La formazione di sensibilizzazione alla sicurezza basata sul ruolo personalizza i materiali formativi e i meccanismi di erogazione in base al ruolo di un dipendente e riduce il rischio informatico associato a tale ruolo.

Il mondo è un luogo complesso e diversificato e le persone che ne fanno parte sono un crogiolo di abilità, competenze e attitudini. All’interno di un’azienda, questa diversità viene spesso messa a frutto creando ruoli specifici che fanno leva su queste diverse abilità e competenze.

Il fatto che le persone lavorino in ruoli specifici all’interno di un’organizzazione non sfugge ai criminali informatici. I truffatori spesso adattano i loro attacchi in base all’obiettivo. Ad esempio, gli attacchi BEC (Business Email Compromise) si concentrano in genere sui dipendenti che ricoprono ruoli di responsabilità e che si occupano di contabilità. I truffatori adattano le campagne di phishing o altri attacchi di social engineering in modo che riflettano il titolo di lavoro di un individuo; in questo modo, fanno leva su caratteristiche umane intrinseche come la fiducia, per garantire il successo.

Tuttavia, se i truffatori utilizzano l’ingegneria sociale basata sui ruoli e il phishing per migliorare il successo dei loro attacchi informatici, allora due possono giocare a questo gioco.

Formazione di sensibilizzazione alla sicurezza basata sui ruoli per fermare il phishing basato sui ruoli

I criminali informatici vogliono essere sicuri che ogni campagna che progettano sia un successo: sanno che più un’email di phishing è personalizzata, più è probabile che l’obiettivo creda che l’email sia reale e quindi clicchi su un link malevolo o agisca in base alla richiesta di cambiare banca e inviare denaro con urgenza, ecc.

Lo spear-phishing è spesso l’arma preferita quando un criminale informatico prende di mira un ruolo specifico all’interno di un’organizzazione. Questa forma di phishing prevede una messaggistica altamente personalizzata per manipolare determinati tipi di dipendenti. I ruoli tipici che sono soggetti ad attacchi di spear-phishing sono:

  • Dirigenti di livello C e assistenti esecutivi

  • Buste paga

  • HR

  • Finanza e debiti

  • Utenti privilegiati

Dirigenti di livello C e assistenti esecutivi: Le frodi “Whaling” e BEC(Business Email Compromise) si concentrano sui dirigenti di livello C di un’organizzazione bersaglio. I truffatori possono prendere di mira anche gli assistenti esecutivi, utilizzando il social engineering e lo spear-phishing per ottenere l’accesso all’account e-mail del CEO o ad altre informazioni personali. Per avviare la frode BEC vengono utilizzate email CXO compromesse o contraffatte.

Reparto paghe: i truffatori prendono di mira gli impiegati che gestiscono i pagamenti degli stipendi dei dipendenti, per reindirizzare il denaro al conto bancario del truffatore. Ad esempio, il truffatore può simulare l’email di un dipendente che chiede ai dipendenti di cambiare i dati del conto bancario.

Risorse umane (HR): le risorse umane gestiscono informazioni altamente riservate e personali. Ciò rende questo ruolo a rischio di campagne di spear-phishing che cercano di ottenere l’accesso a dati che possono poi essere sfruttati in ulteriori attacchi. Le Risorse Umane diventano quindi parte di un tentativo di frode più complesso e articolato in più fasi, come le frodi BEC e le frodi sulle buste paga; un dipendente delle Risorse Umane può essere indotto a rivelare informazioni su un dirigente di livello C o su un altro dipendente per ottenere le informazioni necessarie a portare a termine la frode.

Finanza e contabilità: il reparto che tiene i cordoni della borsa è un obiettivo ovvio per i criminali informatici. Le frodi BEC, ad esempio, finiscono spesso alla porta della contabilità. Ma ci sono molti tipi di frode che si concentrano su questo ruolo. Le frodi legate alla contabilità sono molto diffuse e un rapporto ha rilevato che il 50% delle piccole imprese del Regno Unito è esposto a questo tipo di frode, sia per minacce interne che esterne.

Utenti privilegiati: i criminali informatici prendono di mira gli utenti privilegiati perché hanno le “chiavi del castello aziendale”. Agli utenti privilegiati vengono concessi i diritti di accesso alle aree sensibili di una rete e, in quanto tali, offrono una via d’accesso diretta alla rete a qualsiasi criminale informatico che riesca a ingannarli e a fargli consegnare le proprie credenziali o scaricare malware. Secondo un rapporto, il 63% delle organizzazioni ritiene che gli utenti privilegiati rappresentino il rischio più elevato di minacce interne.

Il phishing simulato all’interno dei programmi di formazione sulla sicurezza basati sui ruoli

Il phishing simulato è un ottimo modo per educare i dipendenti al phishing e alle minacce informatiche. Adattando i messaggi di phishing simulato ai ruoli della tua forza lavoro, puoi simulare le stesse tattiche utilizzate dai criminali informatici quando prendono di mira un gruppo specifico all’interno di un’organizzazione. In questo modo la simulazione di phishing diventa più reale e specifica per il ruolo di quell’individuo.

Per eseguire simulazioni di phishing basate sui ruoli, una piattaforma deve supportare modelli di phishing che possono essere personalizzati per ogni ruolo. Ad esempio, i titoli di phishing basati sui ruoli riflettono i tipi di ruoli che spesso vengono presi di mira dallo spear-phishing.

Esempi di attacchi di phishing basati sui ruoli

Obiettivo utente privilegiato: Il gruppo di hacker Lazarus è famoso per l’attacco ransomware WannaCry del 2017. Più di recente, il gruppo ha utilizzato campagne di phishing mirate, basate su offerte di lavoro fittizie, che si concentrano su utenti privilegiati. Una delle più recenti ha preso di mira l’amministratore di sistema di una piattaforma di criptovalute. L’amministratore di sistema ha ricevuto un documento di phishing sotto forma di offerta di lavoro tramite il suo account personale di LinkedIn.

Conti da pagare: Facebook e Google sono stati truffati per oltre 100 milioni di dollari da un truffatore che ha preso di mira i dipendenti dei due colossi tecnologici utilizzando email di spear-phishing rivolte a determinati ruoli di utenti.

Truffa del mandato salarialeLe campagne di phishing che prevedono il furto delle buste paga dei dipendenti sono un terreno ideale per i truffatori con motivazioni economiche. Spesso i truffatori inviano email al personale delle risorse umane o delle paghe con la richiesta di cambiare il conto bancario. L’e-mail di phishing spesso simula un dipendente reale, include la sua firma e-mail e sembra provenire da un dominio interno dell’azienda. Se la modifica viene effettuata, lo stipendio del dipendente viene versato sul conto bancario del truffatore.

Motivi per personalizzare la formazione di sensibilizzazione alla sicurezza

Lo spear-phishing è uno dei preferiti dai truffatori focalizzati sul ruolo e ha molto successo grazie alla natura mirata di questo tipo di phishing. Secondo un rapporto di Symantec, lo spear-phishing è utilizzato come vettore principale nel 65% degli attacchi informatici. Prendendo di mira ruoli specifici dei dipendenti, i criminali informatici possono creare truffe complesse e in più fasi che funzionano.

I programmi di formazione basati sui ruoli e le relative simulazioni di phishing basate sui ruoli forniscono un programma di formazione su misura che batte i criminali informatici al loro stesso gioco. Insegnare ai dipendenti l’esatta natura delle truffe di phishing e di social engineering, mirando in modo specifico al loro ruolo, li mette in grado di controllare attentamente le e-mail e le altre comunicazioni.  

I vantaggi della personalizzazione della formazione sulla consapevolezza della sicurezza

La personalizzazione della formazione di sensibilizzazione alla sicurezza offre vantaggi significativi in quanto affronta i rischi e le sfide specifiche dei diversi ruoli all’interno di un’organizzazione. I programmi di formazione generici spesso non sono in grado di preparare adeguatamente i dipendenti alle minacce informatiche specifiche che è più probabile che incontrino nelle loro attività quotidiane. La formazione personalizzata garantisce che i dipendenti ricevano un’istruzione pertinente e mirata che parla direttamente dei tipi di attacchi di phishing, delle tattiche di social engineering e di altri rischi informatici più pertinenti ai loro ruoli.

Adattando la formazione ai singoli reparti e alle funzioni lavorative, le organizzazioni possono creare una forza lavoro più coinvolta e informata, migliorando l’efficacia complessiva del programma di sicurezza. Il vantaggio principale della personalizzazione della formazione sulla sicurezza è che rafforza la capacità dei dipendenti di riconoscere le minacce specifiche del proprio ruolo, riducendo la possibilità di costose violazioni della sicurezza. Inoltre, garantisce la conformità alle normative specifiche del settore e promuove una cultura della sicurezza proattiva in tutta l’azienda.

MetaCompliance offre programmi di formazione personalizzati e basati sui ruoli, progettati per rispondere ai rischi di sicurezza specifici di ogni ruolo e di ogni reparto. Scopri come la nostra formazione di sensibilizzazione alla sicurezza dipartimentale può fornire le conoscenze specifiche di cui i tuoi diversi team hanno bisogno per rimanere al sicuro.

Formazione di sensibilizzazione sulla sicurezza per i fornitori di terze parti