IlSecurity Awareness Training è un metodo di prevenzione delle minacce informatiche di cui possono beneficiare le società di servizi finanziari. Ecco un'esplorazione delle principali ragioni per utilizzare questa forma di formazione se siete un'organizzazione di servizi finanziari.
I servizi finanziari come settore hanno visto una massiccia trasformazione digitale negli ultimi anni. Il settore sta abbracciando le nuove tecnologie per garantire una migliore esperienza del cliente e ottimizzare le operazioni.
Tuttavia, la trasformazione digitale ha fatto sì che il settore sia diventato anche un obiettivo per i criminali informatici: un sondaggio sulla sicurezza informatica del 2020 di CISO e CIO nel settore dei servizi finanziari, ha rilevato che il 65% delle grandi organizzazioni finanziarie ha subito un attacco informatico nei 12 mesi precedenti. Un altro rapporto, questa volta di Boston Consulting, ha scoperto che il settore finanziario ha subito fino a 300 volte più attacchi informatici di altri settori.
Formazione sulla consapevolezza della sicurezza per i servizi finanziari
L'hacker non risiede più nel seminterrato dei genitori con una felpa col cappuccio. Invece, bande di hacker sofisticati, finanziariamente motivati, a volte sponsorizzati dallo stato, stanno rendendo il crimine informatico accessibile a tutti.
I modelli di business che forniscono strumenti di hacking-as-a-Service sono facilmente ed economicamente disponibili sul dark web. Questi strumenti, insieme alle sempre più affinate abilità di ingegneria sociale dei criminali informatici, hanno portato a uno tsunami di attacchi informatici. Aggiungete a questo mix il lavoro a distanza o da casa e potete vedere che i pianeti delle minacce informatiche sono allineati.
Il Covid-19 ha fatto aprire gli occhi alle organizzazioni di tutto il mondo, poiché sono proliferate le truffe che hanno approfittato della paura che circonda la pandemia. Le truffe che si concentravano sui dipendenti, usavano trucchi di phishing basati sui temi di Covid-19 per rubare le credenziali di accesso o i dati personali o per indurre un dipendente a installare un software dannoso (incluso il ransomware). Mentre il panorama del lavoro cambia, le tattiche di phishing e l'ingegneria sociale rimangono una scelta chiave dei criminali informatici intenzionati a nuocere.
I risultati dell'ingegneria sociale e del phishing sono costosi. Un rapporto del 2021 di Sophos ha rilevato che le aziende di servizi finanziari di medie dimensioni spendono circa 2 milioni di dollari per recuperare da un attacco ransomware; questo è più della media globale di 1,85 milioni di dollari. Il rapporto sottolinea anche che il 34% delle organizzazioni di servizi finanziari ha subito un attacco ransomware nel 2020.
Il Security Awareness Training è una risposta efficace all'ingegneria sociale usata dagli hacker.
Vantaggi della formazione sulla consapevolezza della sicurezza per i servizi finanziari
Per evitare che i criminali informatici si approfittino dei dipendenti usando tecniche di ingegneria sociale e phishing, le aziende possono rivolgersi alla formazione sulla consapevolezza della sicurezza. Nei servizi finanziari ci sono cinque benefici chiave nell'impegnarsi in un programma di consapevolezza:
Cambiare il comportamento di sicurezza da negativo a positivo
Truffatori, criminali informatici, truffatori, qualunque sia il nome usato per descrivere queste attività nefaste, tutti si concentrano sul comportamento umano. La consapevolezza della sicurezza è usata per cambiare il comportamento di sicurezza scadente per creare un approccio positivo alla sicurezza aziendale.
Costruire un comportamento di sicurezza positivo educa il personale ai pericoli dell'ingegneria sociale. La formazione di sensibilizzazione esplora anche gli errori che possono portare all'esposizione dei dati: questo è importante se si considera che i risultati di EC-Council mostrano che il 64% degli eventi di perdita di dati sono attribuiti a insider con "buone intenzioni".
Il Security Awareness Training insegna ai dipendenti dell'intera organizzazione l'importanza della sicurezza. Un pacchetto di formazione efficace educa il personale utilizzando contenuti interattivi e coinvolgenti sui trucchi e le truffe di sicurezza, oltre a fornire esercizi di simulazione di phishing che insegnano ai dipendenti come individuare i messaggi di phishing. Una formazione continua ed efficace sulla consapevolezza della sicurezza crea un ciclo di feedback positivo, incoraggiando il personale ad affrontare gli attacchi alla sicurezza.
Ferma i truffatori BEC sulle loro tracce
Il ransomware può fare notizia, ma il Business Email Compromise (BEC) colpisce più aziende. Il 2020 FBI Internet Crime Complaint Center (IC3) mostra che il BEC colpisce 4 volte più aziende del ransomware. Le società di servizi finanziari sono a rischio di frode BEC come qualsiasi altra organizzazione.
Un'esposizione del 2020 da BankInfoSecurity, ha dettagliato diversi conti di frode BEC, tra cui uno che coinvolge una banca con sede negli Stati Uniti. In questa banca, un dipendente ha ricevuto un'email dai truffatori mascherati da CEO della banca. L'email chiedeva al dipendente di inviare urgentemente un trasferimento precedentemente programmato di 1 milione di dollari. Il messaggio includeva un cambiamento dei dettagli del conto specificando che questo era "dovuto all'epidemia di coronavirus e ai processi e alle precauzioni di quarantena".
Le truffe BEC spesso comportano una complessa sorveglianza dei dipendenti. I truffatori arrivano persino a costruire relazioni con gli operatori dell'help desk e altri dipartimenti rilevanti, per scoprire informazioni sui processi aziendali. Il Security Awareness Training insegna ai dipendenti i segni delle truffe BEC e i tipi di trucchi di ingegneria sociale usati dai truffatori.
Aiuta a garantire la conformità normativa
I dipendenti sono parte integrante del mantenimento della protezione dei dati e della privacy. Le loro azioni possono facilmente spostare un'organizzazione di servizi finanziari nell'area della non conformità. Qualcosa di semplice come un'email mal indirizzata può risultare in una multa. Un recente sondaggio ha rilevato che il 58% dei dipendenti ha ammesso di aver inviato un'e-mail alla persona sbagliata.
La formazione sulla consapevolezza della sicurezza aiuta a prevenire gli errori dei dipendenti. Avere un programma efficace in atto che offre metriche e automazione della formazione dimostra anche l'impegno di un'azienda verso la sicurezza. Avere una formazione sulla consapevolezza della sicurezza è obbligatorio o fortemente incoraggiato da una serie di standard e normative, tra cui ISO27001 e PCI-DSS, che contiene quanto segue nel requisito 12:
"Implementare un programma formale di consapevolezza della sicurezza per rendere tutto il personale consapevole della politica e delle procedure di sicurezza dei dati dei titolari di carta".
Costruire un firewall umano
Misure di sicurezza come un robusto controllo degli accessi, firewall, protezione degli endpoint e crittografia sono importanti, ma l'ingegneria sociale è progettata per superare le soluzioni di sicurezza tradizionali. Dipendenti consapevoli e sicuri della sicurezza sono una parte vitale delle misure di sicurezza informatica di una società di servizi finanziari.
Utilizzando la formazione sulla consapevolezza della sicurezza, un'azienda può costruire un "firewall umano". Ogni membro di un team in tutta l'organizzazione agisce quindi per rafforzare gli altri membri di quel team. Svolgendo regolarmente la formazione sulla sicurezza, il firewall umano diventa più forte e più efficace nell'individuare i trucchi di ingegneria sociale.
Rafforzare il morale dei dipendenti
Un rapporto di Carbonite mostra l'impatto di un attacco informatico sugli individui, con il 24% dei dipendenti che sperimentano un calo del morale dopo un attacco. La fiducia costruisce il morale del personale. Il Security Awareness Training è un approccio incentrato sulle persone per proteggere le risorse di un'organizzazione. Dando ai dipendenti gli strumenti per aiutare a combattere il crimine informatico, un'organizzazione sta abilitando il suo personale a prevenire un attacco informatico. Il Security Awareness Training aiuta non solo a mantenere l'organizzazione sicura, ma aiuta il morale del personale.
Le organizzazioni di servizi finanziari di tutto il mondo sono un obiettivo primario per i criminali informatici e i truffatori. Avere uno staff istruito fa parte di una visione più ampia a 360 gradi per proteggere un'azienda dalle devastazioni di questi attacchi maligni e sinistri.
