Secondo i CISO (Chief Information Security Officer), sono numerose le modalità con cui il fattore umano può avere un impatto aziendale nella cyber sicurezza aziendale. Ma, da un’indagine di Proofpoint, emerge che il 94% di loro concorda sul fatto che il rischio maggiore arriva dai i dipendenti.
“L’essere umano rappresenta, in generale, l’anello più debole della ‘catena’ di difesa”, commenta Enrico Morisi, ICT Security Manager, “ma questo assunto deve essere sempre contestualizzato nell’ambito della security posture aziendale”.
Inoltre, “la ricerca fornita da ProofPoint”, spiega Pierluigi Paganini, analista di cyber security e CEO Cybhorus, “ci fornisce molti spunti di discussione, in primis le percentuali delle aziende che hanno subito un data breach”.
Indice degli argomenti
Un’azienda su quattro è stata potenzialmente compromessa
Il 16% delle imprese ha subito un data breach. Inoltre c’è “un preoccupante 10% di aziende che evidentemente non dispongono di controlli adeguati a riconoscere se sono state sotto attacco”, mette in guardia Paganini: “Complessivamente, quindi, un’azienda su quattro è stata potenzialmente compromessa, un dato che deve allarmarci se consideriamo le rispettive filiere di appartenenza ed i potenziali effetti su aziende partner e clienti”.
Sono i dati fotografati dall’indagine di Proofpoint, condotta in collaborazione con The Cybersecurity Digital Club.
La causa principale di cyber attacchi all’azienda, secondo i Chief Information Security Officer, il pericolo passa dai clic su link senza verificare e dalla condivisione di credenziali. I CISO italiani sono anche consapevoli del fatto che il 90% degli attacchi informatici richiede un’interazione umana per avere successo.
CISO: il fattore umano è il rischio maggiore
Secondo i CISO, l’80% dei dipendenti tende a cliccare su link pericolosi, mentre il 65% usa in modo incontrollato i dispositivi USB. Il 57% effettua il download di allegati e file da fonti sconosciute. Invece il 57% condivide dati personali con fonti esterne.
“Si conferma la consapevolezza del rischio collegato al fattore umano”, sottolinea Paganini, “causa della quasi totalità delle violazioni, e della minaccia dovuta ad insider, oggi più che mai fonte di preoccupazione. Da qui la crucialità delle aziende della formazione specifica e dell’adozione di processi e controlli atti ad impedire attività malevole”.
Sono dipendenti negligenti, non sempre malintenzionati. Ma il 47% di loro ha scarsa attenzione alla sicurezza, condividendo le credenziali del proprio account. Il 39% consente l’accesso e l’uso di device aziendali a amici e familiari.
“La sicurezza relative al mondo dei dispositivi mobili”, sottolinea Morisi, rappresenta “un contesto dove il ‘fattore umano’ diviene ancora più determinante, e gli investimenti nella promozione della cultura della sicurezza rivestono un ruolo ancora più strategico e decisivo”.
Quasi due terzi delle organizzazioni che hanno confermato un cyber attacco hanno ammesso che la responsabilità risiedeva in insider negligenti o criminali.
Tuttavia, “il fattore umano non è da ricondursi solo e semplicemente a ‘stereotipi’ quali, ad esempio, quello del collaboratore vittima di un attacco di phishing, al centro di ogni cosa”, continua Morisi che lancia una provocazione: “Estremizzando, anche chi si occupa della gestione della sicurezza è un essere umano, e il suo comportamento, le sue conoscenze, il suo coinvolgimento, le sue capacità comunicative, il suo consenso, il suo atteggiamento, come quelli di ogni altro collaboratore all’interno dell’organizzazione aziendale, indipendentemente dal ruolo, sono tutti aspetti che possono concorrere alla promozione o all’impoverimento della cultura della sicurezza”.
L’impatto delle violazioni
Le conseguenze dei cyber attacchi sono gravi: il 38% dei CISO ammette perdite finanziarie. Il 50% afferma che l’azienda ha subito un danno di reputazione. Il 25% conferma la perdita di dati critici aziendali in seguito al data breach.
Ma solo il 43% dei CISO italiani dispone di un agent specifico di Data Loss Prevention (DLP). Il 14% non ha alcun tipo di protocollo o tecnologia preventiva dalla perdita di dati.
Infatti “se un’azienda non si è ancora decisa per lo sviluppo di un programma di sicurezza delle informazioni o ha trascurato pesantemente le altre fondamentali tipologie di rischio, quello tecnologico e organizzativo, il fattore umano potrebbe non essere così rilevante in termini di rischio relativo”, conferma Enrico Morisi che pone l’accento sulla security posture aziendale.
Formazione e ruolo del CISO
Poiché i CISO italiani stanno prendendo seriamente la questione del rischio legato al fattore umano, stanno mettendo a punto iniziative di formazione. “I dati non si perdono da soli, sono le persone a perderli. Vengono rubati da un aggressore esterno tramite credenziali compromesse, inoltrati a una terza parte non autorizzata da un utente disattento o rubati da un dipendente malintenzionato che spesso li passa a un concorrente”, commenta Emiliano Massa, Area Vice President della regione Southern Europe di Proofpoint.
Si tratta di programmi volti ad individuare minacce basate sull’email (96%), sulla gestione delle password (88%) e sulle best practice di sicurezza (80%). Solo il 4% dei CISO ammette che la propria azienda è scoperta: priva di un’iniziativa di formazione continua sulla sicurezza informatica.
“L’elemento di maggior importanza che emerge dal rapporto”, mette in evidenza Paganini, “è sicuramente la centralità della figura del CISO nelle aziende moderne”.
Il 65% dei CISO ha implementato tecnologie dedicate al controllo e alla gestione delle minacce interne. Il 33% ha predisposto un piano di risposta all’insider risk.
“Riconoscere il dato come elemento abilitante allo sviluppo dell’impresa e sua principale risorsa impone un’adeguata gestione del rischio cibernetico e la definizione di una strategia adeguata, funzioni di responsabilità del CISO con il commitment degli organi decisionali dell’impresa”, conclude Paganini.
Ma, ciò nonostante, un terzo delle aziende italiane rimane senza strumenti ad hoc per affrontare le minacce interne. Un quinto (20%) è totalmente privo di forme di protocollo specifico.
Inoltre, oltre due terzi (71%) dei CISO dichiara di compartimentare la visibilità e l’accesso alle informazioni sensibili, e di limitarne l’accesso ad alcuni dipendenti. Tuttavia meno della metà dei CISO (43%) effettua il monitoraggio regolare dell’accesso ai dati da parte degli utenti. Circa un quarto (24%) non ha una buona visibilità dei luoghi di archiviazione.
Secondo il 22% dei CIO, a preoccupare è il fattore umano ai tempi del lavoro ibrido e della crescente diffusione di piattaforme cloud.
“Riguardo alla protezione del dato, spesso il problema fondamentale è a monte, e risiede in un inventario degli asset incompleto o addirittura inesistente, soprattutto con riferimento alla loro classificazione secondo i criteri della criticità e del valore, per l’azienda, delle informazioni coinvolte”, avverte ancora Enrico Morisi.
Per proteggersi “è fondamentale fare riferimento alla cultura della sicurezza nella sua accezione più completa, la cosiddetta ABCs (Awareness, Behavior and Culture)”, spiega Morisi. “La conoscenza (awareness) non determina infatti necessariamente un cambiamento del comportamento e il conseguente raggiungimento di un adeguato livello di maturità culturale”.
“Solo adottando questa visione, basata sulla centralità dell’essere umano in tutte le attività aziendali, potremmo forse davvero affermare: ‘Humans are the weakest link in cybersecurity’”, conclude l’esperto.
