Una recente indagine del governo britannico, "Cyber resilience captains of industry survey 2021", ha fornito alcuni spunti interessanti sulla consapevolezza dei rischi per la sicurezza informatica a livello di C-Suite e di consiglio di amministrazione di un'organizzazione.
L'indagine ha rilevato che quasi tutti gli intervistati vedono il consiglio di amministrazione incorporare le considerazioni sul rischio informatico negli affari aziendali più ampi. Tuttavia, il rapporto mette in guardia su questo aspetto con la seguente avvertenza:
"I capitani ritengono che si possa fare di più per attrezzare i membri del Consiglio di amministrazione ad affrontare le minacce informatiche.I capitani hanno citato soprattutto la sensibilizzazione dei membri del consiglio di amministrazione e la formazione mirata".
La C-Suite e il consiglio di amministrazione sono gruppi specifici che richiedono una formazione su misura per soddisfare le loro esigenze specifiche. Ecco alcune idee per creare un programma di sensibilizzazione alla sicurezza per la vostra C-Suite.
Perché formare la C-Suite?
Le persone che lavorano nella C-Suite sono influenti all'interno della loro azienda e questa influenza è fondamentale per contribuire a garantire una consapevolezza della sicurezza coerente ed efficace in tutta l'organizzazione. Pertanto, rivolgersi a questo gruppo in una campagna di sensibilizzazione sulla sicurezza ha senso.
Il "tono al vertice" è un fenomeno ben noto nella gestione dei rischi per la sicurezza. Questo "tono al vertice" è evidenziato nel manuale dell'Associazione europea dei direttori (ecoDa), che offre diverse raccomandazioni chiave per la mitigazione del rischio in un'epoca di minacce informatiche voluminose. Una delle raccomandazioni è quella di dare un tono di consapevolezza a tutta l'organizzazione - si legge nel rapporto:
"Il consiglio di amministrazione e la direzione dovrebbero dare il tono giusto ai vertici, sviluppare la giusta cultura e aumentare la consapevolezza per sviluppare la resilienza informatica"."
I componenti di un programma di sensibilizzazione alla sicurezza mirato per la C-Suite
È degno di nota il fatto che il rapporto del governo britannico "Captain of Industry" abbia rilevato che la consapevolezza della sicurezza ha raggiunto la sala dei consigli di amministrazione. Tuttavia, la C-Suite e i membri del consiglio di amministrazione devono partecipare a un programma di sensibilizzazione alla sicurezza generale e mirato. La sensibilizzazione a questo livello può consolidare la cultura di una mentalità orientata alla sicurezza.
Ecco i fattori critici di una campagna di sensibilizzazione incentrata sulla C-Suite:
Costruire la tensione con il rischio
La C-Suite ha molte palle da giocarsi. Il core business di un'azienda deve sempre essere al primo posto. Ma se questo core business è messo a rischio dalle minacce informatiche, l'azienda deve dare priorità a queste minacce.
Preparate la scena per la formazione della C-Suite mostrando il ritorno sull'investimento nell'erogazione di un programma di formazione sulla consapevolezza della sicurezza. Alcune cifre che possono aiutare a definire questo aspetto sono contenute nel rapporto di IBM e Ponemon Cost of a Data Breach: il Regno Unito è uno dei Paesi con i costi più elevati per la violazione dei dati, con una media di 4,67 milioni di dollari (3,8 milioni di sterline) per violazione.
Una volta ottenuta l'approvazione da parte della C-Suite, è possibile creare il quadro di riferimento per un efficace programma di formazione sulla consapevolezza della sicurezza rivolto ai vertici aziendali.
Eseguire un programma di sensibilizzazione alla sicurezza basato sui ruoli della C-Suite
I criminali informatici si concentrano sempre di più sugli individui e sui ruoli all'interno di un'organizzazione. Questo ha senso, perché più le persone sono consapevoli dei problemi di sicurezza, più è difficile ingannare i dipendenti. Tuttavia, se un hacker comprende il proprio obiettivo, può creare e-mail di phishing intelligenti e difficili da riconoscere. La C-Suite è nel mirino dei criminali informatici perché rappresenta il cuore finanziario dell'azienda e il luogo di autorità.
Un attacco incentrato sulla suite C è capitato all'azienda statunitense Scoular Co, vittima di una Business Email Compromise (BEC). L'azienda ha perso 17,2 milioni di dollari a causa di tre bonifici bancari, dopo che i truffatori hanno preso di mira l'amministratore delegato dell'azienda utilizzando e-mail fasulle.
Il Verizon 2021 Data Breach Investigations Report (DBIR) sottolinea l'importanza di personalizzare la formazione sulla sicurezza e conclude:
"Non esiste un approccio unico per ridurre al minimo i rischi umani che portano alle violazioni. Ogni azienda sperimenta diversi tipi di attacchi e deve personalizzare di conseguenza i propri programmi di ingegneria comportamentale e di educazione alla sicurezza informatica".
Progettate la vostra formazione di sensibilizzazione sulla sicurezza in base ai ruoli aziendali e includete i ruoli della C-Suite. Concentratevi sui tipi di attacchi che prendono di mira il personale di livello C, come il BEC e l'impersonificazione del CEO.
Mettere il sociale nella C-Suite
I criminali informatici che prendono di mira i "big phish", come il CEO e il CFO, scopriranno le loro prede. Lo fanno come parte della catena di social engineering che utilizza varie tecniche per manipolare il comportamento.
Una di queste tattiche è quella di impersonare i dirigenti, nota anche come "whaling" o "impersonificazione di dirigenti". Un esempio tristemente famoso è stato l'attacco "deep fake" del 2019, che ha simulato la voce dell'amministratore delegato dell'azienda per ingannare il direttore generale del Regno Unito e indurlo a inviare 243.000 dollari al conto bancario del truffatore.
Questa forma di social engineering è in crescita, con un aumento del 131% nel periodo 2020-2021. Questi tipi di frode si basano sulla costruzione di un profilo dell'obiettivo per fornire l'intelligenza necessaria a eseguire l'ingegneria sociale.
Inserite la consapevolezza dell'ingegneria sociale nel vostro calendario di formazione sulla sicurezza e formate la vostra C-Suite sulla loro vulnerabilità in quest'area.
Sperimentare la C-Suite
La C-Suite è a rischio di attacchi di spear-phishing, una forma mirata di phishing. Una recente campagna di e-mail di phishing ha utilizzato e-mail false di Microsoft Office 365 per rubare le credenziali. La campagna ha preso di mira i dirigenti della C-Suite e i loro assistenti in molti settori.
Con lo Spear-phishing della C-Suite, un criminale informatico si rivolge direttamente a chi prende le decisioni in un'organizzazione. Lo spear phishing funziona perché le e-mail false si basano su informazioni note sull'obiettivo. Gli spear phisher spesso utilizzano esattamente le applicazioni, come Office 365, che un'azienda utilizza regolarmente.
Create una sofisticata campagna di phishing simulata rivolta specificamente alla vostra C-Suite. Utilizzate le vostre conoscenze sul phishing basato sui ruoli per creare e-mail di spear-phishing dall'aspetto realistico e mirate alla vostra C-Suite. Utilizzate una piattaforma avanzata di phishing simulato che utilizza l'apprendimento "point of need". In questo modo si catturano i problemi di comportamento quando si verificano e si forniscono all'utente informazioni su cosa è andato storto e perché.
Conoscere la C-Suite attraverso le metriche della formazione sulla sicurezza
Le piattaforme di simulazione del phishing, come MetaPhish, forniscono metriche sotto forma di dashboard che visualizza i risultati delle simulazioni di phishing. Questo vi darà un riscontro su quanti membri del vostro C-Suite hanno cliccato su un link in un'e-mail di phishing simulata. I report possono anche mostrare il dispositivo utilizzato per accedere all'e-mail di phishing; questo vi permette di personalizzare ulteriormente e concentrare i vostri sforzi sul miglioramento del comportamento dei dirigenti in materia di sicurezza.
Impostare il tono della sicurezza ai vertici
I vostri dirigenti che lavorano nella C-Suite sono i vostri influencer interni. Ma devono essere esemplari di un comportamento eccellente in materia di sicurezza per dare l'esempio a tutto il personale. Stabilire il tono della sicurezza ai vertici incoraggerà una mentalità orientata alla sicurezza. Questa mentalità orientata alla sicurezza è essenziale per creare una cultura della sicurezza e ridurre il rischio informatico dell'azienda.
