La formazione sulla consapevolezza della sicurezza è un metodo di prevenzione delle minacce informatiche di cui possono beneficiare le società di servizi finanziari. Ecco un’analisi dei principali motivi per cui utilizzare questa forma di formazione se sei un’organizzazione di servizi finanziari.

Negli ultimi anni il settore dei servizi finanziari ha visto una massiccia trasformazione digitale. Il settore sta abbracciando le nuove tecnologie per garantire una migliore esperienza ai clienti e ottimizzare le operazioni.

Tuttavia, la trasformazione digitale ha fatto sì che il settore sia diventato un bersaglio per i criminali informatici: un’indagine sulla sicurezza informatica del 2020 condotta tra CISO e CIO del settore dei servizi finanziari ha rilevato che il 65% delle grandi organizzazioni finanziarie ha subito un attacco informatico nei 12 mesi precedenti. Un altro rapporto, questa volta di Boston Consulting, ha rilevato che il settore finanziario ha subito un numero di attacchi informatici fino a 300 volte superiore rispetto agli altri settori.

Formazione sulla sicurezza per i servizi finanziari

L’hacker non risiede più nel seminterrato dei genitori indossando una felpa con il cappuccio. Al contrario, bande di hacker sofisticate, finanziariamente motivate e talvolta sponsorizzate da uno Stato stanno rendendo il crimine informatico accessibile a tutti.

I modelli di business che forniscono strumenti di hacking-as-a-Service sono facilmente ed economicamente disponibili sul dark web. Questi strumenti, insieme alle abilità di social engineering sempre più perfezionate dei criminali informatici, hanno portato a uno tsunami di attacchi informatici. Se a questo mix si aggiunge il lavoro a distanza o a domicilio, si capisce che i pianeti delle minacce informatiche sono allineati.

La Covid-19 ha aperto gli occhi alle organizzazioni di tutto il mondo, poiché sono proliferate le truffe che hanno approfittato della paura legata alla pandemia. Le truffe che si sono concentrate sui dipendenti hanno utilizzato trucchi di phishing basati sui temi della Covid-19 per rubare le credenziali di accesso o i dati personali o per indurre un dipendente a installare un software dannoso (incluso un ransomware). Mentre il panorama del lavoro cambia, le tattiche di phishing e l’ingegneria sociale rimangono una scelta fondamentale per i criminali informatici che vogliono fare del male.

I risultati dell’ingegneria sociale e del phishing sono costosi. Un rapporto di Sophos del 2021 ha rilevato che le aziende di servizi finanziari di medie dimensioni spendono circa 2 milioni di dollari per riprendersi da un attacco ransomware, una cifra superiore alla media globale di 1,85 milioni di dollari. Il rapporto evidenzia inoltre che il 34% delle organizzazioni di servizi finanziari ha subito un attacco ransomware nel 2020.

La formazione sulla consapevolezza della sicurezza è una risposta efficace all’ingegneria sociale utilizzata dagli hacker.

I vantaggi della formazione di sensibilizzazione alla sicurezza per i servizi finanziari

Per evitare che i criminali informatici approfittino dei dipendenti utilizzando tecniche di social engineering e phishing, le aziende possono rivolgersi alla formazione sulla sicurezza. Nel settore dei servizi finanziari, i vantaggi principali di un programma di sensibilizzazione sono cinque:

Cambiare il comportamento di sicurezza da negativo a positivo

I truffatori, i criminali informatici, i truffatori, qualunque sia il nome utilizzato per descrivere queste attività nefaste, si concentrano tutti sul comportamento umano. La consapevolezza della sicurezza serve a modificare i comportamenti scorretti in materia di sicurezza per creare un approccio positivo alla sicurezza aziendale.

Costruire un comportamento positivo in materia di sicurezza significa educare il personale ai pericoli dell’ingegneria sociale. La formazione di sensibilizzazione analizza anche gli errori che possono portare all’esposizione dei dati: questo è importante se si considera che i risultati dell’EC-Council mostrano che il 64% degli eventi di perdita di dati sono attribuiti a persone interne che “avevano buone intenzioni”.  

La formazione sulla sicurezza insegna ai dipendenti di tutta l’organizzazione l’importanza della sicurezza. Un pacchetto di formazione efficace istruisce il personale utilizzando contenuti interattivi e coinvolgenti sui trucchi e le truffe di sicurezza, oltre a fornire esercizi di simulazione di phishing che insegnano ai dipendenti come individuare i messaggi di phishing. Una formazione continua ed efficace sulla sicurezza crea un ciclo di feedback positivo, incoraggiando il personale ad affrontare gli attacchi alla sicurezza.

Blocca i truffatori di BEC in un attimo

Il ransomware può fare notizia, ma la Business Email Compromise (BEC) colpisce un numero maggiore di aziende. L’Internet Crime Complaint Center (IC3) dell ‘FBI indica che il BEC colpisce un numero di aziende 4 volte superiore a quello dei ransomware. Le aziende di servizi finanziari sono a rischio di frode BEC come qualsiasi altra organizzazione.

Un articolo del 2020 di BankInfoSecurity ha descritto diversi casi di frode BEC, tra cui uno che coinvolge una banca statunitense. In questa banca, un dipendente ha ricevuto un’e-mail da truffatori mascherati da CEO della banca. L’e-mail chiedeva al dipendente di inviare con urgenza un trasferimento di 1 milione di dollari precedentemente programmato. Il messaggio includeva una modifica dei dettagli del conto specificando che ciò era “dovuto all’epidemia di coronavirus e ai processi e alle precauzioni di quarantena”.

Le truffe BEC spesso comportano una complessa sorveglianza dei dipendenti. I truffatori arrivano persino a instaurare rapporti con gli operatori dell’help desk e altri reparti interessati, per ottenere informazioni sui processi aziendali. La formazione sulla sicurezza insegna ai dipendenti i segnali delle truffe BEC e i tipi di trucchi di ingegneria sociale utilizzati dai truffatori.

Aiuta a garantire la conformità normativa

I dipendenti sono parte integrante del mantenimento della protezione dei dati e della privacy. Le loro azioni possono facilmente portare un’organizzazione di servizi finanziari nell’area della non conformità. Una cosa semplice come l’invio di un’email sbagliata può portare a una multa. Una recente indagine ha rilevato che il 58% dei dipendenti ha ammesso di aver inviato un’e-mail alla persona sbagliata.

La formazione sulla sicurezza aiuta a evitare che i dipendenti commettano errori. La presenza di un programma efficace che offre metriche e automazione della formazione dimostra inoltre l’impegno dell’azienda nei confronti della sicurezza. La formazione di sensibilizzazione alla sicurezza è obbligatoria o fortemente incoraggiata da una serie di standard e normative, tra cui ISO27001 e PCI-DSS, che contiene il seguente requisito 12:

“Implementare un programma formale di sensibilizzazione alla sicurezza per rendere tutto il personale consapevole della politica e delle procedure di sicurezza dei dati dei titolari di carta”.

Costruisci un firewall umano

Misure di sicurezza come un solido controllo degli accessi, firewall, protezione degli endpoint e crittografia sono importanti, ma l’ingegneria sociale è progettata per superare le soluzioni di sicurezza tradizionali. Dipendenti competenti e sicuri della sicurezza sono una parte fondamentale delle misure di sicurezza informatica di un’azienda di servizi finanziari.

Utilizzando la formazione sulla consapevolezza della sicurezza, un’azienda può costruire un “firewall umano”. Ogni membro di un team all’interno dell’organizzazione agisce per sostenere gli altri membri del team stesso. Effettuando una formazione regolare sulla sicurezza, il firewall umano diventa più forte e più efficace nell’individuare i trucchi dell’ingegneria sociale.

Rafforzare il morale dei dipendenti

Un rapporto di Carbonite mostra l’impatto di un attacco informatico sulle persone: il 24% dei dipendenti ha subito un calo del morale dopo un attacco. La fiducia costruisce il morale del personale. La formazione sulla consapevolezza della sicurezza è un approccio incentrato sulle persone per proteggere le risorse di un’organizzazione. Dando ai dipendenti gli strumenti per combattere il crimine informatico, un’organizzazione mette il proprio personale in condizione di prevenire un attacco informatico. La formazione sulla consapevolezza della sicurezza non solo mantiene l’organizzazione al sicuro, ma aiuta anche il morale del personale.

Le organizzazioni di servizi finanziari di tutto il mondo sono un obiettivo primario per i criminali informatici e i truffatori. Avere un personale istruito fa parte di una visione più ampia a 360 gradi per proteggere un’azienda dalla devastazione di questi attacchi maligni e sinistri.

Firewall umano