Il fattore umano è l’anello debole della catena di sicurezza e rappresenta uno dei rischi cyber più complessi da gestire: per mitigarlo è importante che le aziende incentivino lo sviluppo di una security culture necessaria a trasformare i dipendenti in veri e propri firewall umani contro gli attacchi informatici.
Un’efficace cultura della sicurezza, infatti, consente di trasmettere le conoscenze, i comportamenti corretti, e le norme che rendono la cyber security parte integrante del lavoro, delle abitudini quotidiane e dei comportamenti dei dipendenti.
Vero è, infatti, che la formazione alla cyber security e la sensibilizzazione sulle minacce informatiche da sole non sono sufficienti a garantire una protezione efficace contro attacchi informatici sempre più mirati e sofisticati, oltre che in continua evoluzione.
Secondo i dati del “The Global Risks Report 2022” pubblicato dal World Economic Forum, il 95% delle problematiche di cyber security sarebbero riconducibili ad errori umani.
La security culture aziendale deve fare in modo che le misure tecniche di sicurezza informatica possano operare in perfetta armonia con tutti gli altri processi aziendali per evitare, come sottolinea ENISA nella sua pubblicazione “Cyber Security Culture in organisations”, che i dipendenti siano costretti a scegliere tra il “fare il proprio lavoro” e “rispettare le politiche di sicurezza”.
Il principio della psychological acceptability evidenzia la necessità di trovare un equilibrio tra la creazione di sistemi che siano sia sicuri che accettabili dal punto di vista psicologico per gli utenti.
Ciò implica che le misure di sicurezza debbano essere progettate in modo da interferire il meno possibile con l’esperienza dell’utente, garantendo al contempo un livello adeguato di protezione.
Ad esempio, un sistema altamente sicuro potrebbe richiedere che gli utenti si autentichino attraverso un processo complicato o che seguano delle procedure di sicurezza rigorose che potrebbero risultare scomode.
Se un sistema fosse troppo complesso o scomodo da usare, gli utenti potrebbero cercare di aggirare le misure di sicurezza o commettere errori, il che finirebbe con l’ottenere l’effetto opposto: le norme che il NIST ha rilasciato in merito alla gestione delle password, ad esempio, seguono proprio questo principio.
La formazione alla cyber security è un investimento che ritorna
Indice degli argomenti
Cos’è la security culture
La security culture è un insieme di pratiche e valori che devono essere condivisi da tutti all’interno di una organizzazione e che determinano il modo in cui ci si aspetta che le persone pensino e si approccino alla sicurezza informatica.
I tasselli che compongono questo insieme sono molteplici, ma in particolare, vorrei citare:
- Sponsorship ed esempio del management: ho paura che senza di questo non si possa procedere oltre. La promozione convinta delle iniziative sulla sicurezza in azienda deve essere prima di tutto una ferma direzione strategica, supportata ovviamente dal budget, ma anche dall’esempio in prima persona.
- Educazione e formazione: fornire formazione continua e risorse educative per assicurarsi che tutti i membri dell’organizzazione comprendano i rischi di sicurezza e sappiano come mitigarli.
- Politiche e procedure: stabilire e implementare politiche e procedure di sicurezza chiare che siano facilmente comprensibili e seguite da tutti.
- Comportamento dei dipendenti: promuovere comportamenti responsabili tra i dipendenti riguardo l’uso della tecnologia e delle informazioni, inclusa l’adozione di password sicure, l’aggiornamento regolare dei sistemi e l’evitare pratiche rischiose.
- Comunicazione e coinvolgimento: asssicurarsi che ci sia una comunicazione aperta e onesta riguardo ai problemi di sicurezza, in modo che le persone si sentano a proprio agio nel segnalare incidenti o vulnerabilità potenziali.
- Gestione dei rischi: adottare un approccio sistematico alla gestione dei rischi, che includa l’identificazione, l’analisi e il trattamento dei rischi informatici.
- Responsabilità collettiva: riconoscere che la sicurezza delle informazioni non è solo responsabilità del team IT, ma di tutti i membri dell’organizzazione.
- Valutazione e aggiornamento continuo: monitorare e valutare regolarmente l’efficacia delle misure di sicurezza esistenti, e aggiornarle quando necessario per far fronte a nuove minacce.
La cultura della sicurezza, dunque, non è solo la security awareness: quest’ultima ne rappresenta un tassello importante, l’inizio di un percorso, il cosiddetto “ABCs” della cyber security: Awareness, Behaviour and Culture.
Essere consapevoli che un determinato comportamento sia dannoso, potenzialmente pericoloso, non comporterà necessariamente che eviteremo di adottarlo per convenienza, sciatteria, furberia, fretta e così via.
Pensiamo, ad esempio, alle SQL Injection: bene, nel 2023, a 20 anni dalla prima versione delle OWASP Top 10, la famosa classifica dei maggiori security risks per le web application, dopo varie sessioni di security awareness destinate agli sviluppatori, anche i sassi dovrebbero sapere che le query non andrebbero costruite concatenando le stringhe e che tutti gli input andrebbero sanitizzati.
Eppure, gli injection flaws sono ancora nelle prime tre posizioni della top 10, e sono fra le vulnerabilità più riscontrate nei nostri penetration test.
Oppure, pensiamo alle continue eccezioni e deroghe che molto spesso vengono richieste a policy, regole di firewall, privilegi sugli account, utilizzo di tool per la condivisione, mail private, password e così via: forse non ne abbiamo parlato abbastanza? O forse a volte, ci sembrano solo misure eccessive e scomode, che poi “tanto, se lo facciamo una sola volta che cosa mai può succedere”?
Dunque, quando si parla di security culture è necessario, innanzitutto, convenire sul fatto che la sicurezza dell’azienda appartiene a tutti e deve essere un collante per tutti: ogni dipendente, capo reparto o membro del consiglio di amministrazione deve essere responsabile delle proprie azioni, non soltanto l’IT o il CISO.
Quando si rientra, invece, in quest’ultimo caso, si finisce immancabilmente col personale IT subissato da telefonate di colleghi indispettiti e da improperi variegati, causati per lo più dalla mancanza di condivisione degli obiettivi, di comunicazione e, in particolare, del supporto della Direzione.
Questo è particolarmente evidente durante gli incidenti di sicurezza, in particolare quelli relativi ad attacchi ransomware: certamente se osservassi che questi attacchi sono le superstar degli ultimi anni, non affermerei niente di stravolgente; sono continuamente agli onori della cronaca e sentiamo spesso parlare di aziende a cui sono stati esfiltrati e cifrati i dati.
Ma, allo stesso tempo, nulla come questi attacchi può essere la cartina tornasole della cultura della sicurezza (cyber e non) aziendale: le dimensioni che vengono sollecitate infatti sono molteplici, dai backup alla comunicazione, dalla gestione delle vulnerabilità a quella degli account e dei privilegi, passando per la governance.
Solitamente non è il singolo comportamento ad avere effetti devastanti: molto più spesso è la concatenazione di tanti comportamenti errati a generare un effetto a palla di neve che porta a volte al disastro, con attori differenti, ognuno convinto dell’innocuità delle proprie azioni sulla sicurezza aziendale
In queste situazioni mi domando spesso se le conseguenze e gli impatti avrebbero potuto essere differenti se si fossero investiti, non solo soldi, ma tempo e volontà, nella costruzione di una cultura della sicurezza, ed ogni volta la risposta è sempre, irrimediabilmente, un convinto “sì”.
Investire nella security culture è, secondo me, l’unico modo per far sì che la popolazione aziendale possa riuscire a modificare questi comportamenti sbagliati acquisiti dopo anni di “cattive abitudini” dovuti anche alla mancanza della necessaria attenzione da parte dell’organizzazione stessa.
Dal mio punto di vista, infatti, la sicurezza è essenzialmente una questione di dettagli: la regola del firewall vecchia e dimenticata, la macchina con l’RDP esposto per dimenticanza, il service account con i privilegi da amministratore che “tanto dopo lo cambiamo”, e così via.
I dettagli che conducono inevitabilmente alla possibilità di sfruttare vulnerabilities and exposures, che tipicamente un attaccante utilizza e mette in fila per costruire una attack chain (e a volte ne basta solo uno); ed i dettagli che esaustivamente un’azienda dovrebbe indirizzare per cercare di ridurre la propria superficie d’attacco.
Evidentemente tra i due lati c’è una asimmetria sproporzionata: il compito della difesa è enormemente più difficile di quanto non sia quello dell’attacco.
Allora, avere una possibilità di riuscire a far fronte a questo sforzo costante può essere immaginabile solo non affidandosi ad azioni estemporanee, magari figlie delle speranze riposte nella nuova tecnologia del momento, ma piuttosto facendo diventare la sicurezza parte costante della vita aziendale, in tutte le direzioni che essa necessariamente abbraccia.
Poniamo di estremizzare le situazioni: ipotizziamo di confrontare due aziende, una in cui non si creda per nulla in tutti questi ragionamenti e si sia deciso di investire soltanto in acquisto di tecnologie difensive, senza alcuna cultura che faccia da collante; un’altra nella quale non ci possano essere tecnologie difensive, magari per problemi di budget, ma in cui i comportamenti siano invece completamenti improntati alla protezione dell’azienda: credo sia retorico domandarsi quali di queste due aziende avrebbe maggiore resistenza a possibili attacchi, ed in ogni caso io scommetterei sulla seconda.
Detto questo, è ovvio che la cosa migliore sarebbe il corretto bilanciamento tra le due situazioni, anche perché i pur super attenti dipendenti della seconda, potrebbero trovarsi di fronte ad una vulnerabilità tecnica, magari facilmente sfruttabile, magari non sanabile, non isolabile, non-qualunque-cosa, ed a quel punto: “signori, è stato un onore servire con voi”.
D’altro canto, possiamo presumere che anche la prima azienda finirebbe col soccombere ad una situazione di questo tipo: posso immaginare, infatti, processi di vulnerability e patch management inesistenti o console delle misure di difesa, magari piene di alert, completamente ignorate, rendendo vano l’investimento tecnologico.
Allora, come detto prima, il giusto è il corretto bilanciamento fra i due estremi, con la consapevolezza, tuttavia, che le tecnologie di difesa possono davvero poco senza il corretto supporto umano.
Su quest’ultimo punto, potremmo ad un certo punto essere tentati di costruire gabbie sempre più strette per i nostri utenti, andando contro il principio della psychological acceptability citato precedentemente, nell’idea che, se non potranno muoversi, allo stesso modo non potranno “fare danni”.
Quest’idea è generalmente sbagliata (a meno di ambienti estremamente particolari quali quelli classificati) per almeno due motivi: il primo perché è bene non sottovalutare mai la capacità fantasiosa che porta un utente ad aggirare un vincolo che gli impedisce di fare il proprio lavoro; il secondo perché la sicurezza verrà usata come capro espiatorio per qualunque disavventura lavorativa, diventando di fatto un ostacolo al raggiungimento degli obiettivi di business, portando ad un inevitabile rifiuto.
Riuscire a cambiare questo modo di agire rappresenta il primo, importante passo per proteggere l’intera organizzazione dagli effetti nefasti di un attacco, perché non esiste tecnologia che non possa essere aggirata direttamente, o facendo leva sul fattore umano.
Qualche indicatore
Quali possono essere alcuni indicatori di quanto la cultura della sicurezza sia radicata in azienda?
Il SANS Institute, tramite Lance Spitzner, cita i seguenti:
- Le persone si sentono sicure nel segnalare gli incidenti, anche se li hanno causati loro.
- Le persone includono la sicurezza come parte della loro descrizione del lavoro.
- I dipendenti correggono e aiutano i loro colleghi a comportarsi in modo da tutelare la sicurezza.
- La convinzione condivisa che la sicurezza svolga un ruolo importante nel successo dell’organizzazione.
- Le persone si sentono a proprio agio nel porre domande al team di sicurezza.
- Richieste frequenti di formazione sulla sicurezza e di coinvolgimento della sicurezza nei progetti fin dalle prime fasi.
Se tutti questi indicatori sono “accesi” allora vuol dire che gli sforzi per fare attecchire la security culture in azienda stanno dando i loro frutti.
Voi ne mettereste degli altri?
Io, per esempio, aggiungerei:
- Le persone utilizzano gli strumenti aziendali in sicurezza.
Lo cito con un sorriso perché, qualche settimana fa, mentre ci apprestavamo a fare un security assessment su una active directory, il cliente ci ha inviato le credenziali per e-mail, con in copia un’altra decina di persone. È un indicatore? Decisamente. Se un dipendente fa una cosa di questo tipo comunicando con l’azienda incaricata di effettuare un assessment di sicurezza, si può pensare che nella sua normale routine quotidiana la situazione sia chiaramente molto peggiore.
Un altro indicatore che aggiungerei, e che riprende quanto detto all’inizio, è:
- Il management è di esempio con i propri comportamenti,
o, detto in altri termini, leading by example: nulla come il buon esempio da parte di chi ci guida, può rendere fecondo il seme della cultura (della sicurezza).
La sicurezza è responsabilità di tutti, la cultura richiede collaborazione
Alla luce di quanto visto finora è evidente che costruzione di una security culture richiede tempo e impegno costante, da parte di tutti le persone in azienda, di tutti i livelli.
È necessario che le persone cambino e adottino convinzioni, atteggiamenti e azioni positive in materia di sicurezza: si tratta, certamente, di un compito arduo soprattutto se calato in contesti aziendali non abituati a pensare in termini di sicurezza informatica.
Per questo motivo, la responsabilità della sicurezza deve essere condivisa da tutti ed è importante mantenere aperte e chiare le linee di comunicazione in modo da poter affrontare rapidamente ed efficacemente eventuali punti deboli che dovessero presentarsi nelle fasi di costruzione della security culture.
Infine, occorre fare in modo che tutti i dipendenti e anche i vertici aziendali seguano le linee guida di sicurezza informatica messe a punto dagli specialisti, oltre che a frequenti corsi di formazione sulla cyber security.
Una efficace security culture, infatti, è possibile solo se tutti hanno le conoscenze e le competenze necessarie per comprenderne i vantaggi, ma anche per essere in grado di valutare le possibili conseguenze sulle infrastrutture aziendali e sul patrimonio informativo di un’azione sbagliata.
