overlay-image

La cybersecurity spicca il volo

L’Aeroporto di Bologna sceglie la formazione di Proofpoint
La sfida
  • Migliorare la protezione cyber dell’Aeroporto
  • Creare consapevolezza su cyber security e compliance
  • Dare alla cyber security dignità di processo organizzativo aziendale
La soluzione
  • Proofpoint Security Awareness Training Platform
I vantaggi
  • Crescente consapevolezza sulla cybersecurity in azienda
  • Piattaforma efficiente e user-friendly
  • Possibilità di personalizzare i contenuti e realizzare test ad hoc

La sfida

In aeroporto, ogni forma di sicurezza è fondamentale. Non solo quella fisica, ma anche quella cyber. L’Aeroporto ha quindi una serie di obblighi di compliance che diventano sempre più stringenti nel tempo, definiti da autority nazionali, internazionali e di settore, come l’ENAC. La mancata osservazione di queste norme potrebbe portare a sanzioni economiche, anche molto significative.

Il rispetto di queste conformità normative prevede l’implementazione di processi formativi, su temi come la security fisica, la safety aeroportuale e, da qualche tempo, la cyber security. Come in ogni servizio alla comunità, la business continuity deve essere costantemente garantita, come la sicurezza delle informazioni che ogni giorno transitano sui sistemi informativi dell’Aeroporto.

“Come per la sicurezza fisica, anche la cyber security dipende, in modo sostanziale, dal comportamento dei singoli utenti, molti dei quali non hanno una postazione di lavoro standard ma svolgono il proprio lavoro con strumenti “mobile” e condivisi. La formazione erogata tramite la piattaforma di Proofpoint ci consente di raggiungere anche i colleghi che, per motivi operativi, hanno necessità formative specifiche”, spiega Luigi Ricchi, Information Security Manager dell’Aeroporto di Bologna.

Obiettivo secondario, ma non meno importante, era quello di inserire la cyber security tra i processi aziendali consolidati a livello organizzativo, facendola uscire da un ambito prettamente tecnologico ed estendendone la portata come funzione aziendale a tutti gli effetti.

“La piattaforma Proofpoint è completa, i contenuti vengono aggiornati in modo molto
tempestivo, legato all’attualità, come ad esempio la pandemia di Covid-19. È molto fruibile
ed è facile da usare.”

Information Security Manager

La soluzione

L’Aeroporto di Bologna ha deciso di determinare e implementare una serie di best practice aziendali rivolte ai dipendenti, che elevassero il livello di sicurezza nel suo complesso. È stata definita la partecipazione a un bando europeo in tema di progetti di formazione aziendale sulla cyber security e, una volta ricevuta l’approvazione, è stata indetta una software selection. Sono state valutate tre diverse piattaforme, scegliendo dopo un’attenta analisi di affidarsi a quella di Proofpoint.

La piattaforma Proofpoint Security Awareness Training è stata selezionata per la sua semplicità di utilizzo e per la possibilità da parte del team IT dell’Aeroporto di gestire direttamente i contenuti, personalizzando ad hoc le singole azioni.

“Particolarmente utile in questa prima fase si è rivelato il supporto diretto da parte di Proofpoint, con una risorsa che ci ha accompagnato passo passo nell’implementazione e nella personalizzazione della piattaforma, in modo che rispondesse perfettamente ai nostri desideri,” aggiunge Luigi Ricchi.

L’uso di Proofpoint Security Awareness Platform ha consentito di realizzare un piano modulare di formazione, attuato a partire da settembre 2019 e condotto prima su gruppi limitati di utenti con l’obiettivo di verificarne il grado di conoscenza dei principi di cyber security ma anche di aderenza alle linee guida a livello di comportamento. Sono stati condotti testi di valutazione delle conoscenze e sono stati lanciati attacchi simulati di phishing rivolti alle varie categorie di dipendenti presenti in azienda.

I risultati

La prima fase, quella dedicata alla formazione, è stata realizzata con successo. Sono stati coinvolti tutti i 540 dipendenti dell’Aeroporto con risultati positivi sotto molti aspetti. I dipendenti vengono testati in modo continuativo con contenuti personalizzati, che possono essere variati di volta in volta, utilizzando template differenti e sempre aggiornati.

“La piattaforma Proofpoint è completa, i contenuti vengono aggiornati in modo molto tempestivo e legato all’attualità. È fruibile e facile da usare. La sua grande flessibilità ci ha permesso di raggiungere anche dipendenti che nel loro lavoro non utilizzano il PC tutti i giorni, ma magari hanno comunque accesso a sistemi potenzialmente critici e comunque connessi alla rete aziendale,” aggiunge Luigi Ricchi.

I test condotti sulla sicurezza fisica hanno registrato un tasso di risposte positive del 98%. Per la web security si è partiti da un risultato iniziale positivo al 50% per gli attacchi di phishing simulati, utilizzando differenti “esche” e tecniche fraudolente, come finte fatture provenienti da società di spedizioni, invio di link pericolosi legati a temi di attualità, ad esempio sui risultati delle elezioni del nuovo presidente degli Stati Uniti, per verificare il livello di “comprensione del rischio” che i dipendenti hanno riguardo i messaggi email.

Dopo i primi programmi di formazione e sensibilizzazione le segnalazioni di messaggi phishing sono aumentate notevolmente, raggiungendo risultati positivi pari al 70%. L’obiettivo dell’Aeroporto è di arrivare a un 80% di risposte positive a fronte del coinvolgimento almeno del 90% della popolazione aeroportuale. Alle sessioni di test, con un minino di sei sessioni all’anno, sono abbinati corsi in aula, per formare e informare i dipendenti sull’evoluzione delle minacce e sulle tecniche sempre più sofisticate utilizzate dai cyber criminali, per costruire una consapevolezza degli attacchi e delle motivazioni che vi stanno dietro e fornire la conoscenza e gli strumenti al fine di essere in grado di difendersi, non solo quando operano in azienda, ma anche da casa. Tutti i dipendenti che raggiungono una soglia di risposte corrette dell’80% riceveranno una certificazione che attesta la loro preparazione.

“Abbiamo intrapreso un percorso che mette, in tema di cyber security, tutti i dipendenti al centro del processo, e non solamente di quelli che si occupano di tecnologia. Le persone sono diventate la prima linea di difesa, per questo formazione e consapevolezza sono fondamentali, perché il comportamento di ognuno può fare la differenza. Con Proofpoint abbiamo a disposizione uno strumento potente ed efficace per potere migliorare in modo continuativo i livelli di consapevolezza attraverso la formazione e la misurazione continua” conclude Luigi Ricchi.

Scarica la storia del cliente