Gli “attacchi gravi” alla sicurezza informatica avvenuti nel primo semestre del 2018 sono stati un totale di 730, rispetto ai 1127 riscontrati in tutto il 2017 e i 1056 del 2016: lo comunica il Rapporto Clusit, effettuato dall’Associazione Italiana per la Sicurezza Informatica.
Secondo il report di Malwarebytes, impresa di sicurezza informatica americana, tra le piccole e medie imprese colpite da attacchi informatici (in questo caso in particolare si parla di ransomware), 1 su 5 si ritrova costretta a cessare la produzione, registrando danni ingenti in termini economici.
Su Google si trovano tantissimi altri report di altrettante aziende di statistica e ricerca che dicono tutte la stessa cosa: la cyber criminalità è un problema reale che non risparmia nessuno.
Il punto di forza dei criminali della rete è poter contare sul fatto che le aziende non sono ancora correttamente preparate a contrastare i loro attacchi e non dispongono delle giuste risorse, o del giusto personale, per difendersi al meglio.
È qui che entra in gioco la formazione sulla sicurezza informatica, la migliore arma di difesa che un’azienda ha a disposizione.
Premessa: tipi di cyber attacchi e le conseguenze
Diffondere una cultura sulla cybersecurity è il primo passo da fare per favorire la migliore protezione ai canali di comunicazione aziendali: le minacce della rete, infatti, riescono ad accedere ai nostri dati attraverso mezzi diversi con i relativi rischi.
Facciamo una digressione di percorso per parlare della gravità degli attacchi informatici e delle conseguenze che comportano.
Quali sono i mezzi con cui un cybercriminale attacca un’azienda
Le minacce del web trovano terreno fertile attraverso:
- la poca cultura sull’argomento cybersecurity diffusa tra i dipendenti. Questo è un problema particolarmente sentito in quanto un’azienda – e di conseguenza i suoi collaboratori – che non riconosce il rischio, diventa automaticamente un pericolo per se stessa ma anche per le altre imprese che entrano in affari o in contatto con essa.
Come riporta un report effettuato da Kaspersky Lab, famosissima azienda che produce software antivirus, nel 2017 la disattenzione o la poca conoscenza dei dipendenti è stata la causa del 46% della diffusione di attacchi hacker in azienda.
Molte volte utilizzare una password troppo semplice oppure aprire un’email pensando che provenga da una fonte affidabile può provocare gravi danni; - virus e botnet. Il primo lo conosciamo tutti (senza scendere nel particolare e analizzare tutti i tipi esistenti), il secondo è una rete di computer accomunati da un malware (un programma informatico malevolo) che permette all’hacker di controllare il funzionamento di tutti i dispositivi coinvolti;
- attacchi da parte di hacker. I soggetti in questione analizzano nel dettaglio i dati raccolti sull’azienda a cui stanno mirando alla ricerca di vulnerabilità specifiche con cui accedere e prendere il controllo del sistema.
I costi di un attacco informatico
I danni da considerare dopo aver subito un attacco alla propria sicurezza informatica si traducono in:
- denaro speso a causa di truffe, estorsioni, furti di denaro e di dati personali, oltre che i danni di reputazione che vanno ad influire sulle classifiche e i rating di credito bancari;
- tempo per risolvere il problema, che in alcuni casi si traduce nell’arresto della produzione e delle attività di lavoro perché non è possibile utilizzare gli strumenti più ordinari, dai computer ai software che fanno funzionare i macchinari;
- responsabilità penali, soprattutto nel caso in cui vengano perse informazioni sensibili del personale e dei clienti, rendendo il datore di lavoro e l’azienda pienamente responsabili e colpevoli della fuga dei dati;
- costi di recupero: a seguito di un incidente informatico, le aziende si mobilitano per investire su software e sistemi di sicurezza (più) sofisticati con cui evitare di cadere di nuovo nella rete dei criminali del web.
Contrastare i cyber attacchi con la formazione in azienda
Un’azienda può installare dei programmi o dei sistemi di sicurezza sofisticatissimi, ma senza istruire i propri dipendenti sul comportamento corretto da tenere, il rischio di compromettere l’azienda rimane alto.
È per questo che fornire ai propri collaboratori un’adeguata formazione sui rischi della sicurezza informatica è il primo passo da compiere per dare all’azienda i giusti mezzi per contrastare ogni minaccia annessa.
Quale tipo di formazione scegliere
I corsi di formazione sono dedicati sia ai dipendenti meno esperti, con lo scopo principale di diffondere una cultura di apprendimento e consapevolezza, che agli esperti IT o aspiranti tali, per completare la loro educazione o per specializzarsi ulteriormente nell’ambito informatico che è più utile in azienda.
Formazione base per i dipendenti
Per i non addetti ai lavori della cybersecurity, è stato pensato un percorso formativo che permetta loro di apprendere le competenze e le conoscenze necessarie affinché proteggano perlomeno i propri dati e le proprie informazioni all’interno del computer in uso.
Non solo teoria, ma anche pratica che consenta loro di acquisire familiarità con le diverse minacce alla sicurezza del computer e della rete: il furto di identità, le frodi con carta di credito, il phishing sui sistemi di home banking, i virus e le backdoor, le truffe via email, la perdita di informazioni confidenziali, gli attacchi da parte di hacker e la social engineering. Tutto questo viene poi tradotto in best practices da mettere in atto per mitigare la propria esposizione agli attacchi.
Formazione specialistica per gli addetti alla cybersecurity
Per i professionisti, invece, ci sono molti corsi verticali su determinate tematiche.
Un’area che sta particolarmente interessando è quella sull’Hacking Etico, ossia imparare tecniche di hackeraggio – usate dai veri e propri criminali informatici – al fine di proteggere efficacemente le proprie infrastrutture e di comprendere le responsabilità etiche dell’impiego.
Molti datori di lavoro non hanno le competenze per valutare le capacità apprese dal proprio personale, proprio per questo il corso Certified Ethical Hacker prevede una certificazione finale che assicura che i futuri hacker etici, o anche detti white hat, siano tecnicamente e moralmente qualificati. Questo primo step è propedeutico per altre certificazioni che fanno riferimento a due aree: quella del vulnerability assessment & penetration testing e quella della cyber forensics.
La prima concerne le attività per trovare tutte le vulnerabilità nella rete, nel computer, nel database e nelle applicazioni; la seconda invece riguarda il processo di individuazione degli attacchi di hacking, il conseguente rilevamento di prove che attestino l’intrusione e i diversi controlli per prevenire futuri attacchi.
L’altro campo specialistico è legato alla sicurezza delle applicazioni web, per le quali non ci si è mai preoccupati di scrivere un codice sicuro e corretto e di conseguenza di considerare le eventuali lacune nello sviluppo dell’applicazione e nel processo di distribuzione.
Nel momento in cui si ha avuto la consapevolezza di queste problematiche, sono sorti corsi e certificazioni in questo ambito, focalizzati specialmente sul linguaggio di programmazione Java e sul framework .Net.
Gli enti di formazione a cui rivolgersi
Tra gli enti di formazione a disposizione tra cui scegliere, i migliori corsi sulla cybersecurity sono svolti dalle università e da enti privati – senza voler fare una classificazione degli atenei e delle agenzie più preparate in Italia.
Corsi universitari
Ad oggi, gli atenei offrono master e corsi di laurea specialistica per chi desidera formarsi nella sicurezza informatica, ma non è ancora a disposizione un corso triennale di cybersecurity.
I candidati che vogliono iscriversi devono avere come requisiti pregressi una certificazione di laurea di primo livello in ambito informatico, matematico oppure in ingegneria informatica per garantire una preparazione iniziale omogenea tra tutti i partecipanti.
I principali insegnamenti vertono su:
- fundamentals of cybersecurity
- studio di protocolli di crittografia applicata
- aspetti legali legati alla privacy e al data security
- politiche europee e internazionali (cybersecurity international standards)
- risk management e assessment
- scienza forense digitale
- contabilità strategica e calcolo del budget per attività di protezione informatica
- web e network security
I corsi universitari cercano di fornire una base quanto più solida e uniforme possibile ai candidati, indipendentemente dal tipo di ruolo che verrà svolto successivamente.
I
master forniscono – per definizione – una preparazione più pratica
rispetto ad una laurea specialistica e danno anche la possibilità di
confrontarsi con professionisti del settore che affrontano ogni giorno
problematiche legate alla cybersecurity.
Nonostante i numerosi vantaggi della formazione accademica, per un’impresa che desidera proporre un corso verticale e altamente specializzato in base alle competenze richieste in azienda, l’università non è la scelta migliore.
Perché? Perché non offre una preparazione davvero mirata a specifici ambiti della sicurezza informatica, ma solamente una vasta conoscenza di base a cui devono essere affiancate in un momento successivo, competenze più mirate.
Corsi presso enti privati
Chi si rivolge ad un ente privato ha a disposizione una proposta formativa più variegata e, soprattutto, verticale rispetto alle proprie richieste: in base alle esigenze lavorative, il candidato può scegliere il corso specializzato più adatto alla propria preparazione e alle prospettive di carriera.
A differenza della proposta universitaria, I corsi privati partono da una formazione di base per cui non è richiesta alcuna preparazione pregressa, fino a lezioni avanzate e corsi di aggiornamento per esperti del settore che hanno già un livello di esperienza consolidato.
Inoltre, gli enti privati organizzano corsi in collaborazione con docenti professionisti del settore che portano casi reali di studio frutto della loro esperienza, con l’obiettivo di preparare anche concretamente i partecipanti.
Per ultimo, ma non meno importante, gli enti privati danno la possibilità di concludere il proprio percorso formativo sottoponendosi alle certificazioni più accreditate nel panorama della cybersecurity: Dgroove, per esempio, è partner di EC-Council, organizzazione americana riconosciuta a livello mondiale che certifica i candidati nell’ambito dell’e-business e dell’information security.
Gli incentivi a cui accedere
I finanziamenti costituiscono un importante strumento di agevolazione per attivare progetti formativi. Molte aziende, nonostante siano consapevoli dell’importanza della formazione e propense ad avviare i corsi necessari, vengono frenate dalla mancanza di disponibilità economiche.
I Fondi Paritetici Interprofessionali sono sorti sposando proprio questa causa in modo da ridurre o annullare totalmente i costi, facendo diminuire gli investimenti da parte delle aziende e garantire una formazione continua.
Il fondo più diffuso e usato in Italia è Fondimpresa, rivolto a quadri, impiegati e operai delle imprese di qualunque settore economico e che permette l’attivazione di corsi su qualsiasi tematica.
Inoltre, è quello più importante poiché comprende circa il 50% del totale dei lavoratori iscritti a tutti i fondi in Italia. Dal 2007 ad oggi ha finanziato piani di formazione per oltre 2,5 miliardi di euro. In particolare, grazie allo strumento Conto Formazione, ogni impresa può gestire in autonomia un’ampia parte delle proprie risorse per costruire i propri percorsi formativi.
Questo modello così duttile è riuscito a coinvolgere anche e soprattutto le Pmi. Infatti, non solo le Piccole e medie imprese costituiscono oltre il 98% delle aderenti a Fondimpresa, sono anche la maggioranza delle aziende attive nella formazione. Grazie a questa possibilità è possibile scegliere tra una gamma praticamente illimitata di opportunità per la propria crescita ed innovazione. Fondimpresa si dimostra così uno strumento ideale per la necessità delle aziende di crescere e riqualificare centinaia di migliaia di lavoratori con competenze superate o l’aggiornamento dei dipendenti sulle nuove frontiere dell’industria 4.0.
Un altro canale è Fondirigenti, nato per lo sviluppo delle competenze professionali dei manager e che, tramite la pubblicazione di bandi con contributi aggiuntivi a fondo perduto, promuove attività formative altamente innovative su tematiche prioritarie nel mercato attuale.
Anche in questo caso i numeri sono interessanti: risulta infatti che l’80% dei manager sono iscritti. Gli asset più gettonati riguardano i big data, la cybersecurity, il marketing digitale e l’automazione di processo.
Infine, un altro strumento usato per la formazione finanziata è il Fondo Sociale Europeo (FSE) attraverso cui tutti i Paesi dell’Unione Europea possono attingere per finanziare attività con quattro scopi: occupabilità, imprenditorialità, adattabilità, pari opportunità. Questo fondo si rivolge, oltre ai privati cittadini, anche alle aziende, le quali devono rivolgersi alle autorità di gestione, differenti per ogni nazione dell’UE, che elaborano e gestiscono i Programmi operativi. In Italia questo ruolo è affidato per lo più alle province autonome e alle singole regioni che continuano ad investire numerosi fondi poiché il rinnovamento delle competenze possa permettere all’azienda stessa di risollevarsi, creando così nuovi posti di lavoro.