Microsoft Security Awareness Training: tutte le risorse ufficiali
Scopri le risorse ufficiali Microsoft per il Security Awareness Training e come rafforzare la security posture aziendale partendo dai dipendenti.
.png)
Che cos’è il security awareness training
Il Security Awareness Training di Microsoft viene erogato tramite la funzionalità Attack Simulation Training di Microsoft Defender for Office 365, che invia campagne simulate di phishing, voice phishing e malware ai dipendenti per misurare i tassi di clic e addestrarli a riconoscere gli attacchi. I destinatari che cliccano vengono automaticamente iscritti a micro-learning mirati, mentre gli amministratori monitorano il cambiamento comportamentale tramite le analytics delle campagne nel portale Defender.
I benefici del security awareness training
Una formazione efficace sulla consapevolezza della sicurezza informatica consente ai dipendenti di praticare una corretta igiene informatica, riconoscere i rischi per la sicurezza legati alle proprie azioni e identificare potenziali attacchi informatici che possono presentarsi tramite email e piattaforme web.
I benefici di una maggiore consapevolezza della propria security posture includono:
- Prevenzione delle perdite finanziarie: Gli attacchi informatici possono mettere in ginocchio le aziende dal punto di vista finanziario e danneggiare la loro reputazione. Il rapporto “Cost of a Data Breach Report 2024” di IBM Security e del Ponemon Institute ha stimato che il costo medio globale di una violazione dei dati è pari a 4,88 milioni di dollari per incidente — con un aumento del 10% rispetto all’anno precedente. La formazione sulla sicurezza insegna ai dipendenti come proteggere le risorse, i dati e i beni finanziari dell’organizzazione. Riducendo la probabilità di incidenti e violazioni, le organizzazioni possono minimizzare le perdite economiche e mantenere un ambiente più sicuro e resiliente.
- **Riduzione del rischio di incidenti:**Anche il volume di attacchi contro le organizzazioni è in crescita. Il “Data Breach Investigations Report 2024” di Verizon ha analizzato 30.458 incidenti di sicurezza a livello globale. Il rapporto ha confermato che 10.626 di questi erano violazioni dei dati, e che il 68% di esse — escludendo gli insider malevoli e includendo persone cadute vittime di attacchi di ingegneria sociale o che hanno commesso errori — coinvolgeva l’elemento umano non malevolo. L‘“Internet Crime Report 2022” dell’FBI ha indicato che gli attacchi di phishing erano al primo posto con 300.497 denunce (con una perdita complessiva di 52 milioni di dollari), seguiti dalle violazioni di dati personali. Una formazione adeguata può prevenire e ridurre questi incidenti, responsabilizzando i dipendenti nel riconoscere e affrontare proattivamente le minacce potenziali.
- **Riduzione dell’errore umano:**Gli esperti di cybersicurezza concordano sul fatto che gli esseri umani tendano ad essere la causa principale della maggior parte degli incidenti. La formazione sulla sicurezza può fornire ai dipendenti le conoscenze, le competenze e la mentalità necessarie per ridurre gli errori umani, rendendo le organizzazioni più resilienti contro le minacce.
- **Coltivazione di un mindset più orientato alla protezione:**Nonostante i numerosi rischi esistenti, le organizzazioni possono prevenire gli incidenti o ridurne gli effetti educando i propri dipendenti su come identificare i rischi informatici, evitare potenziali attacchi e rispondere correttamente a un evento informatico.
- Prevenzione contro la perdita e la corruzione dei dati: Una formazione efficace consente ai dipendenti di comprendere l’importanza di proteggere i dati sensibili; prevenire la diffusione di informazioni personali, proprietà intellettuale e risorse finanziarie; e tutelare la reputazione del marchio aziendale.
Cosa caratterizza un training efficace
Un programma efficace di formazione sulla consapevolezza della cybersicurezza dovrebbe raggiungere i lavoratori con diversi livelli di competenza tecnica e conoscenza della cybersicurezza, oltre che stili di apprendimento differenti.
Il programma di formazione dovrebbe essere multifaccettato, composto da una raccolta di lezioni e opportunità di apprendimento in grado di coinvolgere tutti i membri dell’organizzazione. Inoltre, un programma completo include contenuti basati sul ruolo, fornendo materiale didattico personalizzato in base alle esigenze del ruolo ricoperto dal dipendente, nonché ai soggetti esterni, come partner commerciali e lavoratori a contratto, per garantire che anche questi non mettano a rischio l’organizzazione.
I programmi efficaci presentano i seguenti elementi chiave:
- Contenuti educativi. Devono spaziare da materiali scritti a moduli di apprendimento online interattivi fino a sessioni di gamification, affinché i lavoratori possano accedere alle informazioni nei formati più adatti al proprio stile di apprendimento, siano essi audio, visivi o altri. I contenuti dovrebbero includere lezioni e moduli con diversi livelli di complessità, in modo che ogni dipendente possa accedere alle informazioni più rilevanti per il proprio ruolo.
- Comunicazione di follow-up e messaggi continui. Servono a ricordare ai lavoratori le politiche aziendali in materia di cybersicurezza. Forniscono brevi richiami su come identificare e evitare i rischi e le violazioni della sicurezza, su come gestire eventuali problemi e li informano su nuove minacce emergenti.
- Simulazioni di attacchi. Utilizzando tentativi di phishing, tattiche di ingegneria sociale, sondaggi, quiz e altre valutazioni, è possibile verificare quanto il personale aziendale aderisce alle politiche di cybersicurezza e individuare le persone che non seguono le migliori pratiche.
- Monitoraggio e misurazione del coinvolgimento dei lavoratori. Questo serve a valutare l’efficacia del programma di formazione sulla consapevolezza, aiutando a individuare eventuali debolezze nel programma e le aree da rafforzare.
- Requisiti specifici per la conformità. Garantiscono che i dipendenti siano ben informati sui requisiti normativi da rispettare e sull’importanza della conformità. Ad esempio, standard come l’Health Insurance Portability and Accountability Act (HIPAA) o il Payment Card Industry Data Security Standard (PCI DSS) contengono elementi specifici che gli utenti finali devono conoscere durante la formazione.
Microsoft Security NumbersUn buon programma di formazione include anche tipicamente una combinazione dei seguenti elementi:
- Istruzione formale, come lezioni strutturate e formazione obbligatoria.
- Opportunità di apprendimento informativo, come email settimanali contenenti suggerimenti, aggiornamenti sulle policy e notizie sulla cybersicurezza.
- Sessioni esperienziali e gamification, in cui i lavoratori affrontano simulazioni di phishing e scenari realistici per testare la propria comprensione e rafforzare la formazione, in modo da essere meglio preparati ad affrontare le sfide della cybersicurezza nel mondo reale.
Microsoft può fornirci gli strumenti giusti per creare training in grado di rispettare il giusto equilibrio in questa combinazione di elementi. Vediamo subito uno dei più importanti nella prossima sezione.
Cos’è l’Attack Simulation Training
Attack Simulation Training è una soluzione comportamentale progettata per mitigare il rischio di phishing all’interno delle organizzazioni. Utilizza simulazioni realistiche e formazione mirata per educare i dipendenti, misurare i cambiamenti comportamentali e automatizzare la creazione e l’implementazione di un programma integrato di sensibilizzazione alla sicurezza.
Nelle organizzazioni con Microsoft Defender for Office 365 Plan 2 (con licenze aggiuntive o incluse in abbonamenti come Microsoft 365 E5), è possibile utilizzare Attack simulation training nel portale di Microsoft Defender per eseguire scenari di attacco realistici all’interno dell’organizzazione e aiutare a identificare e individuare gli utenti vulnerabili prima che un attacco reale abbia un impatto sui risultati aziendali.
Attack Simulation Training: HomepageIn Attack simulation training, le simulazioni sono cyberattacchi benigni eseguiti all’interno dell’organizzazione. Queste simulazioni servono a testare le policy e le pratiche di sicurezza, oltre che a formare i dipendenti per aumentare la loro consapevolezza e ridurre la loro suscettibilità agli attacchi.
In soldoni, una simulazione non è che una campagna complessiva in cui vengono inviati messaggi di phishing realistici ma innocui agli utenti.
Gli elementi di base di una simulazione sono:
- Chi riceve il messaggio di phishing simulato e secondo quale pianificazione.
- La formazione che gli utenti ricevono in base alla loro azione o inazione (sia corretta che errata) sul messaggio di phishing simulato.
- Il payload utilizzato nel messaggio di phishing simulato (un link o un allegato) e la composizione del messaggio di phishing (ad esempio, pacco consegnato, problema con il tuo account o hai vinto un premio).
- La tecnica di ingegneria sociale utilizzata. Il payload e la tecnica di ingegneria sociale sono strettamente correlati.
Le tecniche simulabili sono elencate in questa tabella:
| Tecnica | Descrizione |
|---|---|
| Credential Harvest | Un attaccante invia al destinatario un messaggio contenente un link. Quando il destinatario fa clic sul link, viene reindirizzato a un sito web che mostra tipicamente una finestra di dialogo che richiede nome utente e password. La pagina di destinazione è spesso tematizzata per assomigliare a un sito noto, in modo da generare fiducia nell’utente. |
| Malware Attachment | Un attaccante invia al destinatario un messaggio contenente un allegato. Quando il destinatario apre l’allegato, viene eseguito codice arbitrario (ad esempio una macro) sul dispositivo dell’utente, per consentire all’attaccante di installare ulteriore codice o rafforzare la propria presenza. |
| Link in Attachment | Tecnica ibrida di credential harvest. L’attaccante invia un messaggio con un link contenuto in un allegato. Quando il destinatario apre l’allegato e fa clic sul link, viene reindirizzato a una pagina che richiede nome utente e password, spesso tematizzata come un sito noto. |
| Link to Malware | L’attaccante invia un messaggio con un link a un allegato ospitato su un sito di condivisione file noto (es. SharePoint Online o Dropbox). Quando l’utente clicca sul link, l’allegato si apre ed esegue codice arbitrario (es. macro) sul dispositivo dell’utente. |
| Drive-by-url | L’attaccante invia un messaggio con un link. Cliccando sul link, l’utente viene portato su un sito che tenta di eseguire codice in background per raccogliere informazioni o installare codice. Il sito è spesso compromesso o una copia di un sito noto. Questa tecnica è anche detta watering hole attack. |
| OAuth Consent Grant | L’attaccante crea un’applicazione Azure malevola che tenta di ottenere accesso ai dati. L’app invia un’email con un link che, se cliccato, avvia la richiesta di autorizzazione per accedere ai dati dell’utente (es. la posta in arrivo). |
| How-to Guide | Una guida didattica con istruzioni per gli utenti (es. come segnalare messaggi di phishing). |
Anche se Attack simulation training include numerosi payload predefiniti per le tecniche di ingegneria sociale disponibili, è possibile creare payload personalizzati per soddisfare meglio le esigenze aziendali, incluso copiare e personalizzare un payload esistente. È possibile creare i payload in qualsiasi momento, prima della creazione della simulazione oppure durante la sua configurazione.
Nelle simulazioni che utilizzano le tecniche di ingegneria sociale Credential Harvest o Link in Attachment, le pagine di login fanno parte del payload selezionato. La pagina di login è la pagina web in cui gli utenti inseriscono le proprie credenziali.
Ogni payload applicabile utilizza una pagina di login predefinita, ma è possibile modificarla. Si può scegliere tra pagine di login predefinite, pagine personalizzate già create, oppure crearne una nuova durante la configurazione della simulazione o del payload.
Attack Simulation Training: setting assignment criteria
I benefici dell’Attack Simulation Training per utenti e aziende
Questo tipo di simulazioni possono essere incredibilmente utili per le aziende e i loro dipendenti che possono proattivamente imparare a difendersi dalle minacce più comuni che infestano il panorama della rete oggigiorno.
Non solo l’utente impara facendo e i team IT possono individuare attraverso il processo di simulazione gli anelli più deboli dell’utenza ma è possibile anche coltivare tutta una serie di altri benefici non da poco per migliorare la security posture aziendale.
Vediamo alcuni dei benefici principali nella tabella qui sotto:
| Benefici | Descrizione |
|---|---|
| Valutazione del rischio | - Misura il livello di consapevolezza dei dipendenti riguardo agli attacchi di phishing attraverso simulazioni basate su email reali utilizzate dagli aggressori. - Automatizza la creazione delle simulazioni, l’allegato di payload, la selezione degli utenti target e la programmazione, utilizzando gruppi di Microsoft Entra ID per importare automaticamente gli utenti. - Personalizza le simulazioni in base al contesto dei dipendenti, come regione, settore e funzione, con una granularità dettagliata. |
| Miglioramento del comportamento degli utenti | - Riduce il rischio attraverso una formazione mirata progettata per modificare i comportamenti. - Offre una vasta libreria di contenuti formativi che permette una formazione personalizzata e specifica basata sulle performance nelle simulazioni. - Include nanolezioni, microlezioni e contenuti interattivi per soddisfare diversi stili di apprendimento e rafforzare la consapevolezza sul rischio di phishing. - Consente di personalizzare la pagina di destinazione della formazione con tag modificabili, aggiungendo link a corsi e il logo aziendale. |
| Valutazione dei progressi | - Valuta la mitigazione del rischio di phishing attraverso vari vettori di ingegneria sociale. - Fornisce visibilità sullo stato delle formazioni e delle simulazioni nell’organizzazione tramite metriche di completamento e copertura. - Monitora i progressi dell’organizzazione rispetto a un tasso di compromissione previsto come base di riferimento. - Utilizza il punteggio di suscettibilità degli utenti per attivare automaticamente simulazioni per i recidivi e aggiungere contesto ai risultati delle simulazioni. |
Altre risorse utili di Microsoft per la Security Awareness
Microsoft però non offre solo questo strumento per aiutare i propri dipendenti a maturare una maggiore consapevolezza delle responsabilità e dei rischi legati alla sicurezza digitale e mette a disposizione tutta una serie di altre risorse per mantenere gli utenti (aziendali e non) informati sui pericoli del mondo digitali e sulle migliori pratiche per evitarli.
Nella tabella qui sotto vediamo alcune delle piattaforme e dei canali di comunicazione più importanti della casa di Redmond dedicati all’argomento che possiamo sfruttare per aiutarci nello sviluppo di programmi di training completi e aggiornati:
| Risorsa | Descrizione |
|---|---|
| Microsoft Security Blog | Il blog ufficiale dove restare aggiornati sulle ultime novità in tema di cybersecurity, analisi di minacce emergenti, aggiornamenti sui prodotti di sicurezza Microsoft e best practice per proteggere utenti e organizzazioni. Ideale per professionisti della sicurezza, decision maker e IT manager. |
| Microsoft Tech Community | Una piattaforma interattiva dove è possibile connettersi con esperti di prodotto Microsoft, partecipare a discussioni tecniche, porre domande e condividere esperienze con altri professionisti della sicurezza informatica. Include forum, articoli, eventi e webinar. |
| Microsoft Security Response Center (MSRC) | Il centro dedicato alla gestione delle vulnerabilità di sicurezza nei prodotti Microsoft. Fornisce avvisi di sicurezza, aggiornamenti tempestivi, linee guida per la mitigazione delle minacce e informazioni su come segnalare vulnerabilità. Un riferimento essenziale per i team di sicurezza. |
| Microsoft Services in Cybersecurity | Offre servizi di consulenza professionale per aiutare le organizzazioni a valutare, rafforzare e migliorare la propria postura di sicurezza. Include valutazioni del rischio, supporto nell’implementazione di soluzioni Microsoft Security e risposta agli incidenti. |
| Cybersecurity Skills for the Cyber Workforce | Un insieme di risorse educative pensate per sviluppare competenze fondamentali e avanzate in ambito cybersecurity. Include corsi, certificazioni, percorsi formativi e guide per studenti, professionisti in transizione di carriera e team aziendali. |
| Microsoft Cybersecurity Scholarships | Iniziative e borse di studio promosse da Microsoft per supportare studenti che vogliono intraprendere una carriera nella sicurezza informatica. Aiutano a coprire i costi di formazione, certificazioni e programmi accademici nel settore. |
Conclusioni
Il ruolo di Microsoft nella creazione di soluzioni di Cybersecurity è sempre stato indiscutibile e il parco di offerte legate alla sicurezza digitale messo in piedi dalla software house è tanto vario quanto stratificato.
La casa di Redmond si è però sempre distinta anche per il suo costante impegno nella formazione degli utenti (aziendali e non) al fine di accrescere la consapevolezza di questi ultimi nei confronti dei rischi e delle responsabilità legate al tema della sicurezza digitale.
Le risorse che il colosso americano mette a disposizione dei suoi clienti e dell’utenza rappresentano una serie di strumenti preziosissimi che il proprio business può implementare nella formazione dei dipendenti al fine di migliorare la propria security posture a partire dall’elemento più piccolo (e potezialmente debole) dell’intera struttura: il singolo individuo.
FAQ su Microsoft Security Awareness Training
1. Che cos’è il Microsoft Security Awareness Training?
Il Microsoft Security Awareness Training è l’insieme di risorse, strumenti e programmi messi a disposizione da Microsoft per aiutare aziende e utenti a migliorare la consapevolezza sulla cybersecurity. L’obiettivo è ridurre il rischio legato al fattore umano, formando i dipendenti a riconoscere minacce come phishing, malware e attacchi di ingegneria sociale.
2. Perché il security awareness training è importante per le aziende?
Perché la maggior parte degli incidenti di sicurezza coinvolge l’elemento umano. Una formazione efficace aiuta a prevenire perdite finanziarie, ridurre il rischio di violazioni dei dati e limitare l’impatto di attacchi informatici. Migliorare la consapevolezza significa rafforzare la security posture aziendale partendo dalle persone.
3. Cosa rende efficace un programma di security awareness?
Un programma efficace è continuo, personalizzato e misurabile. Deve includere contenuti diversificati (lezioni, moduli online, gamification), simulazioni realistiche, comunicazioni di follow-up e monitoraggio dei risultati. È fondamentale anche adattare la formazione al ruolo dei dipendenti e ai requisiti normativi.
4. Cos’è l’Attack Simulation Training di Microsoft?
Attack Simulation Training è una funzionalità integrata in Microsoft Defender che consente di simulare attacchi di phishing realistici all’interno dell’organizzazione. Serve a testare la resilienza degli utenti, misurare la loro suscettibilità e fornire formazione mirata per ridurre il rischio.
5. Come funziona una simulazione di phishing in Microsoft Defender?
Vengono inviati messaggi di phishing simulati (ma innocui) agli utenti. In base alle loro azioni (clic, inserimento credenziali, segnalazione), il sistema fornisce formazione personalizzata e raccoglie metriche per valutare il livello di rischio e il miglioramento nel tempo.
Scritto da
Emanuele Rossi
Infra & Security · Dev4Side
Dev4Side Software · Microsoft Gold Partner
Hai bisogno di implementare questo nella tua azienda?
I nostri team specializzati hanno completato oltre 200 implementazioni Microsoft in tutta Italia. Contattaci per una valutazione gratuita e senza impegno del tuo progetto.
Articoli correlati
Microsoft Purview Compliance Manager: conformità senza complicazioni
Scopri Microsoft Purview Compliance Manager, lo strumento che può aiutare la propria azienda a rispettare in modo facile i requisiti di conformità
Microsoft Defender for IoT: che cos’è e come funziona
Una panoramica introduttiva di come Defender for IoT può aiutare la propria azienda a mettere al sicuro le proprie reti industriali ed infrastrutture critiche.
Azure Security Consulting: consulenza per la sicurezza “nelle nuvole”
Scopri perché affidarsi a un servizio di consulenza per la sicurezza del proprio ambiente Azure e a chi rivolgersi