Nasce Sababa Awareness per imparare le buone pratiche di cybersecurity

Il fattore umano è ancora oggi il vettore primario utilizzato dalla criminalità informatica per insinuarsi all’interno delle organizzazioni, con strategie offensive che si fanno sempre più sofisticate. Sono proprio gli utenti, con diversi background, ruoli e influenze all’interno delle aziende che svolgono e affrontano attività e situazioni differenti nella loro quotidianità lavorativa e che, allo stesso tempo, con i loro comportamenti non adeguati aprono inconsapevolmente la porta agli attaccanti. Secondo quanto emerso dal Rapporto Clusit 2023l’Italia ha avuto un notevole incremento di cyber-attacchi andati a segno nel 2022, arrivando a raggiungere il 7,6% degli attacchi globali (contro il 3,4% del 2021). E, solo negli ultimi 5 anni, la situazione è peggiorata nettamente: confrontando infatti i numeri del 2018 con quelli del 2022, la percentuale di crescita di attacchi rilevati è stata del 60%.

In risposta a questo scenario, Sababa Security S.p.A. – primario operatore italiano nel settore della cyber security che fornisce un’offerta integrata e personalizzata di prodotti e servizi gestiti per proteggere i diversi ambienti IT e OT dalle minacce informatiche, quotata su Euronext Growth Milan – presenta Sababa Awareness Program, con l’obiettivo di migliorare il livello di consapevolezza degli utenti finali verso le minacce derivanti dai cyber-attacchi.

Competenze generali di cybersecurity e la conoscenza di argomenti specifici di sicurezza rilevanti per ogni area di competenza aiutano infatti i dipendenti ad acquisire un “comportamento digitale” più sicuro e consapevole sul lavoro, ma non solo. I cyber criminali sono soliti sfruttare l’emotività degli utenti che messi sotto pressione dall’urgenza, dalla gerarchia e richieste di aiuto, abbassano il livello di attenzione, inducendoli a compiere azioni che risultano essere pericolose per la sicurezza aziendale.

Il programma, personalizzabile in base alle esigenze del cliente, si sviluppa tramite attività integrate e ricorrenti di formazione e verifica del livello raggiunto con contenuti formativi costantemente aggiornati sia in termini di argomenti sia di formato, in modo da mantenere alto il livello di interesse e il coinvolgimento degli utenti.  Il programma prevede contenuti in diverse lingue standard o personalizzabili (Italiano, inglese, spagnolo e francese ma anche, ad esempio, portoghese o uzbeko), la distribuzione di campagne di phishing per verificare costantemente il livello di attenzione e consapevolezza e una formazione differenziata per funzione aziendale e obbiettivi, sia in termini di contenuti che di metodi di erogazione.

Il nostro primario traguardo, come azienda che si occupa di cyber security, è quello di prevenire rischi ed attacchi cyber che possano compromettere la sicurezza delle aziende. Per fare ciò, abbiamo deciso di creare un training program gestito dall’approccio integrato e suddiviso in diverse fasi che possa coinvolgere gli utenti attivamente e, allo stesso tempo, possa informarli sui rischi sempre più diffusi dei cyber attacchi”, ha dichiarato Andrea Ghislandi, Chief Business Officer di Sababa Security.

Sababa Awareness prevede una formazione che si divide in 5 fasi, partendo dalla Blind Campaign che permette di comprendere il livello di conoscenza dell’intera organizzazione aziendale tramite una raccolta delle informazioni necessarie alla definizione dell’ambiente, alla comprensione del perimetro, all’attivazione della piattaforma di e-learning e alla relazione con gli interlocutori interni all’azienda coinvolti nello sviluppo del programma.

La seconda fase, il Training Program, consiste nella definizione di un piano integrato di formazione in base ai risultati evidenziati dalla «Blind Campaign». Una volta approvato dall’azienda, il piano generalmente si svolge in un periodo di almeno 12 mesi e sfrutta diverse metodologie di formazione e verifica, per migliorare velocemente il livello di consapevolezza degli utenti.

La terza fase, Reporter, non è altro che l’attivazione di un plugin per misurare l’effettiva capacità del personale aziendale di individuare campagne di phishing segnalandole alla struttura preposta all’analisi ed intervento.

La quarta fase invece, suddivisa in due sottofasi, Targeted Campaign e Mixed Training, si occupa, in primo luogo, di erogare campagne personalizzate in base alle esigenze del cliente e a quanto stabilito nella fase di programmazione e, in secondo luogo, di condividere contenuti di formazione – differenziati per livello di maturità, dipartimenti e ruolo aziendale – che sono collegati ad un test volto a verificare l’efficacia del momento formativo.

Infine, la quinta e ultima fase, Program Review, comprende un’analisi trimestrale dei risultati del programma per analizzare l’andamento delle attività, condividerle con il cliente e – se necessario – applicare azioni correttive sulla base degli obiettivi stabiliti nel piano generale.