Seleziona una pagina

Security Awareness Training:
un modello di riferimento  

Un modello di Security Awareness Training strutturato e in profondità, con miglioramento continuo e un approccio risk-based.

di Luigi Calabrese
e Pietro De Angelis

pubblicato il 28/11/2022

#Security Assessment Training #Academy #Cybercrime #Cybersecurity #Hacker #Phishing #Spear phishing

Tempo di lettura: 5 minuti

Il modello di servizi di Netgroup per fare

Security Awareness & Training

Un approccio strutturato, per andare in profondità

Per i propri servizi di Security Awareness & Training, Netgroup propone un modello di erogazione strutturato suddiviso in fasi, ispirato al principio del continuous improvement secondo il paradigma PDCA (o Ciclo di Deming) e basato, come richiesto dalle più recenti regolamentazioni di settore, su un approccio risk-based.

Tale approccio si estrinseca nelle seguenti fasi di cui si compone il service delivery:

1. Assessment del rischio intrinseco e sistematico

che caratterizza ciascuna specifica organizzazione, condotta attraverso attività di tipo consulenziale altamente specializzato, impiegando metodologie consolidate di Risk Management quali ISO 31000, ISO/IEC 27005, SEI/CMU OCTAVE, ISACA Risk IT, ANSSI EBIOS RM.

2. Assessment del rischio specifico

che insiste sul fattore umano, distinto per funzioni e ruoli, condotta attraverso simulazione di attacchi generalizzati o mirati impiegando campagne di Phishing massivo, di Spear Phishing e di Social Engineering al fine di valutare la permeabilità dell’organizzazione.

3. Progettazione contestualizzata

  1. e successivo dispiegamento di campagne di Awareness (newsletter tematiche, pillole di conoscenza tramite video o infografiche, ecc.) e di Training (con sessioni formative live, per una piena interattività) volte a gestire il rischio identificato nelle prime due fasi di assessment.

4. Re-assessment del rischio umano

attraverso ulteriori campagne di Phishing, Spear phishing o Social Engineering successive alle attività di Awareness e Training, volte a misurarne il relativo tasso di efficacia.

5. Analisi, reporting e follow-up

della campagna condotta, volta a identificare gli ambiti di miglioramento e a definire l’eventuale, conseguente erogazione di sessioni formative supplementari.

L’assessment del rischio sistematico

L’offerta Netgroup per i servizi di Security Awareness & Training è volta a ridurre il rischio di attacchi legati al fattore umano (HUMINT, Social Engineering, Phishing, SMIShing e Spear Phishing, ecc.) migliorando così la complessiva postura di sicurezza delle aziende clienti.

Poiché ogni organizzazione è unica e, in quanto tale, esposta a minacce peculiari, i servizi di Security Awareness & Training si adattano alle esigenze di ogni specifica realtà attraverso un processo di contestualizzazione basato su due principali fattori: il rischio sistematico (identificato attraverso un’attività preliminare di Risk Assessment & Analysis condotta rispetto alla mission dell’organizzazione, alle sue attività e al contesto in cui opera) e il rischio specifico.

L’assessment del rischio specifico

Il Rischio specifico viene identificato attraverso attività di assessment di tipo ‘overt’ o ‘covert’ rivolta a quei gruppi di persone identificati come a maggior rischio per funzione o ruolo rivestito e condotte attraverso simulazioni di attacchi di Phishing, Spear Phishing o Social Engineering.

Campagna di Social engineering:

Rivolte a figure ad alto rischio all’interno dell’organizzazione e, in particolare, a figure in ambito tecnico e di supporto, queste campagne integrano il canale email con canali a interazione diretta quali chiamate telefoniche e visite in presenza, al fine di verificare non solo la permeabilità dei singoli a questo genere di attacchi ma anche la presenza e la robustezza delle apposite misure organizzative (policy, procedure, ecc.) volte contenere il rischio derivante da pratiche ostili di social engineering.

Campagna di Spear phishing:

Rivolte a figure chiave o comunque ad alto rischio all’interno dell’organizzazione, queste campagne impiegano tecniche di phishing più sofisticate nonché conoscenze puntuali in merito all’identità del target e alle specifiche attività da esso svolte, al fine di risultare più credibili rispetto alle campagne massive e generalizzate. L’esito di queste campagne è coperto da clausola contrattuale standard di riservatezza.

Campagna di Phishing massivo:

Impiegando un’apposita piattaforma, Netgroup è in grado di produrre simulazioni di campagne massive di Phishing per misurare la permeabilità dell’intera azienda o di specifici reparti e unità organizzative ad attacchi di phishing. La campagna può prevedere l’invio di una o più e-mail per ciascun destinatario, recanti indicatori di frode più o meno espliciti a seconda del livello di preparazione che si intende misurare. Le campagne massive forniscono generalmente risultati aggregati sulla scorta di metriche quali tasso di apertura, tasso di click-through e/o tasso di risposta, e possono prevedere l’impiego di landing page web dove testare ulteriormente l’eventuale interazione da parte dei target dell’attacco simulato.

Netgroup Academy – Awareness & Training

Academy è la divisione Netgroup impegnata nell’ambito delle attività di formazione e training, collaborando con Società, Associazioni, Università ed Istituzioni Formative, nazionali ed anche internazionali, incrociando le loro richieste con quelle del mercato.

Sulla scorta delle risultanze raccolte attraverso le attività di Assessment, l’Academy Netgroup identifica, progetta ed eroga i percorsi di crescita professionale più adatti al background dei discenti e maggiormente rispondenti agli obiettivi dell’organizzazione fruitrice, offrendo una copertura delle esigenze anche in termini di Awareness & Training sulla sicurezza informatica, la privacy/protezione dei dati e la Business Continuity.

Academy mette a disposizione spazi e strumenti per l’organizzazione di sessioni in presenza o tramite e-learning, offrendo anche una formula innovativa di formazione mediante metodologie di auto-apprendimento con la creazione di percorsi ‘role-oriented’, integrando strumenti diversificati d’apprendimento anche mediante newsletter e produzione di contenuti multimediali da distribuire su piattaforma di e-learning, sulla Intranet aziendale o direttamente nella mailbox degli utenti.

Sia le campagne di Awareness sia i percorsi di Training si concludono con test di autovalutazione, o di valutazione supervisionata e misurata per verificare i progressi dell’apprendimento rispetto agli obiettivi prefissati.

Re-assessment del rischio e Follow-up

  • Vengono riproposte le campagne di Phishing, Spear Phishing o Social Engineering, allo scopo di verificare l’incremento della consapevolezza del rischio a valle delle attività di awareness e training.
  • Viene prodotto un report di comparazione tra le misurazioni ottenute a valle delle prime campagne di simulazione e di quelle seguenti alle attività formative, così da misurare in maniera oggettiva il miglioramento della postura di sicurezza dell’intera organizzazione rispetto alle vulnerabilità determinate dal fattore umano.
  • Tale report sarà il punto di partenza per la progettazione delle attività di follow-up, mediante approfondimenti specifici, erogazione di sessioni integrative di training e ulteriore fornitura di materiale fruibile tramite auto-formazione.