Formazione sulla consapevolezza della sicurezza in Akamai

In Akamai, consapevolezza della sicurezza e formazione sono processi continuativi che iniziano il primo giorno di lavoro di ogni dipendente. Viene di seguito riportato il programma, seguito dalle esperienze di formazione specifiche di un dipendente.

Formazione sulla consapevolezza della sicurezza presso Akamai

Finalità:

Oltre all'impegno formativo tradizionale, Akamai riconosce che la discussione e la classificazione secondo priorità delle informazioni sulla sicurezza migliora la consapevolezza sulla sicurezza.

Ambito:

Questa policy è pertinente a tutto il personale Akamai. 

Policy:

I dipendenti ricevono formazione generale sulla sicurezza entro il primo mese dall'assunzione e successivamente ogni anno. Durante il primo giorno di orientamento, i nuovi assunti ricevono una panoramica di 40 minuti sulle procedure di sicurezza di Akamai, presentata in diretta dai membri di Akamai InfoSec.

Ruoli e responsabilità:

Tutti i dipendenti sono tenuti a confermare annualmente la ricezione del programma sulla sicurezza delle informazioni di Akamai e la disponibilità di formazione di ripasso. La formazione di ripasso è disponibili principalmente sotto forma di presentazione video e documentazione. Il gruppo Information Security registra le conferme dei dipendenti e assicura che il tasso di conferma dei dipendenti sia sempre superiore al 96%. 

Il Product Management assicura che i requisiti di sicurezza siano trattati come componente chiave di ogni importante rilascio di prodotto e che i titolari di carta di credito e altri dati sensibili siano protetti in tutte le soluzioni, in accordo ai relativi standard di sicurezza.

L'Executive Management esamina regolarmente i molteplici aspetti della posizione di sicurezza di Akamai:

  • Avanzamento svolto nell'identificazione e rimedio ai rischi di sicurezza e vulnerabilità; 
  • Opportunità per le comunicazioni a livello dell'intera azienda di rafforzare le prassi e la consapevolezza di sicurezza; e 
  • Altri aspetti della costante sicurezza aziendale di Akamai e della sua presenza nel settore della sicurezza delle reti. 

Case study:

Ciò che segue è il resoconto in prima persona del dipendente di Akamai, Bill Brenner, sugli aspetti della partecipazione alla formazione sulla sicurezza di Akamai. In qualità di Senior Program Manager, Brenner ha il compito di esporre la storia della sicurezza di Akamai attraverso articoli, podcast, video, blog e altri media.

Sebbene scriva articoli su InfoSec da una decina d'anni, ho comunque avuto anch'io momenti di cui non vado fiero. Ad esempio, quella volta l'anno scorso in cui sono stato preda di uno dei più antichi tranelli di social engineering da manuale, facendo clic sul collegamento di un messaggio Twitter diretto in cui una persona con cui lavoravo chiedeva se avessi visto il terribile post che qualcuno aveva scritto su di me. L'account Twitter del collega aveva subito hijacking e messaggi simili erano stati inviati ai suoi contatti. Subito dopo aver fatto clic, ho capito che avevo fatto qualcosa che avrebbe potuto compromettere il mio account e i miei sistemi.

Una storia simile è accaduta qualche anno prima, quando avevo fatto clic sul collegamento di un sito di fantascienza che avevo ricevuto via e-mail da un presunto vecchio amico. Quel giorno si sono scaricati cinquecento malware sul mio computer portatile, principalmente quelli che creano adware pornografici e fanno apparire messaggi pop-up truffaldini su tutto lo schermo. Ho dovuto impiegare svariate ore per ripulire il disastro e i colleghi dell'ufficio non si sono risparmiati grasse risate a mie spese. 

In entrambi i casi, non avevo ricevuto alcun corso di formazione presso le società che mi avevano assunto, sebbene come scrittore di storie di sicurezza avrei dovuto sapere il fatto mio. In termini di consapevolezza sulla sicurezza della società, ricevevamo avvertenze di sicurezza nel momento in cui esisteva un attacco, ma mai alcuna lezione sulle procedure ottimali fondamentali.

Nel mio primo giorno in Akamai, è stata dedicata circa un'ora di orientamento sull'argomento. Nel corso degli anni, avevo scritto molte volte sull'importanza della formazione sulla sicurezza per i dipendenti, ma questa è stata la prima volta che l'ho ricevuta.

La formazione sulla sicurezza nel mondo del business non è qualcosa che si può fare con una mentalità secondo cui un'unica soluzione sia quella universale. Società diverse hanno esigenze diverse, e Akamai non fa eccezione. Abbiamo trattato specificità che non esporrò qui. Tuttavia, molte indicazioni erano assolutamente fondamentali e applicabili a qualsiasi società e settore. 

Ad esempio: 

Ci è stato detto che va bene utilizzare la nostra app di messaggeria istantanea IM preferita per comunicare con parenti e amici. Tuttavia, per le comunicazioni interne, correlate al lavoro, dobbiamo utilizzare uno strumenti IM specifico e distinto uno che preveda l'aggiunta di protezioni nel suo ambito. 

Abbiamo un programma regolare di distribuzione di correzioni di sicurezza per vari programmi e occasionalmente vediamo apparire un messaggio sullo schermo con la richiesta di premere un pulsante per installare i nuovi aggiornamenti Nella sessione di formazione, ci è stato detto chiaramente che dobbiamo prestare attenzione alla richiesta di aggiornamento quando questa appare. Ci stato detto anche di accertarci che l'aggiornamento provenga da una fonte attendibile. I messaggi a comparsa, in effetti, possono essere pericolosi.

Se si lascia il computer incustodito, è opportuno bloccare lo schermo in modo tale che altri non possano accedere ai dati o alle applicazioni. Il secondo giorno in Akamai, mi sono allontanato dal computer con diverse applicazioni in esecuzione sul mio sistema e al mio ritorno ho trovato un post-it con la scritta, "Viva il salvaschermo".

A proposito di post-it, un'altra direttiva indicataci è di non lasciare mai in giro annotazioni con password o altri dati di autenticazione.

Se vediamo qualcuno senza badge tentare di entrare nell'edificio o in altra area protetta, abbiamo la responsabilità di accertarci che sia opportunamente identificato da noi stessi, dal gruppo della sicurezza aziendale o da qualsiasi nostro strumento di autenticazione (tra cui elenchi di collaboratori, dipendenti e così via). 

Nel nostro programma sono inclusi numerosi altri dettagli, ma questi sono ottimi esempi dei concetti fondamentali elementi dai quali altre società trarrebbero vantaggio una volta adottati.