Simulare attacchi di phishing con proofpoint
Un cuore locale e internazionale insieme
Fashion Box SpA è l’azienda che con i marchi REPLAY, REPLAY&SONS e WE ARE REPLAY crea abbigliamento casual per uomo, donna e bambino. Nata nel 1981 ad Asolo (TV), sviluppa fin dall’inizio stile innovativo, design italiano e alta qualità dei prodotti: il risultato è la posizione di spicco raggiunta in tutta Europa, Medio Oriente, Asia, America e Africa, con una rete di distribuzione in più di 50 Paesi.
Creare una cultura della sicurezza informatica
L’azienda aveva la volontà di fare formazione su diversi temi legati alla protezione delle informazioni: tra tutti, quello dell’anti-phishing, particolarmente sentito anche dal board dopo aver subito un attacco.
“Come fornitori IT – spiega Luca Piovesan, Account Manager di Eurosystem, – ci siamo trovati davanti ad un’azienda preparata in termini di tecnologie per la sicurezza, ma abbiamo individuato la mancanza di una soluzione di security awareness per fare formazione agli utenti in termini di prevenzione. E per questo abbiamo consigliato l’adozione della piattaforma PSAT (Proofpoint Security Awareness Training).”
Paolo Pietrobon, IT Manager di Fashion Box, spiega che “l’azienda ha deciso di investire nella piattaforma dopo aver compreso le potenzialità sulla formazione in ambito sicurezza”. Dal GDPR al phishing, dall’utilizzo sicuro dei dispositivi mobile e delle memorie esterne alla formulazione delle password: sono solo alcune delle tematiche che i corsi online erogati dalla soluzione PSAT permettono di affrontare.
Come si comportano gli utenti con gli strumenti aziendali?
“Fashion Box ha potuto prima di tutto testare il software di formazione e sensibilizzazione alla sicurezza delle informazioni, che mira ad aiutare le organizzazioni nell’insegnare ai propri dipendenti, attraverso attacchi simulati, quali comportamenti idonei adottare” precisa Piovesan di Eurosystem. Durante il trial, è stata realizzata la simulazione di un attacco di phishing su circa 30 utenti e il 30% è caduto vittima. In questo modo è stata dimostrata una necessità di intervento.
Una volta acquistata la soluzione è stata fatta una campagna blind su tutto il personale in sede con l’invio di mail pericolose di differenti gradi di “difficoltà”: l’incidenza degli utenti caduti vittima è stata del 10%, con persone che hanno solo cliccato e altre che hanno inserito dei dati.
Parallelamente è iniziato il training. “Sono state rilevate delle aree di miglioramento, su cui faremo ancora campagne e per chi sbaglia, verrà attivata automaticamente la formazione on line sulla base degli errori effettuati. Così vogliamo azzerare questo tipo di incidenza” precisa l’IT manager di Fashion Box.
Monitorare con precisione e senza fatica
La piattaforma è caratterizzata da semplicità di utilizzo: a favore del reparto IT, tutto viene monitorato, misurato e analizzato dall’amministratore di sistema che, grazie a dashboard con grafici interattivi e statistiche, valuta le azioni possibili su utenti e tecnologie. I collaboratori invece hanno un’area riservata in cui trovano i corsi automaticamente assegnati.
“Fare formazione e monitorare gli andamenti grazie alla soluzione PSAT di proofpoint consente ai dipendenti di aumentare consapevolezza e conoscenze sulla sicurezza, capendo i comportamenti da adottare nel contesto lavorativo e non solo. È stato infatti dimostrato interesse in quanto le varie tematiche affrontate interessano gli ambiti della vita quotidiana” continua Pietrobon. Tutti i corsi sono ‘pronti all’uso’ e la piattaforma è disponibile in oltre 35 lingue, fattore che si concilia con la volontà, da parte dell’azienda asolana, di estenderne l’utilizzo alle filiali estere.
I moduli formativi inoltre sono intuitivi e poco impattanti in termini di tempo. Le segnalazioni di sospette mail di phishing da parte dei dipendenti dimostrano che è stata portata attenzione sul tema. “Fashion Box ha manifestato quindi una forte attenzione al fattore persona, spesso il vero anello debole della catena, quello che rischia di compromettere più degli altri la sicurezza dei sistemi” conclude Piovesan. È fondamentale la formazione continua per non essere allo stesso tempo vittime e fonte di attacco.