Comportamenti ed errori umani facilitano il successo degli attacchi informatici. Il miglioramento della awareness come strategia per ridurre il rischio cyber
Il ruolo determinante degli esseri umani che inconsapevolmente facilitano il successo negli attacchi informatici è ormai un dato di fatto: le statistiche desunte dal “Verizon Data Breach Investigation Report 2021” mostrano la centralità del fattore umano nell’85% dei casi analizzati, relativi a episodi di data breach. Anche nel report pubblicato quest’anno, tale percentuale è stata sostanzialmente confermata. Su questi numeri incidono i casi di attacchi relativi a credenziali rubate, phishing oppure errore umano. Nel corso degli ultimi anni, le organizzazioni hanno orientato i loro investimenti per la messa in sicurezza nell’ambito della compliance, delle nuove soluzioni tecnologiche, ma hanno tralasciato la formazione del personale.
D’altro canto si è assistito al rapido passaggio nello scenario di gestione delle soluzioni ICT verso modelli di esternalizzazione delle attività non core, accompagnato dalla diffusione globale delle tecnologie cloud e mobile. Oltre a questo, l’emergenza pandemica ha prodotto un dirompente effetto verso l’organizzazione del lavoro tradizionale affermando il modello collaborativo in modalità smart working che, pur consentendo alle organizzazioni di attenuare i contraccolpi sulla continuità business aziendale, ha di fatto indebolito ulteriormente le difese a disposizione. Sicuramente, il modello di erogazione, cloud SaaS, del servizio di posta elettronica più diffuso contribuisce a rendere più complesso il controllo dell’autenticità dei messaggi, anche in virtù della non perfetta comprensione delle responsabilità (cliente e fornitore) nella fruizione di tali servizi. Se poi aggiungiamo la naturale propensione dell’essere umano a “ritenere affidabile” le comunicazioni anche non sollecitate (il fattore PPP – Phish Prone Percentage – in assenza di training specifico si attesta tra il 15 e il 40%), le motivazioni economiche degli attaccanti, la crescente complessità dei sistemi informativi e difficoltà nel monitorare i comportamenti anomali, il quadro diventa molto complesso da gestire. È noto che il tema cybersecurity sia da affrontare secondo un approccio multidisciplinare, in sinergia tra le funzioni preposte alla gestione della security, ICT, risorse umane e legale.
Sarà quindi opportuno affiancare la funzione HR, proponendo l’integrazione di piattaforme innovative di cybersecurity awareness che consentono di raggiungere in modo efficace la popolazione aziendale in alternativa all’erogazione della tradizionale formazione che potrebbe rivelarsi non più attuale, a pochi mesi dalla sua erogazione. Tali piattaforme prevedono la strutturazione della formazione tramite microsessioni che possono essere seguite senza grossi impatti sulle attività lavorative; sono resi disponibili contenuti, sempre aggiornati in diverse lingue e formati (newsletter, video, serie, giochi, sfide tra team) a garanzia del giusto livello di ingaggio. La verifica del livello di apprendimento, obiettivo del training, avviene tramite sessioni di test oppure simulazioni di phishing e altre tipologie di attacco. L’intervento consente di migliorare il livello di security culture aziendale con l’obiettivo di migliorarne l’efficacia nel tempo secondo i criteri riferibili al “maturity model” definiti dai lavori del SANS Institute. Nelle società maggiormente strutturate si sta diffondendo, oltre ai ruoli più classici quali il chief information security officer (CISO) e il security manager operativo, anche il ruolo di “Security Awareness Professional” con l’obiettivo di gestire il cosiddetto “human risk” e assicurare nel tempo la governance degli interventi. Alcuni approfondimenti sugli scenari e sulla loro caratterizzazione si possono trovare nel “Security Awareness Report”.
Roberto Obialero comitato direttivo CLUSIT
