Creazione di un programma di sensibilizzazione sulla sicurezza per la tua C-Suite
Pubblicato su: 13 Mag 2022
Ultima modifica il: 8 Set 2025
Una recente indagine del governo britannico, “Cyber resilience captains of industry survey 2021“, ha fornito alcuni spunti interessanti sulla consapevolezza dei rischi della sicurezza informatica a livello di C-Suite e di consiglio di amministrazione di un’organizzazione.
L’indagine ha rilevato che quasi tutti gli intervistati vedono il consiglio di amministrazione incorporare le considerazioni sul rischio informatico negli affari aziendali più ampi. Tuttavia, il rapporto mette in guardia su questo aspetto con il seguente avvertimento:
“I capitani ritengono che si possa fare di più per attrezzare i membri del consiglio di amministrazione ad affrontare le minacce informatiche. I capitani hanno citato più spesso la sensibilizzazione dei membri del consiglio e la formazione mirata. “
La C-Suite e il consiglio di amministrazione sono gruppi specifici che richiedono una formazione su misura per soddisfare le loro esigenze specifiche. Ecco alcune idee per creare un programma di sensibilizzazione alla sicurezza per la tua C-Suite.
Perché formare la C-Suite?
Le persone che lavorano nella C-Suite sono influenti all’interno della loro azienda e questa influenza è fondamentale per contribuire a garantire una consapevolezza della sicurezza coerente ed efficace in tutta l’organizzazione. Pertanto, rivolgersi a questo gruppo in una campagna di sensibilizzazione sulla sicurezza ha senso.
Il “tono al vertice” è un fenomeno ben noto nella gestione dei rischi per la sicurezza. Questo “tono al vertice” è evidenziato nel manuale dell’Associazione dei Direttori Europei (ecoDa), che offre diverse raccomandazioni chiave per la mitigazione del rischio in un’epoca di minacce informatiche voluminose. Una delle raccomandazioni è quella di dare un tono di consapevolezza a tutta l’organizzazione – si legge nel rapporto:
“Il consiglio di amministrazione e la direzione dovrebbero dare il tono giusto ai vertici, sviluppare la giusta cultura e aumentare la consapevolezza per sviluppare la resilienza informatica“.
I componenti di un programma di sensibilizzazione alla sicurezza mirato per la C-Suite
È degno di nota il fatto che il rapporto del governo britannico “Captain of Industry” abbia rilevato che la consapevolezza della sicurezza ha raggiunto la sala riunioni. Tuttavia, la C-Suite e i membri del consiglio di amministrazione devono partecipare a un programma di sensibilizzazione alla sicurezza generale e mirato. La sensibilizzazione a questo livello può consolidare la cultura di una mentalità orientata alla sicurezza.
Ecco i fattori critici di una campagna di sensibilizzazione incentrata sulla C-Suite:
Costruisci la tensione con il rischio
La C-Suite ha molte palle da giocarsi. Il core business di un’azienda deve sempre essere al primo posto. Ma se questo core business è messo a rischio dalle minacce informatiche, l’azienda deve dare la priorità a queste minacce.
Per preparare la formazione del C-Suite, mostra il ritorno sull’investimento di un programma di formazione sulla consapevolezza della sicurezza. Alcune cifre che possono aiutare a definire questo aspetto sono riportate nel documento Rapporto IBM e Ponemon Cost of a Data Breach: il Regno Unito è uno dei paesi con i costi più alti per la violazione dei dati, con una media di 4,67 milioni di dollari (3,8 milioni di sterline) per violazione.
Una volta ottenuta l’approvazione della tua C-Suite, puoi creare la struttura per un efficace programma di formazione sulla sicurezza che si rivolge ai vertici.
Realizzare un programma di sensibilizzazione alla sicurezza basato sui ruoli della C-Suite
I criminali informatici si stanno sempre più concentrando sugli individui e sui ruoli all’interno di un’organizzazione. Questo ha senso, perché più le persone sono consapevoli dei problemi di sicurezza, più è difficile ingannare i dipendenti. Tuttavia, se un hacker capisce il suo obiettivo, può creare email di phishing intelligenti e difficili da riconoscere. La C-Suite è nel mirino dei criminali informatici perché rappresenta il cuore finanziario dell’azienda e il luogo di autorità.
Un attacco incentrato sulla suite C è capitato all’azienda statunitense Scoular Co, che è stata vittima di una Business Email Compromise (BEC). L’azienda ha perso 17,2 milioni di dollari a causa di tre bonifici bancari, dopo che i truffatori hanno preso di mira l’amministratore delegato dell’azienda utilizzando email fasulle.
Il Verizon 2021 Data Breach Investigations Report (DBIR) sottolinea l’importanza di personalizzare il Security Awareness Training e conclude:
“Non esiste un approccio unico per ridurre al minimo i rischi umani che portano alle violazioni. Ogni azienda sperimenta diversi tipi di attacchi e deve personalizzare di conseguenza i propri programmi di ingegneria comportamentale e di educazione alla sicurezza informatica. .”
Progetta la tua formazione di sensibilizzazione alla sicurezza in base ai ruoli aziendali e includi i ruoli della C-Suite. Concentrati sui tipi di attacchi che prendono di mira il personale di livello C, come il BEC e l’impersonificazione del CEO.
Metti il sociale nella C-Suite
I criminali informatici che prendono di mira i “grandi phish”, come il CEO e il CFO, scopriranno le loro prede. Lo fanno come parte della catena di social engineering che utilizza varie tecniche per manipolare il comportamento.
Una di queste tattiche è quella di impersonare i dirigenti, noto anche come “whaling” o “impersonificazione di dirigenti”. Un esempio tristemente famoso è stato quello di un L’attacco “deep fake” del 2019, che ha simulato la voce dell’amministratore delegato dell’azienda per ingannare il direttore generale del Regno Unito e indurlo a inviare 243.000 dollari al conto bancario del truffatore.
Questa forma di ingegneria sociale è in aumento, con una Aumento del 131% nel 2020-2021. Questi tipi di frode si basano sulla costruzione di un profilo dell’obiettivo per fornire l’intelligenza necessaria a eseguire l’ingegneria sociale.
Inserisci la consapevolezza dell’ingegneria sociale nel tuo calendario di formazione sulla sicurezza e forma i tuoi dirigenti sulla loro vulnerabilità in quest’area.
Sperimenta il C-Suite
La C-Suite è a rischio di attacchi di spear-phishing, una forma mirata di phishing. Una recente campagna di email di phishing ha utilizzato email false di Microsoft Office 365 per rubare le credenziali. La campagna ha preso di mira i dirigenti della C-Suite e i loro assistenti in molti settori.
Con lo Spear-phishing della C-Suite, un criminale informatico si rivolge direttamente a chi prende le decisioni all’interno di un’organizzazione. Lo spear phishing funziona perché le email false si basano su informazioni note sull’obiettivo. Gli spear phisher spesso utilizzano esattamente le applicazioni, come Office 365, che un’azienda usa regolarmente.
Crea una sofisticata campagna di phishing simulata rivolta specificamente alla tua C-Suite. Usa le tue conoscenze sul phishing basato sui ruoli per creare email di spear-phishing dall’aspetto realistico e mirate alla tua C-Suite. Utilizza una piattaforma avanzata di phishing simulato che sfrutta l’apprendimento del “punto di bisogno”. In questo modo, i problemi di comportamento vengono catturati nel momento in cui si verificano e l’utente riceve informazioni su cosa è andato storto e perché.
Conosci la tua C-Suite attraverso le metriche della formazione sulla consapevolezza della sicurezza
Le piattaforme di simulazione di phishing, come MetaPhish, forniscono metriche sotto forma di dashboard che mostrano i risultati delle simulazioni di phishing. In questo modo potrai sapere quanti membri del tuo C-Suite hanno cliccato su un link in un’email di phishing simulata. I report possono anche mostrare il dispositivo utilizzato per accedere all’e-mail di phishing; questo ti permette di personalizzare ulteriormente e di concentrare i tuoi sforzi per migliorare il comportamento dei dirigenti in materia di sicurezza.
Imposta il tono della sicurezza informatica ai vertici aziendali
I tuoi dirigenti che lavorano nella C-Suite sono i tuoi influencer interni. Ma devono essere esemplari di un comportamento eccellente in materia di sicurezza per dare l’esempio a tutta la forza lavoro. Stabilire il tono della sicurezza ai vertici incoraggerà una mentalità orientata alla sicurezza. Questa mentalità orientata alla sicurezza è essenziale per creare una cultura della sicurezza e ridurre il rischio informatico dell’azienda.
