Per prevenire i rischi di sicurezza informatica legati alle minacce informatiche e alle aggressioni digitali, solitamente si ricorre a corsi di formazione e training erogati verso utenti finali e non tecnici, per accrescere la loro consapevolezza sulla minaccia (awareness). Ma poiché gli attacchi diventano sempre più sofisticati, questo approccio non è più sufficiente.
Si parla allora della necessaria trasformazione delle pratiche di sicurezza, in un approccio di “gestione del rischio umano” (Human Risk Management- HRM n.d.r.) che si concentri non tanto sulla conformità, bensì sulla quantificazione del rischio legato ai comportamenti umani. Esistono infatti diverse strategie per valutare tale rischio ed anche per ridurlo in modo tangibile.
Indice degli argomenti
HRM: la valutazione
Per valutare il rischio informatico umano (HRM) della propria organizzazione, si può procedere identificando le vulnerabilità correlate ai comportamenti dei dipendenti, alle lacune di conoscenza e alla conformità alle policy di sicurezza.
Primariamente è necessario valutare lo stato iniziale di conoscenza del proprio personale, finalizzato a stabilire un punto di partenza del livello di comprensione dei temi e delle correlate pratiche di sicurezza, che pure se esistenti potrebbero quindi non essere capite e perseguite se la conoscenza e comprensione fosse molto bassa tra i dipendenti. Per fare questo occorre:
- Valutare la conoscenza dei dipendenti sui principi di base della sicurezza informatica, (es. riconoscimento delle e-mail di phishing, la gestione delle password e le pratiche di protezione dei dati).
- Analizzare il comportamento, ovvero identificare i comportamenti rischiosi comuni, (es. l’utilizzo di dispositivi personali per scopi lavorativi, download di software non verificato o mancti aggiornamenti software).
- Verificare la percezione del rischio, ossia capire quanto seriamente i dipendenti considerano e percepiscono la gravità delle minacce alla sicurezza informatica secondo cui aderire ai protocolli di sicurezza.
A valle di tale processo di assessment è possibile introdurre processi di mitigazione, per il cui approfondimento sono stati coinvolti diversi esperti di security che hanno contribuito con la loro esperienza e con le loro raccomandazioni.
Parola d’ordine: semplificare e dare continuità al business
Ross McKerchar, Chief Information Security Officer (CISO) di Sophos punta sulla semplificazione come mezzo di incentivazione alla sicurezza. Secondo l’esperto è necessario “semplificare il processo: la maggior parte degli utenti finali non è esperta in materia di sicurezza, e non è realistico aspettarselo. Con l’evoluzione del panorama delle minacce, i team di sicurezza devono adeguarsi. È fondamentale offrire protezione agli utenti finali affinché possano svolgere il loro lavoro senza ostacoli o senza dover rinunciare alla sicurezza. I responsabili della sicurezza dovrebbero semplificare la segnalazione di attività sospette o dannose e incoraggiare gli utenti a farlo. Rimuovere le barriere e lo stigma legati alla segnalazione degli incidenti di sicurezza, comprese gli errori degli utenti, contribuirà a rendere l’azienda più sicura nel lungo periodo”.
L’ultimo punto denota un approccio legato al cambiamento culturale che vedremo sarà sottolineato anche da altri esperti come mezzo efficace.
Insieme alla semplificazione è però la continuità del business un altro obiettivo chiave di volta delle strategie di security. Marco Urciuoli, Country Manager Italia e Malta in F5 sottolinea l’importanza della protezione per garantire continuità “in un’epoca in cui offrire esperienze digitali di altissimo livello distingue le aziende, proteggere le app senza interrompere il business è più di una sfida tecnologica: è una questione di sopravvivenza e un modo per rendere il mondo digitale più sicuro per tutti. Quando le app rappresentano di fatto il proprio business, una protezione semplicemente ‘buona’ non basta. È questo il nostro impegno: facciamo di tutto per rendere ogni applicazione e API sicura da bug, vulnerabilità di terze parti ed errori di autenticazione”.
HRM: la mitigazione mediante una cultura “arricchita” di esperienze
Approccio culturale
Se l’awareness è un primo passo per “avvicinarsi alla security” e per responsabilizzare il singolo, non solo come approccio di compliance ma di tipo sostanziale, allora il cambio di passo è dato dallo sviluppo della cultura stessa della security. Lo sostiene Luca Iuliano, Engineering Director in Telsy che spiega: “La questione ha radici molto profonde, che si legano strettamente all’aspetto culturale della sicurezza. Un esempio illuminante è la capacità di percepire situazioni di rischio attraverso ciò che comunemente chiamiamo intuito o sesto senso. In realtà, l’intuito si sviluppa solo in quei settori in cui si possiede una profonda conoscenza; come per le tecniche di social engineering: ci si può difendere solo se si comprendono a fondo le strategie di manipolazione, sia informatica che “dialettica”, abilmente costruite da chi tenta di estorcere informazioni preziose. Una conoscenza approfondita e arricchita dalle giuste esperienze crea la giusta dose di diffidenza. Questa diffidenza è ciò che attiva il nostro ‘campanello d’allarme’ e ci permette di riconoscere e reagire a tentativi di manipolazione prima che sia troppo tardi. È proprio su questo concetto di awarness che noi abbiamo lavorato per alcune soluzioni e ne stiamo creando di nuove”.
Secondo Rajesh Ranganathan, Direttore del Product Management, e Ram Vaidyanathan, IT Security Evangelist, entrambe in Manage Engine, è importante l’instaurazione di “una cultura di comunicazione aperta che incoraggi a dialogare e aprirsi in relazione a problemi ed eventuali suggerimenti di sicurezza con sessioni di feedback regolari e forum aperti che potrebbero aiutare le organizzazioni a valutare le percezioni dei dipendenti e identificare aree di miglioramento. Combinando queste strategie, le organizzazioni potrebbero creare un ambiente in cui la sicurezza non è solo una responsabilità imposta, ma un impegno condiviso”.
Al tema culturale fa eco Michele Lamartina, Regional Vice President Italia, Grecia, Cipro & Malta di Palo Alto Networks: “Promuovere il ‘coinvolgimento nella sicurezza’ e la responsabilizzazione – chiarisce – va ben oltre la semplice consapevolezza, e si tratta di trasformare la cyber security da un obbligo imposto a una responsabilità condivisa da tutti, a ogni livello. Si tratta di un processo continuo, che richiede impegno da parte di tutti, ma combinando formazione efficace, simulazioni pratiche e incentivi, le aziende possono creare una cultura in cui la cyber security è una responsabilità condivisa e integrata nel loro DNA”.
“Oltre a coltivare una cultura di vigilanza – continua Lamartina – vi sono numerose iniziative e azioni che le aziende possono adottare: organizzare simulazioni realistiche di attacchi cyber, come campagne di phishing mirate, per mettere alla prova le conoscenze e la preparazione dei dipendenti in un ambiente controllato e apprendere dagli errori senza conseguenze reali; implementare programmi di formazione continui, interattivi e personalizzati, che non si limitino solo alla presentazione di regole e procedure, ma offrano esempi concreti, casi di studio e gamification, al fine di mantenere l’interesse e verificare l’effettiva comprensione dei concetti; introdurre la gamification, cioè l’utilizzo di elementi di gioco nella formazione sulla sicurezza, per trasformare l’apprendimento in un’esperienza divertente e stimolante, incentivando la partecipazione attiva e una competizione sana tra colleghi. Tuttavia, è importante sottolineare che la responsabilizzazione si raggiunge anche riconoscendo e gratificando pubblicamente i comportamenti virtuosi, per creare un clima di fiducia e collaborazione in azienda”.
Formazione ludica
L’aspetto ludico della formazione è una leva di efficacia secondo Gianni Baroni, CEO di Cyber Guru, che sottolinea come “la possibilità di eccellere in una classifica virtuale interna, magari incentivata da premi e ricompense, promuovano indubbiamente l’impegno del singolo e delle squadre ed una maggiore adesione ai corsi. Anche il buon esempio dell’amministratore delegato o del management come primi in classifica funziona per spronare il personale a seguirli. Inoltre, è fondamentale restare al passo con l’attualità e l’evoluzione delle minacce cyber, affrontare temi di attualità usando scenari innovativi e immersivi (es. CEO che cade nella trappola di un deepfake audio). Tutti i membri dell’azienda devono essere in grado di comprendere i rischi di sicurezza, e gli esempi concreti ed eclatanti funzionano bene. Ovviamente tutti questi strumenti devono essere supportati da continue verifiche e aggiornamenti”.
Formazione pratica ed esercitativa
L’esercizio pratico dello scenario di sicurezza in condizioni di tempo limitato e di gravità crescente contribuisce a fissare negli utenti ‘l’esperienza’ contribuendo così all’efficacia della misura.
È questo il pensiero di Luca Nilo Livrieri, Director, Sales Engineering, Southern Europe di CrowdStrike: “Le esercitazioni pratiche – sottolinea – costituiscono una misura particolarmente efficace per responsabilizzare sia gli utenti, sia i decision maker. È possibile, ad esempio, simulare attacchi che usino tecniche di social engineering, come ad esempio il phishing, lo smishing o fake call center call, per verificare lo stato di maturità dell’azienda in materia di cyber security e aumentare la soglia di attenzione nei confronti di queste modalità di attacco. Per quanto riguarda le strategie, è consigliabile prevedere l’adozione di strumenti di threat intelligence per conoscere e comprendere le tecniche, tattiche e procedure (TTP) utilizzate dai gruppi criminali a livello globale al fine di anticiparne le mosse”.
Dello stesso parere dei precedenti anche Rajesh Ranganathan, e Ram Vaidyanathan, secondo cui “l’aumento della consapevolezza tramite formazione regolare e simulazioni di diversi scenari per i dipendenti di una organizzazione possono aiutare, coniugato al ricorso alla cosiddetta gamification che può rendere l’apprendimento piacevole, migliorare la fidelizzazione dell’utente e incoraggiare la partecipazione dei dipendenti”.
Fra le misure proattive suggeriscono di “stabilire meccanismi di segnalazione anonima, così che i dipendenti si sentano al sicuro e autorizzati a segnalare eventuali incidenti, problematiche di sicurezza o attività sospette senza timore di ripercussioni negative. Sono inoltre utili regolari audit di conformità, per l’aderenza alle normative di settore come la NIS2 e il DORA Act, e lo sviluppo di incentivi premianti per le buone pratiche”.
Infine, i due esperti invitano le organizzazioni ad una organizzazione distribuita della sicurezza mediante: “Assegnazione del ruolo di leader della sicurezza a un dipendente all’interno di ogni reparto per garantire un più facile accesso alle policy di sicurezza, e per promuovere una presa di coscienza dei dipendenti e responsabilizzazione delle proprie pratiche di sicurezza”.
Il ruolo della AI nella mitigazione del HRM
Anche Federico Botti, Vice President Security & Resiliency Practice, Kyndryl Italia è completamente concorde sulle esercitazioni pratiche simulative, gli incentivi e la gamification e sulla AI che personalizza la formazione e monitora le abitudini di sicurezza degli utenti per fornire feedback personalizzati, ma aggiunge che gli algoritmi di AI potrebbero essere utili: “a livello di conformità normativa, perché l’AI può essere impiegata per monitorare in tempo reale la conformità alle politiche di sicurezza e segnalare eventuali violazioni”. Anche Rajesh Ranganathan e Ram Vaidyanathan si riferiscono all’AI fra le misure suggerite per: “garantire il monitoraggio costante del comportamento e i flussi di lavoro dei dipendenti, fornendo informazioni sulle prestazioni e identificando anomalie che potrebbero indicare rischi specifici, come burnout o di engagement e potrebbero suggerire piani formativi adattivi e personalizzati”.
HRM: il ruolo di normative e sanzioni
La conformità alle normative può spronare il cambiamento. Lo pensa Matteo Uva, Alliance & Business Development Director di Fortinet: “Essendo ancora lontani dall’aver raggiunto un livello di consapevolezza sufficiente – osserva – è necessario implementare approcci pratici alla sicurezza che includano la conformità normativa (es. direttive NIS2, DORA, Regolamento GDPR, standard ISO 27001) che a sua volta, impone standard rigorosi e condivisi per la protezione dei dati; consiglio anche esercitazioni di simulazione (penetration testing,) per testare le difese in scenari reali e l’implementazione di un Incident Response Plan, per risposte rapide agli attacchi”.
Ancora più specifico Massimiliano Micucci, Country Manager Italy di One Identity, che vede nella ‘pressione” normativa crescente’ una leva per indirizzare use case nel perimetro dell’Identity Security. Spiega infatti che “tutti i framework regolatori, nazionali ed internazionali, sin dalle origini della disciplina sugli amministratori di sistema, passando per la GDPR, SOX per arrivare alle più recenti NIS2 e DORA, citano esplicitamente le tematiche di access control, governance delle identità, gestione degli account privilegiati, verifica della postura di sicurezza delle identità, igiene delle credenziali e più in generale dei sistemi di autenticazione ed accesso. I framework regolatori costituiscono quindi un importante driver che spinge le organizzazioni a liberare risorse per affrontare progetti in tale ambito. L’aderenza a standard e normative, obbligatoria per operare in un numero sempre crescente di ambiti di business, consente ai dipartimenti IT di effettuare investimenti necessari con l’obiettivo di ridurre il pericolo di sanzioni, mantenere o accrescere la competitività nel mercato ed in definitiva migliorare la postura di sicurezza, la resilienza ed i fattori di rischio critico per l’intera organizzazione”.
Dello stesso parere Gian Marco Pizzuti, Area Vice President e Italy Country Manager di Splunk, che guarda alle normative come leve d’azione: “Le normative spesso impongono la frequenza regolare a specifici corsi di formazione IT, per cui la mancata partecipazione comporta delle sanzioni. Tuttavia, i requisiti di conformità non misurano l’efficacia della formazione erogata e il modo in cui le conoscenze vengono condivise all’interno dell’organizzazione. Le organizzazioni che mirano ad essere tolleranti agli errori e condividono le competenze apprese, miglioreranno significativamente le proprie difese dagli attacchi informatici”.
Ma non sempre le sanzioni portano risultati
In tema di sanzioni ha un parere lievemente diverso Menachem Shafran, SVP Strategy and Innovation di XM Cyber, che chiosa: “Sebbene le sanzioni sembrino un buon metodo per aumentare la consapevolezza, generalmente non sono efficaci e inducono solo gli utenti a spiegare perché la sicurezza ostacola l’efficienza. Invece, soluzioni come separare le comunicazioni esterne via e-mail dalle comunicazioni interne tramite Teams/Slack ecc. sono metodi più efficaci. Pertanto, l’aggiunta di ulteriori misure è cruciale per rendere più difficile per gli aggressori concretizzare i loro successi. Queste misure possono includere qualsiasi cosa, dalla segregazione degli ambienti (cosicché se un dipendente cade preda di un attacco, sia difficile per l’aggressore raggiungere risorse critiche e causare gravi danni) fino ad arrivare alla governance organizzativa finalizzata alla riduzione del rischio”.
Sanzioni come ulteriore rischio di impresa oltre all’esfiltrazione coatta di dati sensibili è invece il concetto espresso da Stefano Mesiti, Head of Enterprise Sales in Trend Micro Italia: “In un contesto sempre più orientato all’integrità del dato, il rischio maggiore per le aziende non è solo rappresentato dalle sanzioni normative, ma dalla possibilità di perdere o divulgare informazioni sensibili. Per prevenire tali situazioni, è essenziale che le aziende siano messe nelle condizioni di investire in sicurezza senza dover scegliere tra protezione e altre priorità aziendali. È fondamentale che la sicurezza informatica non sia percepita solo come un obbligo, ma che sia una volontà consapevole di miglioramento. Adottare un approccio proattivo, in cui la sicurezza diventa parte integrante della cultura aziendale, permette non solo di ridurre i rischi, ma di sensibilizzare e rendere consapevoli le persone, il vero cuore di ogni servizio. Formare i dipendenti sui rischi cyber, con particolare attenzione alla prevenzione di minacce interne ed esterne, è fondamentale per proteggere i dati aziendali. La prevenzione, attraverso la continua educazione su fonti non attendibili e vulnerabilità emergenti, deve essere una priorità assoluta per ogni organizzazione”.