Awareness Academy

La CYBER School di SmartNet

è organizzata in tre moduli differenti

Icon

Cyber Smart
Awareness

Icon

Cyber Smart
Channel

Icon

Cyber Smart
Phishing

Composto da tre moduli

Cyber Smart Awareness

Di seguito riporto un esempio di come il fornitore rappresenta le lezioni riportate di seguito sul suo sito

01

Modulo 1

+ Il PHISHING:

È la più comune tecnica di attacco utilizzata dai criminali Cyber. È particolarmente subdola perché basata su un inganno, con cui si cerca di indurre la potenziale vittima a compiere un’azione che consente al criminale di sferrare il suo attacco. Riconoscerlo per adottare le necessarie contromisure è fondamentale.

+ PASSWORD:

Uno dei pilastri della Cyber Security è rappresentato dalla PASSWORD, la chiave di accesso a tutte quelle risorse informatiche a cui si deve garantire un accesso sicuro e riservato. La gestione delle proprie PASSWORD diventa quindi un elemento basilare delle strategie difensive, della persona e dell’organizzazione.

+ I SOCIAL MEDIA:

Rappresentano una nuova modalità di socializzazione che nasconde molteplici rischi. Utilizzare in modo consapevole questi strumenti è l’unica soluzione per proteggere se stessi e la propria organizzazione dai rischi che la condivisione in rete di contenuti individuali e professionali può generare.

+ PRIVACY & GDPR:

L’introduzione del regolamento europeo sulla protezione dei dati ha aumentato la sensibilità delle organizzazioni rispetto alla PRIVACY e alla protezione dei dati sensibili. E’ importante che tutti i membri di un’organizzazione acquisiscano maggiore sensibilità rispetto alla protezione dei dati.

+ MOBILE APP:

I DEVICE MOBILI sono strumenti che diventano ogni giorno più critici e che rappresentano la massima espressione della rischiosa sovrapposizione tra dimensione personale e professionale. Solo abilitando buone pratiche di utilizzo si può aumentare il livello di sicurezza e di protezione dei dati.

+ FAKE NEWS:

Sono un fenomeno pericoloso, che può avere ripercussioni negative sia per l’individuo sia per le organizzazioni. Per difendersi è fondamentale riconoscerle, attivando alcuni processi di indagine che aiutano a sviluppare un atteggiamento corretto su qualsiasi informazione acquisita in rete.

+ USB STORAGE:

Tutti i dispositivi USB, e in particolare i dispositivi di memorizzazione, possono diventare un punto critico rispetto alla necessità di proteggere le informazioni riservate. Sapere quali sono i rischi associati ai dispositivi USB è il punto di partenza per evitare di incorrere in fenomeni di sottrazione di dati.

+ LA MAIL:

È uno strumento sempre più importante, che nella vita professionale assume un ruolo centrale e particolarmente critico. Attraverso le MAIL vengono spesso scambiate informazioni sensibili. Sottovalutare l’aspetto della sicurezza può comportare gravi rischi per sé e la propria organizzazione.

+ I MALWARE:

In generale e il RANSOMWARE in particolare, hanno conquistato velocemente le cronache, mettendo in evidenza tutta la loro pericolosità. Per infettare il proprio device è sufficiente un click inconsapevole e un software anti-virus non può garantirci una protezione totale rispetto a questi programmi maligni.

+ WEB BROWSING:

La navigazione nel WEB può nascondere molti rischi. Una buona conoscenza di alcune caratteristiche peculiari dei siti Web e dei browser in particolare può aiutare a ridurre notevolmente il livello di rischio. Acquisire gli elementi cognitivi per navigare nel WEB in sicurezza rappresenta un elemento basilare per evitare i rischi cyber.

+ CRITICAL SCENARIO:

Nell’interazione con il Cyber Spazio, esistono alcuni scenari critici come l’uso delle piattaforme Cloud, piuttosto che l’uso delle piattaforme di e-commerce, sia in ambito B2B che B2C. Tutti scenari che risultano particolarmente esposti alla possibilità di subire attacchi da parte dei criminali Cyber.

+ SOCIAL ENGINEERING:

Il social engineering, o ingegneria sociale, è la madre di tutte le strategie di attacco Cyber. È una strategia che punta sull’inganno e sulla manipolazione psicologica per perseguire finalità malevole. Per rendere più efficace l’attacco, il nucleo di questa strategia è costituito dall’acquisizione di informazioni sulla vittima designata.

02

Modulo 2

+ CLEAN DESK:

Porre particolare attenzione verso la propria postazione di lavoro, evitando di lasciare informazioni critiche o addirittura sensibili nella disponibilità di persone non autorizzate ad accedervi, è un elemento basilare per garantire la sicurezza delle informazioni, la protezione dei dati e il rispetto delle normative sulla privacy.

+ SMART WORKING:

Con il ricorso generalizzato allo smart-working, anche se inteso soprattutto come telelavoro o lavoro da remoto, diventa necessario focalizzare l’attenzione su questo particolare tema. Operare al di fuori delle rassicuranti mura del proprio ufficio, espone tutti gli utenti ad un aumento dei rischi Cyber.

+ SOCIAL COLLABORATION:

L’utilizzo dello smart-working ha generato un rapido aumento dell’uso degli strumenti di condivisione delle informazioni e di collaborazione, tra tutti gli strumenti di video-conferenza; un uso che ha travalicato la dimensione professionale per approdare definitivamente anche in quella personale con tanti rischi.

+ SMISHING & VISHING:

Si tratta di un’altra particolare tecnica di Phishing che colpisce attraverso i sistemi di messaggistica come WhatsApp, Messenger, Telegram e SMS o di telefonia. Per comprendere come anche i sistemi di messaggistica, per certi versi considerati “sicuri”, possano nascondere pericolose insidie.

+ SPEAR PHISHING:

Si torna a parlare di Phishing con lo Spear Phishing, una tecnica sofisticata che colpisce uno specifico individuo o uno specifico gruppo di individui. In questa tipologia di attacco l’accento cade su quelle tecniche propedeutiche e necessarie a collezionare informazioni sensibili attraverso l’inganno.

+ RANSOMWARE:

È il più subdolo dei malware, quello che provoca più danni e che sottopone individui e organizzazioni ad un ricatto da cui è difficile sfuggire. Questa tecnica è sempre più diffusa ed aggressiva e negli ultimi tempi sono stati sempre più numerosi gli attacchi gravi correlati con questa tecnica.

+ MULTI FACTOR AUTHENTICATION:

Stimolare l’uso dei sistemi di autenticazione più evoluti è utile sia per rafforzare il livello di sicurezza complessivo degli individui e delle organizzazioni, sia per informare l’utente rispetto alle nuove tecniche con cui gli hacker cercano di superare questi sistemi, facendo leva sul fattore umano.

+ IOT DEVICE:

Elettrodomestici, telecamere, dispositivi indossabili, automobili sempre più intelligenti, anche le cose sono destinate a comunicare sempre di più. Ogni dispositivo interconnesso, se non si adottano comportamenti adeguati, può diventare un punto di potenziale vulnerabilità per la sicurezza.

+ BLUETOOTH & WIFI:

Due componenti tecnologiche ormai indispensabili per garantire la connessione in movimento, la mobilità delle persone e la trasformazione digitale, che possono però nascondere delle insidie se non viene adottato un atteggiamento consapevole da parte degli utenti che ne fanno uso.

+ INFORMATION CLASSIFICATION:

La classificazione delle informazioni è uno dei fattori chiave nella gestione della sicurezza delle informazioni, ma è anche uno dei fattori meno compresi dagli utenti. La sua importanza non è solo basilare per il rispetto di standard e normative ma anche per la protezione delle Personal Identifiable Information.

+ DATA PROTECTION:

Si torna a parlare di protezione dei dati, con un accezione che riguarda la sicurezza, e più strettamente la Privacy e la relazione con le varie normative di qualità e di sicurezza delle informazioni, in modo particolare con il GDPR. Vengono trattati contenuti originali e più sofisticati rispetto a quelli nel primo livello.

+ SOCIAL ENGINEERING 2:

una tecnica di attacco che usa l’inganno e la manipolazione psicologica come base per raggiungere scopi fraudolenti. Partendo da alcuni esempi tratti dalla realtà, verranno forniti ulteriori elementi di consapevolezza, rispetto a quelli già trattati, sulle tecniche utilizzate dai Cyber Criminali.

03

Modulo 3

+ REAL SCAM:

Presentando alcuni casi reali di truffe avvenute nella dimensione Cyber vogliamo favorire il processo di acquisizione della consapevolezza di quanto possa essere concreto il pericolo. Verranno inoltre richiamate alcune buone pratiche che avrebbero evitato di diventare vittime della truffa.

+ PHONE SCAM:

L’interazione tra tecniche Cyber e tecniche più tradizionali come la classifica telefonata sono noti come attacchi combinati. Quest’ultimi sono particolarmente subdoli perché tendono a scardinare la diffidenza che alcuni individui maturano rispetto alle comunicazioni digitali spingendo la vittima in errore.

+ SOCIAL & CYBERBULLING:

Questo tema che sembra dedicato alla sfera strettamente personale con una caratterizzazione sociale e culturale, può invece avere ripercussioni anche dal punto di vista della sicurezza, e può comportare anche danni legali o di immagine verso la propria organizzazione.

+ PRIVACY:

L’uso delle tecnologie digitali, del Web e dei Social hanno un prezzo in termini di perdita di Privacy. Un atteggiamento consapevole in questo ambito ci può consentire di vivere in modo equilibrato il rapporto con l’innovazione, senza per questo pagare un prezzo eccessivamente alto in termini di riservatezza.

+ LEGAL ASPECT:

Violazione del copyright, mancato rispetto delle normative, uso non legittimo di prodotti software, diffamazione, sono solo alcuni degli esempi di aspetti legali correlati con l’uso inconsapevole delle tecnologie digitali e dei rischi di commettere reati, con un impatto negativo sulla persona e sull’organizzazione.

+ PHYSICAL SECURITY:

Anche la sicurezza fisica, come accessi non autorizzati a locali, risorse o informazioni, contribuisce a garantire la protezione degli individui e delle organizzazioni. Sebbene la sicurezza fisica all’interno delle organizzazioni risenta di specifiche normative, vi sono regole generali e buone pratiche per ridurre i rischi.

+ E-COMMERCE:

I rischi aumentano, così come l’entità dei potenziali danni, quando un’attività è direttamente collegata con un flusso di denaro, come nel caso del commercio elettronico. Affrontiamo il tema considerando le varie tipologie di e-commerce, da quello B2C a quello B2B che ha maggiore impatto per l’organizzazione.

+ HOLDAY & BUSINESS TRIP:

La nostra vulnerabilità Cyber aumenta sempre quando affrontiamo una situazione come organizzare le vacanze e i viaggi di lavoro. Affrontiamo il tema cercando di coprire l’intero ciclo dell’evento – dalla pianificazione al rientro a casa o in ufficio – osservando tutti i rischi che si presentano in ognuna delle fasi.

+ CYBER HYGIENE:

Mantenere i dispositivi in un corretto stato di igiene, aiuta a ottenere maggiori risultati in termini di produttività, ma soprattutto comporta una riduzione dei rischi sulla sicurezza delle informazioni. Una serie di buone pratiche su come mantenere una corretta igiene dei nostri dispositivi e dei nostri dati.

+ BACKUP & RESTORE:

Avere una corretta strategia di salvataggio e di recupero dei dati consente di mettersi al riparo dal rischio di subire danni a fronte di un attacco Cyber. Si tratta di un’arma di difesa che ci permette di evitare che il nostro dispositivo diventi oggetto di riscatto o di perdere dati importanti a fronte di un banale evento tecnologico.

+ BEST PRATICE:

Tutto il percorso formativo è centrato sulle buone pratiche, intese come comportamenti virtuosi in grado di mitigare i rischi Cyber. Questo modulo sintetizza il concetto andando a porre l’accento su 12 buone pratiche che possono concretamente essere di aiuto nel ridurre il rischio Cyber.

+ SOCIAL ENGINEERING 3:

Si torna a parlare di Social Engineering partendo da alcuni esempi tratti dalla realtà. In questo modo vengono forniti degli ulteriori elementi di consapevolezza sulle tecniche utilizzate dal Cyber Crime, diventando di fatto la sintesi ideale di elementi già trattati nei moduli del terzo livello.

Cyber Smart Phishing

Cyber Smart Phishing è il programma della piattaforma che si occupa dell’addestramento esperienziale in funzione anti-phishing. Grazie all’esclusivo e innovativo modello di Machine Learning progettato in maniera specifica per la formazione e l’addestramento, Cyber Smart Phishing è in grado di offrire un approccio personalizzato e, soprattutto, adattivo, che rende il training formativo molto più efficace e adatto ad affrontare le nuove tecniche di attacco cyber.

Grazie alle sue tecniche addestramento, alla sua particolare metodologia di formazione e all’apprendimento esperienziale Cyber Smart Phishing consente di massimizzare l’efficacia formativa in tre specifici ambiti: la percezione del pericolo, la prontezza nell’agire correttamente e la cognizione della minaccia.

L’esclusivo modello di Machine Learning rende, inoltre, il programma formativo completamente autonomo nella realizzazione dei programmi di addestramento personalizzati e nella programmazione delle campagne di simulazione, riducendo a zero i costi di gestione.

+ ADDESTRAMENTO ANTI-PHISHING CON UN PERSONAL TRAINER

Per proteggersi dal fenomeno Phishing, ogni organizzazione deve inevitabilmente investire sul fattore umano, allenando la capacità di ogni utente nel riconoscere un attacco Phishing o Smishing.

Per sviluppare il massimo della resistenza è però necessario adattare l’addestramento alle caratteristiche specifiche di ogni singolo individuo e alla sua personale capacità di resistenza agli attacchi cyber.

Per questa ragione le campagne di simulazione Phishing di Cyber Smart vengono personalizzate, grazie a un personal trainer basato su intelligenza artificiale, sulle caratteristiche comportamentali di ogni singolo utente. L’utente viene sottoposto con frequenza variabile, ma con continuità, ad attacchi simulati che tendenzialmente sono destinati a diventare sempre più complessi e sfidanti.

Per massimizzare l’efficacia formativa, i percorsi di addestramento adattivi e automatici, decisi dal personal trainer sulla base dei risultati raggiunti dal singolo utente, riproducono l’esperienza reale simulando le diverse strategie di attacco adottate dai criminali Cyber.

+ UN TRAINING ADATTIVO E PERSONALIZZATO

Le simulazioni vengono specializzate automaticamente sulla base del profilo comportamentale di ogni utente e sulla sua capacità di resistere agli attacchi.

Ogni volta che l’utente cade vittima di un attacco simulato, viene esposto a un intervento formativo leggero, utile a comprendere formalmente il suo errore e a fargli maturare la sensazione negativa di essere incorso in un errore che avrebbe potuto evitare.

Il processo adattivo agisce a vari livelli che condizionano la selezione automatica dei template di attacco per ogni campagna e la loro distribuzione sul target. Questa selezione si basa essenzialmente su alcune macro variabili:

  • Il profilo dell’utente: in base allo specifico grado di resistenza agli attacchi, viene scelto per ogni utente il livello di difficoltà da utilizzare e viene determinata la periodicità dell’attacco successivo.
  • Il ranking dei template: il livello di difficoltà dell’attacco viene invece predisposto calcolando non solo parametri statici, ma anche parametri dinamici, come l’osservazione del click-rate che quel template ha collezionato in quella specifica realtà.
+ TRASFORMA L’ESPERIENZA DEL PHISHING IN UNA FORMAZIONE EFFICACE

Ogni campagna avrà una composizione diversa dalla precedente e dalla successiva, e questo, senza la necessità di alcun intervento umano. Gli algoritmi di apprendimento adottati dalla piattaforma saranno in grado di selezionare i template di attacco, sulla base di un criterio di massima efficacia formativa.

+ ATTACCO PISHING

Gli attacchi simulati sono strutturati in campagne, frutto di un processo adattivo che in modo automatico determina la selezione dei template di attacco ideali rispetto al livello di evoluzione del percorso di addestramento.

+ MICRO TRAINING

Se l’utente fallisce una simulazione, e quindi esegue l’azione ingannevole presente nel template, riceve immediatamente un contenuto formativo personalizzato sulla specificità dell’inganno presente nel template di attacco.

+ REPORTISTICA AVANZATA

La reportistica, fruibile in una dashboard, va ben oltre la semplice rilevazione del Click-Rate medio, offrendo, grazie a metriche avanzate, di valutare il rischio e di seguire la sua concreta riduzione durante l’avanzare del programma.

Cyber Smart Channel

Cyber Smart Channel è il programma di formazione induttiva, che, utilizzando uno schema narrativo tipico delle serie TV, genera nel discente la capacità di apprendere attraverso l’identificazione all’interno di situazioni reali.

Questo programma formativo è composto da una serie di video incentrati sulle principali minacce Cyber e su come queste possono concretamente colpire individui e organizzazioni.

L’obiettivo di questi video, realizzati con tecniche di produzione avanzata e con uno storytelling particolarmente coinvolgente, è quello di aumentare il livello di consapevolezza degli utenti delle tecnologie digitali mostrando loro che chiunque può diventare un bersaglio interessante per il cyber crime.

+ CASI REALI PER ACQUISIRE CONSAPEVOLEZZA

L’utente viene calato all’interno di situazioni reali, nel racconto e nella descrizione di attacchi reali che possono colpire chiunque.

Il discente apprende così attraverso la narrazione, superando un retropensiero molto pericoloso: “a me non può accadere”.

La narrazioni di storie quotidiane o di un notiziario di “breaking news” consente di vivere un’esperienza unica e acquisire nozioni “universali” che possono essere applicate ai comportamenti personali, aumentando così la propria consapevolezza nell’interagire correttamente con le tecnologie e dispositivi digitali.

Perché immergere un individuo in una situazione reale, resta il metodo più efficace per sviluppare un’adeguata percezione del pericolo.

+ CARATTERISTICHE DI CYBER SMART CHANNEL

Apprendimento induttivo efficace

  • Formazione continua
  • Episodi narrativi brevi
  • Auto-Identificazione
  • Materiali di approfondimento
+ COINVOLGIMENTO DEL DISCENTE
  • Produzioni video avanzate
  • Ritmo narrativo elevato
  • Situazioni realistiche
  • Approccio netflix-like
+ SUPERVISIONE A IMPATTO ZERO
  • Piattaforma in saas
  • Servizio chiavi in mano
  • Serie precostituite
  • Student caring automatico
  • Reportistica esaustiva
+MICRO TRAINING

Se l’utente fallisce una simulazione, e quindi esegue l’azione ingannevole presente nel template, riceve immediatamente un contenuto formativo personalizzato sulla specificità dell’inganno presente nel template di attacco.

+ REPORTISTICA AVANZATA

La reportistica, fruibile in una dashboard, va ben oltre la semplice rilevazione del Click-Rate medio, offrendo, grazie a metriche avanzate, di valutare il rischio e di seguire la sua concreta riduzione durante l’avanzare del programma.