Magic Quadrant™ per la gestione degli accessi privilegiati 2025: Netwrix riconosciuta per il quarto anno consecutivo. Scarica il report.

ContattaciSupportoCommunity
English Español Italiano Français Deutsch Português
Piattaforma
Soluzioni

Data Security Posture Management

Scopri e classifica i dati in ambienti ibridi. Valuta, dai priorità e mitiga i rischi per i dati sensibili.

Directory Management

Semplifica e proteggi l'amministrazione delle directory riducendo complessità, rischio e sforzo manuale.

Endpoint Management

Proteggi gli endpoint e previeni la perdita di dati mantenendo produttivi i team, indipendentemente da dove lavorano.

Identity Management

Proteggi ogni identità, semplifica ogni processo e mantieniti in anticipo sulla conformità — senza aggiungere complessità.

Identity Threat Detection & Response

Rimani un passo avanti alle minacce basate sull'identità — rimedia proattivamente ai rischi, blocca gli attacchi e assicura un recupero rapido.

Privileged Access Management

Riduci la superficie di attacco eliminando i privilegi permanenti, bloccando le credenziali e monitorando le sessioni privilegiate.
Prodotti in evidenza Vedi tutti i prodotti
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La piattaforma Netwrix 1Secure™

Esplora
Netwrix AI Ambienti che proteggiamo Integrazioni MSPs Rischi per la sicurezza di Active Directory Conformità Prezzi
Centro Risorse Vedi tutto
BlogCatalogo degli AttacchiConformitàStorie dei clientiFramework di cybersecurityGlossario di CybersecurityEventiFreewareGuideIdeas PortalNotiziePodcastPubblicazioniAnnunci dei ProdottiRicercaWebinar
Asset not found

Storia di successo in primo piano

DXC Technology consente ai clienti di ottenere la conformità PCI DSS e di concentrarsi su iniziative strategiche
Partner
Partner ProgramDiventa un PartnerMSPsTrova partnerWebinar
Asset not found

Storia in primo piano di un cliente

AppRiver migliora il controllo su Active Directory riducendo notevolmente il tempo di auditing
Asset not found

Storia in primo piano di un cliente

MSP aiuta il cliente a riprendersi dal ransomware in 6 ore
Perché Netwrix
Chi siamoLeadershipNetwrix AICasi di successoRiconoscimentiNotizieLavora con noi
Asset not found

Storia in primo piano di un cliente

Horizon Leisure Centres accelera la classificazione dei dati per conformarsi al GDPR e risparmia £80.000 all’anno
Asset not found

Storia in primo piano di un cliente

Samsung R&D Institute protegge i dati con l'utilizzo multipiattaforma e il rapido dispiegamento su macOS usando Netwrix Endpoint Protector
Centro risorseBlog
CIS Control 14: Formazione sulla Consapevolezza e le Competenze di Sicurezza

CIS Control 14: Formazione sulla Consapevolezza e le Competenze di Sicurezza

Mar 25, 2022

Il Controllo CIS 14 riguarda l'implementazione e la gestione di un programma che migliora la consapevolezza e le competenze in materia di cybersecurity dei dipendenti. (Prima della versione 8 dei Critical Security Controls, questa area era coperta dal Controllo CIS 17.)
Questo controllo è importante perché una mancanza di consapevolezza sulla sicurezza tra le persone all'interno della tua rete può rapidamente portare a devastanti data breach, tempi di inattività, furto d'identità e altre questioni di sicurezza. Ad esempio, gli hacker spesso manipolano o ingannano i dipendenti per farli aprire contenuti dannosi e rivelare informazioni protette e poi sfruttano pratiche aziendali scadenti, come la condivisione delle password, per arrecare ulteriori danni.

Contenuti correlati selezionati:

Perché la formazione sulla cybersecurity è essenziale

Le ricerche rivelano quanto segue riguardo le cause delle violazioni dei dati:

  • Circa il 30% degli incidenti è dovuto a errori umani, come l'invio di informazioni sensibili alla persona sbagliata o lasciare un computer sbloccato in un luogo che consente l'accesso non autorizzato a sistemi e dati.
  • Un altro 28% delle violazioni dei dati è dovuto ad attacchi di phishing, nei quali i lavoratori aprono email contenenti virus o keylogger.
  • Le scarse password policies sono responsabili di circa il 26% di tutte le violazioni dei dati. Ad esempio, l'utilizzo di password condivise e il consentire password semplici aumentano entrambi significativamente il rischio di una violazione dei dati.

Contenuti correlati selezionati:

Purtroppo, meno del 25% delle organizzazioni esegue vulnerability assessments regolarmente, il 43% ammette di non essere sicuro di ciò che i propri dipendenti fanno con dati sensibili e altre risorse, e solo il 17% ha un piano di risposta agli incidenti. Per proteggersi, la tua organizzazione deve essere in grado di:

  • Eseguire regolarmente test di sicurezza IT
  • Rileva le violazioni dei dati nelle loro fasi iniziali
  • Rispondi rapidamente agli incidenti di sicurezza
  • Determina l'ambito e l'impatto di una violazione
  • Avere un piano per il recupero dei dati, servizi e sistemi interessati

Come CIS Control 14 può aiutare

Il Controllo CIS 14 può aiutarti a rafforzare la sicurezza informatica e la protezione dei dati nella tua organizzazione, oltre a superare le verifiche di conformità. Si basa sui seguenti passaggi:

14.1 Stabilire e mantenere un programma di sensibilizzazione alla sicurezza

Il vostro programma di sensibilizzazione alla sicurezza dovrebbe garantire che tutti i membri del personale comprendano e dimostrino i comportamenti corretti che contribuiranno a mantenere la sicurezza dell'organizzazione. Il programma di sensibilizzazione alla sicurezza dovrebbe essere coinvolgente e deve essere ripetuto regolarmente affinché rimanga sempre vivo nella mente dei lavoratori. In alcuni casi, una formazione annuale è sufficiente, ma quando i lavoratori sono nuovi ai protocolli di sicurezza, potrebbero essere necessari aggiornamenti più frequenti.

14.2 Formare i membri del personale a riconoscere gli attacchi di social engineering

La prossima migliore pratica è addestrare l'intera forza lavoro a riconoscere e identificare gli attacchi di social engineering. Assicurati di coprire i vari tipi di attacchi, inclusi truffe telefoniche, chiamate di impersonificazione e truffe phishing.

Contenuti correlati selezionati:

14.3 Formare i membri del personale sulle migliori pratiche di autenticazione

L'autenticazione sicura blocca gli attacchi ai tuoi sistemi e dati. I membri del personale dovrebbero comprendere il motivo per cui l'autenticazione sicura è importante e il rischio associato al tentativo di aggirare i processi aziendali. I tipi comuni di autenticazione includono:

  • Autenticazione basata su password
  • Autenticazione multifattore
  • Autenticazione basata su certificati

14.4 Formare il personale sulle migliori pratiche per la gestione dei dati

Anche i lavoratori hanno bisogno di formazione sulla gestione adeguata dei dati sensibili, inclusi i modi per identificare, conservare, archiviare, trasferire e distruggere le informazioni sensibili. Ad esempio, una formazione di base può includere come bloccare i loro schermi quando si allontanano da un computer e cancellare i dati sensibili da una lavagna virtuale tra una riunione e l'altra.

14.5 Formare i membri del personale sulle cause dell'esposizione involontaria dei dati

Le cause dell'esposizione involontaria dei dati includono la perdita di dispositivi mobili, l'invio di email alla persona sbagliata e la memorizzazione dei dati in luoghi dove gli utenti autorizzati possono visualizzarli. Assicurati che i tuoi lavoratori comprendano le loro opzioni di pubblicazione e l'importanza di esercitare attenzione nell'uso della posta elettronica e dei dispositivi mobili.

14.6 Formare i membri del personale sul riconoscimento e la segnalazione degli incidenti di sicurezza

Il vostro personale dovrebbe essere in grado di identificare i comuni indicatori di incidenti e sapere come segnalarli. A chi devono rivolgersi se sospettano di aver ricevuto un'email di phishing o se hanno perso il loro cellulare aziendale? Per semplificare il processo, prendete in considerazione l'idea di rendere una persona il primo punto di contatto per tutti gli incidenti.

14.7 Formare gli utenti su come identificare e segnalare se agli asset aziendali mancano gli aggiornamenti di sicurezza

Il vostro personale dovrebbe essere in grado di testare i propri sistemi e segnalare aggiornamenti software scaduti così come problemi con strumenti e processi automatizzati. Dovrebbero anche sapere quando contattare il personale IT prima di accettare o rifiutare un aggiornamento per essere sicuri che sia necessario e che funzionerà con il software attuale sul sistema.

14.8 Formare il personale sui pericoli della connessione e della trasmissione di dati aziendali su reti non sicure

Tutti dovrebbero essere consapevoli dei pericoli connessi all'uso di reti non sicure. I lavoratori a distanza dovrebbero ricevere una formazione aggiuntiva per garantire che le loro reti domestiche siano configurate in modo sicuro.

14.9 Condurre formazione specifica sulle competenze e la consapevolezza della sicurezza per ruolo

Personalizzare la consapevolezza della sicurezza e la formazione sulle competenze in base ai ruoli degli utenti può renderla più efficace e coinvolgente. Ad esempio, prendere in considerazione l'implementazione di una formazione avanzata sulla consapevolezza dell'ingegneria sociale per ruoli di alto profilo che sono probabili bersagli di attacchi di spear phishing o di whaling.

Sommario

Stabilire una formazione sulla consapevolezza e le competenze di sicurezza come dettagliato nel CIS Control 14 può aiutare la tua organizzazione a rafforzare la cybersecurity. Infatti, fornire una formazione efficace e regolare può aiutarti a prevenire gravi violazioni dei dati, furto di proprietà intellettuale, perdita di dati, danni fisici, interruzioni di sistema e sanzioni per mancata conformità.

Condividi su

Scopri di più

Informazioni sull'autore

Asset Not Found

Dirk Schrader

VP della Ricerca sulla Sicurezza

Dirk Schrader è un Resident CISO (EMEA) e VP of Security Research presso Netwrix. Con 25 anni di esperienza nella sicurezza informatica e certificazioni come CISSP (ISC²) e CISM (ISACA), lavora per promuovere la cyber resilience come approccio moderno per affrontare le minacce informatiche. Dirk ha lavorato a progetti di cybersecurity in tutto il mondo, iniziando con ruoli tecnici e di supporto all'inizio della sua carriera per poi passare a posizioni di vendita, marketing e gestione prodotti sia in grandi multinazionali che in piccole startup. Ha pubblicato numerosi articoli sull'esigenza di affrontare la gestione dei cambiamenti e delle vulnerabilità per raggiungere la cyber resilience.

Scopri di più su questo argomento

Leggi sulla Privacy dei Dati per Stato: Diversi Approcci alla Protezione della Privacy

Esempio di Analisi del Rischio: Come Valutare i Rischi

Il Triangolo CIA e la sua applicazione nel mondo reale

Cos'è la gestione dei documenti elettronici?

Analisi quantitativa del rischio: Aspettativa di perdita annuale

Ultimi blog

I prossimi cinque minuti di conformità: costruire la Data Security That Starts with Identity in tutto l'APAC

Gestione della configurazione per il controllo sicuro degli endpoint

Classificazione dei dati e DLP: Prevenire la perdita di dati, dimostrare la conformità

Conformità CMMC e il ruolo critico del controllo USB in stile MDM nella protezione del CUI

DSPM, ASM e ITDR: Costruire una strategia di sicurezza guidata dai dati e consapevole delle esposizioni

Dal rumore all'azione: trasformare il rischio dei dati in risultati misurabili

L'intelligenza artificiale sul lavoro: Velocità, Rischio e Perché la Semplicità Vince

Leggi sulla Privacy dei Dati per Stato: Diversi Approcci alla Protezione della Privacy

Esempio di Analisi del Rischio: Come Valutare i Rischi

Il Triangolo CIA e la sua applicazione nel mondo reale

I nostri articoli principali

Tipi comuni di dispositivi di rete e le loro funzioni

Come eseguire uno script PowerShell da Task Scheduler

Come installare e utilizzare Active Directory Users and Computers (ADUC)?

Scarica e installa PowerShell 7

Gli attacchi informatici più grandi e noti della storia

Comandi PowerShell essenziali: una guida rapida per principianti

Panoramica dell'attacco informatico MGM

Estrazione degli hash delle password dal file Ntds.dit

Guida al montaggio di condivisioni Unix con un client NFS Windows

Come le porte aperte insicure e vulnerabili rappresentano seri rischi per la sicurezza