Secondo il World Economic Forum – “The Global Risks Report 2022” (1) – il 95% delle problematiche di cyber security sarebbero riconducibili ad errori umani.
Inoltre, il recente report di IBM Security – “Cost of a Data Breach Report 2022” (2) – evidenzia come, a livello globale, i vettori di attacco più utilizzati nei data breach e che comportano, mediamente, i costi più elevati e i tempi di identificazione e contenimento più lunghi, siano riconducibili allo “human risk”:
- compromissione di credenziali (spesso conseguenza di complessità debole e riuso delle password, mancato uso della Multi Factor Authentication ecc.);
- phishing;
- Business Email Compromise.
Questi e altri autorevoli report mostrano chiaramente quanto sia determinante tenere in alta considerazione il “fattore umano” nello sviluppo di un programma di sicurezza in azienda, senza mai dimenticare, ovviamente, l’importanza della gestione dei rischi tecnologico e organizzativo.
Come si impara la cyber security: ecco le nozioni di base necessarie
Indice degli argomenti
Tecnologia e importanza strategica della sicurezza
La tecnologia è caratterizzata da uno sviluppo continuo ed esponenziale; la stessa cosa, però, non si può dire dei suoi intrinseci aspetti di sicurezza che sono stati spesso trascurati, sottovalutandone l’importanza strategica.
Inoltre, la crescita vertiginosa della tecnologia, combinata con la sua pervasività in quasi tutti gli ambiti della nostra vita, ne fa una miscela esplosiva: ci si è ormai talmente abituati a strumenti sempre più potenti, semplici, comodi e veloci (alla portata di “tutti”) che per molti diviene quasi naturale arrivare a percepire le tematiche di sicurezza come “ostacoli” che sembrano andare in “controtendenza”.
D’altro canto, non si può negare che ci siano stati, invece, molti progressi a livello di soluzioni tecnologiche specifiche per la sicurezza, dai sistemi evoluti di Detect & Response ai Web Application Firewall, ai sistemi per la sicurezza degli Industrial Control System e via dicendo.
Questi evidenti progressi, però, se da un lato hanno reso sempre più ardua l’attività criminale degli attaccanti, dall’altro hanno determinato, probabilmente, un cambio di target: si è iniziato a privilegiare lo sfruttamento del rischio umano.
Ci si è focalizzati troppo a lungo sulla mitigazione del rischio tecnologico, sottovalutando l’importanza della promozione della cultura della sicurezza e rendendo quindi, di fatto, l’essere umano l’anello più debole della “catena” di difesa.
Promuovere la cultura della sicurezza
In azienda, non è così scontato che si decida di investire nella prevenzione del rischio umano e, quando accade, tipicamente ci si “limita” alla “condivisione della conoscenza”, la cosiddetta “security awareness”, introducendo, ad esempio, una piattaforma per la conduzione di campagne di simulated phishing e di training, o distribuendo policy e procedure come quelle per una corretta gestione delle credenziali di accesso ai sistemi e ai servizi aziendali.
Tutto questo è assolutamente lodevole e necessario ma rappresenta solo un aspetto della “battaglia”: la conoscenza non comporta necessariamente un cambiamento del comportamento.
In definitiva, per sviluppare un’efficace linea “umana” di difesa dovremmo promuovere quello che viene definito “ABCs” della cyber security: Awareness, Behavior and Culture.
Valorizzare la conoscenza e le abitudini comportamentali
In altri termini, dovremmo stimolare e valorizzare il ruolo decisivo che la conoscenza e le abitudini comportamentali giocano nel processo di trasformazione verso una cultura della sicurezza.
Si tratta innanzitutto di “misurare” la cultura attualmente permeata in azienda, per procedere poi alla definizione del livello di maturità al quale la si intenda elevare e, cosa più importante, alla individuazione della roadmap per portarcela.
L’approccio quantitativo
L’approccio quantitativo è fondamentale perché, come nella risk analysis, consente di verificare e misurare in modo oggettivo, attraverso l’introduzione di opportuni indicatori e la conduzione di sondaggi mirati, non solo il livello di partenza ma anche il miglioramento conseguito nel tempo, giustificando l’investimento.
Allo scopo di supportare lo sviluppo e l’introduzione di un programma per la promozione della security culture, sarebbe quindi opportuno adottare uno dei framework disponibili (e.g. ENISA CSC Framework).
Sviluppare la cultura cyber a tutti i livelli aziendali
Il fattore umano non è da ricondursi solo e semplicemente agli “stereotipi” del collaboratore vittima di un attacco di phishing o che riutilizza una password debole per più credenziali ma ha orizzonti decisamente più vasti: l’essere umano è coinvolto in tutti gli ambiti e i processi di un’organizzazione, è al centro di ogni cosa.
Estremizzando, anche chi si occupa della gestione della sicurezza delle informazioni è un essere umano, e il suo comportamento, le sue conoscenze, il suo coinvolgimento, le sue capacità comunicative, il suo consenso, il suo atteggiamento, come quelli di ogni altro collaboratore all’interno dell’organizzazione aziendale, indipendentemente dal ruolo, sono tutti aspetti che possono concorrere alla promozione o all’impoverimento della cultura della sicurezza.
Le persone che occupano un ruolo di leadership, però, e, più in generale, coloro che hanno l’onore e l’onere di poter essere di esempio per gli altri, hanno certamente una responsabilità maggiore e dovrebbero rivestire un ruolo primario nella promozione della cultura della sicurezza perché il loro comportamento potrebbe avere un impatto enorme sulla cultura aziendale.
È inoltre fondamentale essere consapevoli del ruolo decisivo che riveste il management aziendale nel conseguimento degli obiettivi e nell’efficacia di un programma di promozione della cultura della sicurezza: senza un sostegno forte e determinato della direzione aziendale, difficilmente si otterrà la trasformazione culturale desiderata.
Regole per disegnare policy e procedure di sicurezza
Un altro possibile fattore limitante riguarda l’ambito “organizzativo” e la mitigazione del rischio ad esso correlato.
Le policy e le procedure di sicurezza dovrebbero essere disegnate, introdotte e comunicate in modo appropriato, seguendo quanto più possibile la strada della semplicità, della chiarezza e della sostenibilità, con l’obiettivo primario di incontrare la più ampia adesione del personale aziendale: un aspetto cruciale.
Diversamente, se fossero percepite alla stregua di veri e propri “ostacoli”, la tendenza sarebbe inevitabilmente quella di aggirarle.
La security culture, quindi, non deve essere promossa “contro” ma “con” l’essere umano e la sua natura, tenendo conto di quello che risulta essere l’attuale livello di maturità culturale e le abitudini radicate in azienda.
Conclusioni
La promozione della cultura della sicurezza, infine, dovrebbe essere caratterizzata da un’azione incessante, volta a nutrirla e rinvigorirla continuamente, altrimenti tenderebbe ineluttabilmente a impoverirsi, con le ovvie conseguenze che questo comporterebbe in termini di efficacia dello “Human Defense Layer”.
Non è certo impresa facile, richiede tempo, non la si improvvisa, e gli ostacoli lungo il cammino sono molti e impegnativi ma è evidente che non ci si possa più permettere di ignorare quello che è ormai da considerarsi un dato di fatto: “Security Culture is king”.
