Investire negli Stati Uniti, emigrare e lavorare negli USA - Roberto Mazzoni

Conquistare il sogno americano negli Stati Uniti o da casa propria

Security awareness negli USA e in Europa

La security awareness è uno dei più grandi mercati di sicurezza informatica mondiali. Negli USA è talmente importante che Homeland Security, il ministero degli interni, vi ha dedicato un’intero mese dell’anno: ottobre. In pratica è la consapevolezza delle persone nei confronti dei rischi legati alla sicurezza fisica e informatica delle informazioni.

Purtroppo la gran parte degli attacchi informatici che hanno successo traggono vantaggio dall’imprudenza commessa da un dipendente dell’organizzazione che viene attaccata. Il problema interessa ogni strato sociale, dall’industria, al governo, dagli ospedali, al mondo della finanza.

Security awareness come rimedio al phishing

La security awareness è l’unico rimedio possibile nei confronti del phishing. Che cos’è il phishing? Si tratta dell’invio di email truccate in cui si invita il destinatario a compiere un’azione che aprirà la porta all’attaccante. Esiste un’arte raffinata nel produrre questo tipo di messaggi e, nella maggior parte dei casi, sembrano assolutamente autentici salvo che per qualche piccolo particolare.

Provengono tipicamente da persone che si spacciano per tecnici di supporto informatico, per agenti del governo, per rappresentanti della vostra banca oppure della compagnia che gestisce la vostra carta di credito. L’obiettivo finale di queste email è invariabilmente di farvi compiere un’azione.

Tale azione può essere tanto semplice come cliccare su un link oppure scaricare un allegato. Potrebbe anche essere più complessa e richiedervi di telefonare a un numero contenuto nel testo oppure avviare una chat con un sito particolare.

Dimensioni del fenomeno del phishing

La parola phishing deriva dalla combinazione di altri due termini inglesi. Il primo è “phone”, perché questo tipo di operazioni veniva in origine compiuto via telefono. La seconda è fishing, pescare, perché si tratta di un’attività in cui l’attaccante getta una rete abbastanza ampia da pescare almeno uno sprovveduto tutti i giorni.

Stando a statistiche recenti, il 50% degli utenti Internet riceve almeno un messaggio di phishing al giorno. La cosa preoccupante è che la metà di queste persone cade nella trappola. Abbiamo quindi che il 25% degli utenti Internet compie tutti i giorni un’azione che compromette la propria sicurezza e quella di altri.

Queste violazioni sono molto difficili da scoprire perché l’attaccante, una volta ottenuto accesso ai dati riservati, aspetta settimane o anche mesi per sferrare l’attacco. E una volta che l’attacco è terminato, la persona oppure l’azienda non si accorge del danno per settimane, mesi e anche anni. L’attaccante infatti cerca di cancellare tutte le propri tracce prima di trarre profitto dalle informazioni che ha rubato. Inoltre l’uso di tali informazioni non è quasi mai palese e perciò emerge dopo parecchio tempo, quando non è più possibile porvi rimedio.

La security awareness è il principale strumento di difesa delle aziende

L’unica difesa contro il problema del phishing consiste nel rendere le persone consapevoli (aware) dei problemi legati alla sicurezza fisica e informatica delle informazioni. Stando a una stima recente, il 97% delle persone nel mondo non sa rinoscere un messaggio di phishing.

Il problema non riguarda solo gli Stati Uniti, ma è molto sentito anche in Europa. L’European Network and Information Security Agency, che segue questo tipo di problemi per conto della Comunità Europea, dichiara che la security awareness è il primo strumento di difesa per le aziende.

Esistono svariate società che si specialzzano nel fornire addestramento e simulazioni in questo campo. Il loro piano formativo copre le informazioni di base e aiuta le persone a modificare il proprio comportamento un po’ alla volta. Si usano speciali software di simulazione che spediscono email trappola ai dipendenti dell’azienda e si tiene traccia di chi clicca sui link “proibiti”.

A quel punto la persona può essere informata nuovamente del pericolo e questo lavoro di educazione continua fino a che il comportamento pericoloso non è stato eliminato.

La security awareness è fondamentale, ma richiede tempo

Il training di security awareness dura diversi mesi, fino a oltre un anno. Si è infatti stimato che ci voglia almeno un anno prima che l’individuo medio abbandoni un particolare comportamento pericoloso. E spesso bisogna correggere fino a cinque comportamenti pericolosi, eliminandoli uno alla volta.

Si tratta quindi di un processo che può durare diversi anni, durante i quali l’azienda dovrà comunque adottare altri strumenti di protezione. Ma si tratta di un percorso inevitabile perché, senza security awareness, tutti gli altri strumenti sono destinati a fallire. E nel video abbinato a questo articolo vi spieghiamo perché.

Security awareness come biglietto d’ingresso per gli USA

Il fatto che Homeland Security abbia dedicato un intero mese a questo argomento mostra quanto sia importante per i governo americano. Sempre Homeland Security stima che entro il 2020 serviranno 1 milione e 800mila nuovi tecnici di cyber security e invita chiunque a farsi avanti.

Tra l’altro per operare in ambito security awareness non servono competenze informatiche, ma semmai bisogna essere bravi comunicatori. E’ essenziale riuscire a stabilire un contatto con le persone. Di conseguenza basta conosecere abbastanza bene l’inglese e il gioco è fatto.

Si tratta quindi del settore perfetto per chi progetta di immigrare negli Stati Uniti come dipendente. Homeland Security è la massima autorità in materia di immigrazione e chiunque voglia seriamente trasferirsi negli USA farebbe bene ad ascoltare il suo invito.

Roberto Mazzoni

Comments