I rischi informatici continuano a evolversi, ma un aspetto rimane costante: le persone svolgono il ruolo principale negli incidenti di cyber security e nelle violazioni dei dati. Secondo il Verizon 2022 Data Breach Investigation Report, l’elemento umano è stato coinvolto nell’82% delle violazioni avvenute a livello globale lo scorso anno, con una tendenza che prosegue dall’anno scorso.
Con i dipendenti che accedono a informazioni e sistemi aziendali da più piattaforme, dispositivi e luoghi, la protezione dei dati sensibili e critici per l’organizzazione non è mai stata così impegnativa. I dati non si perdono da soli. Sono le persone a smarrirli. Ad esempio, possono essere rubati da un attaccante esterno tramite credenziali compromesse, inoltrati a terzi non autorizzati da un utente disattento o trafugati da un dipendente malintenzionato che spesso li passa a un concorrente.
Oggi è più importante che mai proteggersi da tutte queste minacce e adottare misure tecniche per garantire la sicurezza delle informazioni sensibili.
Nonostante i crescenti investimenti in cyber security, le organizzazioni faticano a tenere testa alle minacce informatiche incentrate sulle persone. Una sfida particolarmente impegnativa è quella del cambiamento comportamentale e il modo migliore per risolverla è la cultura della cyber security per promuovere un cambiamento organizzativo duraturo.
La formazione alla cyber security è un investimento che ritorna
Indice degli argomenti
Il nuovo scenario economico e geopolitico alimenta le minacce
Nel corso dell’ultimo anno le organizzazioni di tutto il mondo hanno risentito dell’aumento delle minacce informatiche, con una tendenza che va oltre ogni potenziale segmentazione geografica. Nel 2021, l’Europa in particolare si è collocata al secondo posto nel mondo per numero di attacchi, con una prevalenza di ransomware – pari al 26% degli attacchi totali, mentre l’Italia si è collocata al primo posto in Europa per numero di attacchi ransomware nel primo semestre del 2022.
Secondo ENISA, il costo del ransomware potrebbe superare i 250 miliardi di euro entro il 2031. Sempre più rilevanti saranno gli attori sponsorizzati dagli stati che continueranno a concentrare i loro attacchi sulle catene di approvvigionamento, che spesso rappresentano un modo efficace ed efficiente per accedere in organizzazioni solitamente ben protette.
Sono diversi i motivi che stanno dietro a questa crescita costante delle minacce, a cominciare dal “new normal” imposto dalla pandemia che sta diventando di fatto la normalità per molte organizzazioni. Il passaggio a un modello di lavoro ibrido basato su applicazioni cloud ha consentito di garantire l’operatività in una fase di emergenza quale quella che ci siamo trovati a vivere nel 2020, ma ha di fatto elevato il livello di rischio.
La crisi economica generalizzata e le recenti tensioni geopolitiche hanno dato un ulteriore contributo, creando nuove opportunità per i cybercriminali, sia quelli motivati economicamente, che restano la grande maggioranza, che quelli invece legati a Stati e movimenti nazionali.
Gli individui restano il principale vettore di attacco
Una ricerca Proofpoint, realizzata nel 2022 in collaborazione con The Cybersecurity Digital Club, ha messo in mostra il significativo timore dei CISO (Chief Information Security Officer) relativamente al fattore umano, considerato dal 94% una delle principali preoccupazioni per la sicurezza aziendale.
Secondo la ricerca, sono molti i modi in cui i dipendenti possono rendere più vulnerabile l’azienda, dalla tendenza a cliccare su link pericolosi (80%) all’ utilizzo in modo incontrollato di dispositivi USB (65%), scaricare allegati e file da fonti sconosciute (57%) e condividere informazioni personali con fonti esterne (57%).
Non c’è per forza dolo, in molti casi il rischio nasce da una scarsa attenzione generale alla sicurezza, con il 47% dei dipendenti che condivide le credenziali del proprio account e il 39% permette l’utilizzo di dispositivi aziendali a familiari e amici. La scarsa attenzione alla sicurezza costringe le aziende a pagare un tributo importante: tra le organizzazioni che ammettono di aver subito un cyber attacco, in quasi due terzi dei casi la responsabilità è stata di insider negligenti o criminali.
L’impatto registrato dalle organizzazioni colpite è stato significativo, andando anche oltre la semplice perdita finanziaria, comunque riportata dal 38% dei CISO. Una percentuale ancora più alta, il 50%, ha indicato come risultato di una violazione il danno di reputazione, mentre per uno su quattro (25%) vi è stata la perdita di dati critici per l’azienda. L’evoluzione verso un modello di lavoro ibrido e basato sul cloud non ha certo aiutato, visto che il 22% dei CISO parla di una ridotta visibilità su chi accede ai dati dell’azienda e da dove.
Guidare il cambiamento culturale in modo olistico
Le organizzazioni hanno comunque fatto passi importanti sul tema della sensibilizzazione alla cyber security e delle iniziative in merito. La stessa ricerca mostra come la maggior parte delle organizzazioni non solo istruisce attivamente gli utenti sui rischi per le persone, ma lo fa tramite una formazione spesso mirata.
Quasi tutti i CISO (96%) conducono corsi di sensibilizzazione sulle minacce basate sulla email, mentre la maggior parte copre anche aree ad alto rischio come protezione dei dati (82%), social engineering e account compromessi (78%) e utilizzo dei dispositivi (80%).
Tuttavia, il programma di sensibilizzazione è solo una componente della cultura della sicurezza. Sebbene non esista un modello “uguale per tutti”, l’adozione di un approccio multiforme migliora notevolmente il successo. I dipendenti imparano in molti modi ed è importante fornire diverse opportunità di formazione e opzioni che possono variare da conversazioni informali ed esercitazioni di phishing a micro-formazione per ruoli specifici. La chiave è fornirli con costanza e frequenza, non solo come evento formativo annuale o simulazione occasionale di phishing.
È importante comprendere che l’obiettivo della cultura della sicurezza non è di puntare il dito. Pensiamo a un incidente di phishing come a una rapina in banca: qualcuno incolperebbe il cassiere per aver consegnato del denaro a un rapinatore? Ovviamente no. L’obiettivo è di responsabilizzare il personale, in modo che si senta a proprio agio nel segnalare gli incidenti senza temere conseguenze.
Una cultura della sicurezza priva di colpe non significa che non si debba responsabilizzare il personale, ma utilizzare metriche per capire quanto stiano funzionando gli sforzi. Ad esempio, il comportamento costantemente rischioso di un individuo può giustificare un’azione disciplinare, ma solo dopo aver fornito adeguate opportunità di apprendimento e correzione.
La sicurezza riguarda l’intera organizzazione, a tutti i livelli
La promozione di una solida cultura della sicurezza non è responsabilità esclusiva di un solo team, che si tratti di risorse umane, IT o cybersecurity. È necessario il coinvolgimento di tutti i livelli dell’organizzazione, dai dirigenti fino ai dipendenti in prima linea. Ogni azienda ha persone appassionate di sicurezza – bisogna individuarle e reclutarle come champion.
Indipendentemente da chi trasmette il messaggio sulla cybersecurity, deve ripercuotersi sul personale e il suo lavoro quotidiano. Ad esempio, in molti settori la cyber security può essere allineata alla sicurezza fisica, che è sempre una priorità assoluta. È possibile utilizzare i canali consolidati per creare un chiaro collegamento tra difesa dalle minacce informatiche e missione di safety e condividere le metriche che guidano questo messaggio.
Metriche che possono variare in base all’azienda, ma che dovrebbero includere misure quantitative e qualitative. Gli indicatori concreti, come i tassi di clic per le simulazioni di phishing, sono in genere più facili da determinare e riportano progressi e prestazioni. Ma anche le misure qualitative rivelano molto sulla cultura e possono essere molto semplici, ad esempio richiedere feedback informali su una policy o un programma di sicurezza o osservare la frequenza con cui viene affrontato il tema della consapevolezza informatica nelle riunioni dei vari team.
La cultura della sicurezza informatica è una parte essenziale del set di strumenti, soprattutto se l’obiettivo aziendale è il cambiamento dei comportamenti. Come qualsiasi altro livello difensivo, la cultura non è mai infallibile. Tuttavia, considerando la natura delle minacce odierne, incentrate sulle persone, è il livello più critico per proteggere l’intera organizzazione.
