppando una conoscenza profonda dei propri avversari, delle minacce, dei metodi di attacco utilizzati. La Cyber Intelligence può aiutare a prevenire attacchi o a ridurre il tempo necessario per la loro individuazione, tramite la raccolta di informazioni che mettano in luce i rischi e le minacce.

Il processo della Cyber Intelligence
Un approccio basato sulla Cyber Intelligence punta ad utilizzare abilmente diverse fonti informative, per comprendere come operano i potenziali attaccanti e valutare quale rischio potrebbero rappresentare per l’azienda, mettendo in relazione minacce esterne, vulnerabilità interne e impatti ipotetici.
Più che un processo end-to-end, la Cyber Intelligence si configura come un processo circolare. Il processo tradizionale di intelligence prevede i seguenti passi, ripetuti ciclicamente:

  • Pianificazione e definizione requisiti: si declina nella determinazione degli obiettivi, nella scelta degli asset da analizzare e monitorare, nell’allocazione delle risorse, nell’individuazione delle competenze;
  • Raccolta dati: consiste nella ricerca e ottenimento dei dati grezzi da elaborare e può avvenire tramite una molteplicità di fonti differenti;
  • Analisi: lo scopo dell’analisi è l’integrazione, la valutazione e la correlazione dei dati raccolti, con lo scopo di trasformarli in informazioni da cui estrarre insight di valore. In questa fase vengono utilizzate tecniche e metodologie di Analytics, in logica di analisi predittiva;
  • Produzione e Disseminazione intelligence: è la fase in cui l’intelligence viene effettivamente prodotta e condivisa con gli utenti finali, con il Top Management, con i peer di settore e con organizzazioni nazionali e internazionali;
  • Valutazione: consiste nel verificare che i risultati siano effettivamente in linea con i requisiti stabiliti e nella rivalutazione delle informazioni in base ai feedback degli utenti. È la fase che può dare avvio ad un nuovo ciclo di intelligence.

Come anticipato, la raccolta dei dati grezzi necessari a soddisfare i requisiti definiti può avvenire attraverso diverse fonti: interne o esterne, proprietarie o open source.
Internamente è possibile reperire dati sui tentativi di attacco subiti, sulle misure di sicurezza messe in atto, sulle anomalie rilevate e mettere In evidenza i punti deboli e le vulnerabilità dell’azienda. In molte organizzazioni le informazioni sono raccolte in un SIEM (Security Information and Event Management), un sistema che integra capacità di SIM (Security Information Management), componente che si occupa di log management, analisi e produzione di report, e SEM (Security Event Management), elemento deputato al monitoraggio in real-time, alla correlazione di eventi e alla notifica.
È inoltre possibile raccogliere dati utili anche dalle persone: questo approccio si definisce Human Intelligente (HUMINT) e punta a sfruttare i contatti interpersonali come fonte informativa.
Tra le fonti esterne sono da considerare sia le fonti pubblicamente disponibili (per OSINT – Open Source intelligence – si intende l’attività di raccolta di informazioni mediante la consultazione di fonti di pubblico accesso), come per esempio i CERT Nazionali 131, sia l’utilizzo di dati messi a disposizione da vendor, sia la raccolta di informazioni da deep o dark web, per intercettare minacce emergenti.

La situazione delle aziende italiane
Secondo i dati emersi dalla Ricerca dell’Osservatorio Information Security & Privacy, il tema dell’analisi dei dati legati al mondo dell’information security è presidiato dal 57% delle grandi organizzazioni intervistate, tramite l’esistenza di un presidio formale (28%) o informale (29%).. Per 1’8% delle aziende esiste un presidio, ma al di fuori delle attività core dell’information security e nel restante 35% dei casi il tema non è presidiato.
Il 32% delle imprese del campione dichiara di non utilizzare i dati per interpretare e/o anticipare criticità. Il restante 68%, invece, ha già implementato azioni in questo ambito. In particolare, il 2o% delle organizzazioni utilizza i dati e li correla con diverse fonti informative ex ante per sviluppare modelli predittivi di monitoraggio delle minacce (in ottica, appunto, di Cyber Intelligente). Il 23% li analizza in tempo reale per risolvere più velocemente una situazione di minaccia, mentre il 39% delle organizzazioni li analizza ex post in seguito ad incidenti per attività prevalentemente legate ad audit aziendali. Per il 31%, i dati relativi ad attacchi passati vengono inoltre analizzati per creare un base di conoscenza delle minai e degli attacchi stessi e sviluppare strategie di risposta/azione.

[rd_line margin_top=”10″ margin_bottom=”10″]

LE METODOLOGIE DI LAVORO INTERATTIVO DELL’OSSERVATORIO INFORMATION SECURITY & PRIVACY
L’Osservatorio Information Security & Privacy, nell’ambito della Ricerca, organizza annualmente una serie di incontri a porte chiuse finalizzati ad attivare un tavolo di confronto permanente tra i CISO delle grandi aziende operanti in Italia. Durante gli appuntamenti vengono spesso utilizzate metodologie di lavoro interattivo, sviluppate ad hoc per l’occasione: i partecipanti vengono suddivisi in gruppi, all’interno dei quali viene richiesto ad ognuno di effettuare una mappatura della realtà della propria azienda su un framework di gioco e una successiva discussione all’interno del team di lavoro. Tali metodologie possono essere adattate ed estese all’applicazione in singole realtà aziendali.
In particolare è stata sviluppata una metodologia finalizzata ad approfondire il fenomeno del fattore umano e la sua gestione, con l’obiettivo di analizzare le iniziative di sensibilizzazione e creazione di awareness messe in campo dalle aziende al fine di mitigare il rischio connesso al fattore umano e comprendere la frequenza e la pericolosità degli attacchi che sfruttano il comportamento degli utenti aziendali.
La metodologia prevede i seguenti step, finalizzati a rispondere alle relative domande:

  • Mappatura delle iniziative di sensibilizzazione: quali sono le iniziative di sensibilizzazione messe in campo o che verranno messe in campo in futuro, qual è il loro impatto (misurato o previsto) e a chi sono indirizzate?
  • Classificazione delle minacce: qual è il grado di pericolosità e la frequenza di accadimento dei tentativi di attacco subiti?
  • Descrizione delle tecnologie: Quali sono le soluzioni tecnologiche implementate per mitigare la vulnerabilità del fattore umano?

Ai partecipanti viene consegnato il tavolo da gioco e un set di stickers da posizionare nel framework coerentemente alla propria esperienza aziendale.

[rd_line margin_top=”10″ margin_bottom=”10″]

CASO 1 – BAYER
Bayer è un’azienda globale, con sede a Leverkusen (Germania), che ha competenze chiave nei settori delle Life Sciences, Salute e Agricoltura.
In Italia conta 3 siti produttivi con impianti fra i più avanzati al mondo, circa 2100 collaboratori e un fatturato 2016 di 1.046 minor ni di Euro.
Bayer in Italia attualmente è costituita da società che consentono al Gruppo di essere presente e operare in diversi ambiti strategici e di primaria importanza: da Pharmaceuticals a Consumer Health, a Crop Science ed Animai Health.
All’interno dell’Information Technology è presente la funzione Information Security, guidata dall’Information Security Officer. Le li-nee guida su cui si focalizza la funzione IT Security vengono definite dalla casa madre, che le sviluppa basandosi sulle esigenze di business, trend di mercato e potenziali rischi.
Tra le principali progettualità condotte recentemente dall’Information Security rientrano le iniziative di Information Classification e Awareness Campaign.
Il progetto di Information Classification è stato portato avanti con l’obiettivo di identificare le informazioni sensibili trattate in ognuna delle aree di business aziendali, analizzarne il rischio potenziale e pianificare l’implementazione di adeguate misure di sicurezza, al fine di garantire una gestione sostenibile delle informazioni stesse.
L’attività, messa in opera da un team di progetto di 15 diversi gruppi con esperti IT e di business, ha portato all’identificazione di diversi cluster di informazioni suddivisi in 3 tipologie, ognuno con caratteristiche ben definite, e alla definizione di una roadmap di misure di protezione comportamentali, organizzative e tecniche. All’interno di ogni funzione aziendale coinvolta è stata individuata una figura a cui è stata assegnata la responsabilità di garantire la sostenibilità del processo di Information Classification.
Rispetto al piano Awareness Campaign, nel corso degli anni sono state svolte diverse iniziative con l’obiettivo di sensibilizzare gli utenti e creare consapevolezza sul tema della sicurezza e della protezione dei dati a tutti i livelli aziendali.
Nel 2015 è stato realizzato l’Information Security Awareness Workshop, preceduto dalla distribuzione di flyer informativi sui “Sette principi chiave della sicurezza”, raccomandazioni che invitano i dipendenti ad adottare comportamenti responsabili nelle proprie azioni quotidiane, dalla gestione prudente delle informazioni e dei dispositivi aziendali alla protezione della propria identità digitale. L’attività, svolta con l’obiettivo di trasmettere i principi generali sulla sicurezza, ha seguito un approccio top-down: la formazione è stata inizialmente somministrata ai manager, dapprima ingaggiati come partecipanti ai corsi, che hanno poi assunto il ruolo di moderatori all’interno dei workshop con il proprio team di riferimento, e così via per i progressivi livelli gerarchici. Questo approccio ha permesso di sottolineare come ogni team e ogni singola persona all’interno di essi abbia un ruolo fondamentale nel garantire la sicurezza delle informazioni.
È stata successivamente promossa una Campagna AntiPhishing, che ha previsto, previo annuncio, la simulazione di un attacco rivolto agli utenti. Il finto attacco è avvenuto tramite una mail customizzata, con richiamo al flyer informativo divulgato già in fase di annuncio della campagna, contenente una checklist di elementi utili per individuare e-mail di phishing e la procedura corretta da seguire per gestire comunicazioni sospette. A questo proposito è stato implementato il servizio “CheckMail”, che permette ai dipendenti di segnalare in automatico e-mail di dubbia provenienza perché possano essere esaminate e verificate.
Un’ulteriore iniziativa facente parte del piano Awareness Campaign è il Cyber Security Day, una sessione a partecipazione libera organizzata per la prima volta a marzo 2017. Durante l’evento sono stati toccati argomenti relativi a Phishing e Social Engineering, ma anche tematiche di attualità che hanno messo in relazione sicurezza aziendale e protezione dei dati personali nella vita quotidiana, quali per esempio cyberbullismo, legalità digitale, utilizzo consapevole di Internet e dei socia) network. l’ vari interventi che si sono susseguiti hanno visto la partecipazione di esperti esterni all’organizzazione e di figure aziendali di riferimento sul tema della sicurezza, sia a livello di Corporate Security sia di Information Security, che hanno raccontato alcuni casi concreti di tentativi di attacco informatico subiti dall’organizzazione.
Le attività di sensibilizzazione vengono portate avanti con logica continuativa e pluriennale, poiché sono considerate da Bayer un fattore fondamentale per assicurare la corretta protezione dei dati: oltre all’adozione di difese tecnologiche, alla pubblicazione di regolamenti, alla definizione di processi, l’azienda ritiene infatti che non sia possibile raggiungere un adeguato livello di sicurezza senza considerare anche l’elemento umano. Lo scopo delle iniziative è quello di educare i dipendenti, affinché ogni singolo collaboratore abbia un comportamento sicuro sia in azienda sia nella vita quotidiana, dando ad ognuno la responsabilità di salvaguardare il successo dell’organizzazione.

[rd_line margin_top=”10″ margin_bottom=”10″]

CASO 2 – CARREFOUR ITALIA
Carrefour è una delle maggiori catene della grande distribuzione a livello mondiale. Fondata nel 1958, è presente in Europa, America, Asia e Africa, per un totale di circa 30 Paesi. La casa madre si trova in Francia, nei pressi di Parigi. Il Gruppo è presente in Italia con 1.073 punti vendita dislocati in 18 regioni e oltre 20.000 collaboratori. Nel 2015 Carrefour Italia ha ottenuto un fatturato di circa 5 miliardi di Euro.
In tema di cybersecurity, le strutture dei singoli Paesi sono misurate rispetto a una serie di indicatori, stabiliti dalla casa madre principalmente in base allo standard ISO/IEC 27001, che hanno la funzione di valutare il livello di performance e il raggiungimento degli obiettivi anno per anno. Tali indicatori costituiscono intrinsecamente una linea guida, in quanto indirizzano le attività delle varie unità operative nazionali, sebbene non sia formalmente imposto il loro rispetto.
Anche l’Italia ha nominato formalmente un Chief Information Security Office. (CISO) al quale sono state attribuite le responsabilità di indirizzo e definizione dei temi di cybersecurity, di analisi e valutazione del cyber risk, di definizione dei piani di awareness e, non meno importante, la definizione del corpo documentale della sicurezza. Il CISO è collocato nella Direzione Sistemi Inforrlitivi, che riporta alla Divisione Amministrazione, Finanza e Controllo. Gli aspetti di sicurezza fisica sono invece gestiti da una direzione diversa a riporto del CEO (Direzione Risk & Compliance).
Carrefour Italia è attiva sul tema del fattore umano, poiché ritiene che sia necessario non solo dotarsi di sistemi tecnologici avanzati, ma anche introdurre iniziative volte ad educare, sensibilizzare e rendere consapevoli i propri dipendenti rispetto ai temi di cybersecurity, con un focus particolare sulle possibili minacce informatiche. Per questo motivo l’azienda ha intrapreso, a partire dal 2010, un programma pluriennale di formazione in materia di cybersecurity, optando per un modello “a chiocciola”, concentrandosi inizialmente sulla Direzione Sistemi Informativi per poi estendere progressivamente le attività formative, opportunamente adattate, alle altre funzioni e alle altre sedi.
Il training, svolto sia in aula che online e supportato da comunicazioni periodiche effettuate via e-mail o sfruttando il periodico interno, viene annualmente rilanciato ed arricchito.
Il programma rivolto alla Direzione Sistemi Informativi prende il nome di “Security Week”: le varie attività formative vengono concentrare nell’arco di una settimana, interamente dedicata al tema della protezione delle informazioni.
La Security Week viene organizzata come un convegno a sessioni parallele in cui ogni persona si può costruire il proprio percorso formativo. La settimana inizia con una sessione introduttiva di inquadramento del problema e termina con una seduta finale in cui si raccolgono le impressioni ed i commenti di tutti i partecipanti. Quest’anno è stato aggiunto un ulteriore elemento che riguarda la valutazione dell’efficacia della formazione: a tutti i partecipanti viene proposto un questionario online a risposta chiusa per la valutazione delle competenze prima della formazione; lo stesso questionario viene quindi riproposto dopo la fine della Security Week L’incrementò del numero di risposte esatte dirà in modo concreto ed immediato quanto l’attività formativa sia stata utile.
A completamento e supporto della formazione precedente, Carrefour Italia effettua periodicamente dei test sui dipendenti, con Io scopo sia di valutare la capacità di reazione a possibili minacce, sia di creare un’ulteriore forma di apprendimento. Per garantire la credibilità e l’efficacia di tali iniziative vengono utilizzate tecniche di social engineering e attività di assessment di volta in volta diversificate: sono state ad esempio effettuate simulazioni di attacchi di phishing, tramite l’invio ai dipendenti di e-mail contenenti link sospetti, oppure sono stati realizzati finti attacchi con la tecnica del baiting, avvenuti disseminando alcune chiavette USB incustodite in zone frequentate dagli utenti dell’organizzazione.
Le attività di sensibilizzazione vengono proposte anche al Top Management, tramite l’elaborazione di percorsi formativi specifici per Direzione. Carrefour Italia è infatti consapevole che la necessità di creare attenzione rispetto ai temi della cybersecurity deve coinvolgere tutti i livelli dell’organizzazione e che l’esempio del management aziendale è di fondamentale importanza per creare comportamenti virtuosi in azienda.

[rd_line margin_top=”10″ margin_bottom=”10″]

CASO 3 – EDISON
Edison S.p.A. è un’azienda italiana attiva nei settori dell’approvvigionamento, produzione e vendita di energia elettrica, gas e olio grezzo con oltre un milione di clienti. È la più antica società europea nel settore dell’energia e oggi opera, attraverso i suoi oltre 3.000 dipendenti, in più di 10 Paesi nel mondo, con una potenza installata di 6,5 GW. Il Gruppo è composto da 74 aziende, 14 del-le quali sono localizzate fuori dall’Italia: le società estere sono prevalentemente petrolifere e dedite alla produzione di gas naturale. L’azienda ha ottenuto nel 2016 un fatturato di oltre 11 miliardi di Euro.
La funzione di Information Security dell’azienda ha portato avanti negli ultimi anni diversi progetti sul tema del “fattore umano”, volti a sensibilizzare il personale sui rischi e sulle minacce informatiche. In particolare, Edison ha sviluppato tre tipologie di iniziative:

  • > Hacker lunch: in primo luogo sono stati organizzati degli incontri informali, aventi ad oggetto i comportamenti da tenere al fine di evitare incidenti di sicurezza. In sede di programmazione si è deciso di trattare non solo tematiche attinenti alle policy e alle procedure lavorative, ma anche relative alle consuetudini nei comportamenti degli utenti nella vita quotidiana, come per esempio l’utilizzo consapevole degli smartphone e la gestione delle password.

Nel corso del 2016 la formazione è stata impartita attraverso una decina di sessioni. Una serie di queste è stata organizzata in for-ma di hacker lunch, tramite il coinvolgimento di un giornalista esperto di informatica che, attraverso “provocazioni” e filmati incentrati ad esempio sui furti di identità, ha tentato di stimolare i dipendenti anche da un punto di vista emotivo, al fine di far loro comprendere l’importanza della cybersecurity nella vita di tutti i giorni. Tali incontri, sebbene limitati alla sola sede principale dell’azienda, che ospita circa il 60% del personale, hanno registrato una buona partecipazione.

  • In secondo luogo, allo scopo di raggiungere l’intera popolazione aziendale, Edison ha puntato sul tradizionale corso di e-learning. Nel 2016 il corso, sviluppato in logica tradizionale, si è focalizzato sull’importanza di gestire in maniera ottimale le password e sulle modalità di segnalazione di incidenti informatici e di riconoscimento delle e-mail di phishing.

A partire dal 2017, invece, per aumentare il livello di engagement dei dipendenti, l’azienda ha fatto ricorso ad una logica di gamification, impostando la formazione su un corso on-line imperniato su una serie di nozioni a difficoltà crescenti (ad esempio come riconoscere i virus e quali sono le azioni da compiere per rimuoverli), con l’obiettivo di verificare l’effettivo apprendimento dei concetti trasmessi e poter incrementare così il livello di gioco sino a potersi cimentare con Pivello Hacker Professional.

  • Infine, sempre nel 2016, la società ha distribuito un libro sulla sicurezza, sviluppato da un esperto esterno all’azienda con il coinvolgimento di CISO di alcune società fra cui Edison, che è stato successivamente consegnato a circa 600 dipendenti.

Le iniziative sono state proposte dalla funzione Security, in collaborazione con la funzione Human Resources. Le attività hanno poi coinvolto anche la Comunicazione, che si è occupata degli aspetti relativi all’organizzazione degli eventi, dello sviluppo delle locandine, dell’invio delle e-mail e dell’aggiornamento della Intranet aziendale.
Per verificare l’efficacia delle iniziative messe in atto e l’effettivo livello di apprendimento dei dipendenti, sono stati successivamente effettuati dei test. Per quanto riguarda il corso di e-learning basato sul modello “gamification”, ad esempio, sono stati previsti degli appositi momenti di verifica, in cui sono stati accuratamente analizzati i punteggi ottenuti dagli utenti durante lo svolgimento dei giochi online.
L’identificazione e la definizione delle azioni in tema di sicurezza si basa sulla revisione annuale dei rischi. Edison ha sviluppato ne-gli anni un apposito strumento, un framework di valutazione dei rischi strutturato in riferimento ai dati della lista dei controlli della 15027001, da cui è emerso in particolare che il rischio connesso al fattore umano era sopra la soglia consentita, suggerendo la necessità di un intervento in tal senso.
Dall’assessment sui rischi scaturiscono anche le scelte relative alle soluzioni tecnologiche da implementare: la società ha recente-mente adottato una nuova piattaforma anti APT e anti malware, poiché nel processo di analisi del rischio era stata riscontrata l’esistenza di un problema in tale ambito.

Fonte: Gruppo Sole 24 Ore

Leave a comment

You must be logged in to post a comment.