Attuazione di un programma di CyberSecurity Awareness efficace: da dove cominciare?
L’obiettivo dei programmi di Security Awareness è quello di influenzare positivamente gli utenti informatici al fine di far loro adottare comportamenti sicuri nell’ambito dello svolgimento delle attività quotidiane connesse all’utilizzo di dispositivi e servizi informatici. Più tali comportamenti diventeranno un’abitudine, più saranno replicati in modalità automatica nel tempo e quindi si consolideranno come pratica sicura in ambito aziendale e anche privato. L’obiettivo è raggiungere nel tempo una diffusa cultura del lavorare in sicurezza con gli strumenti informatici.
Eppure le statistiche ci dicono che nonostante da anni le aziende facciano CyberSecurity Awareness, i nostri comportamenti non sono sufficientemente sicuri, dal momento che l’errore umane rimane il maggior fattore di rischio in ambito di sicurezza cyber.
Proviamo a capirne le ragioni e a confrontarci su possibili soluzioni.
Una prima considerazione da fare riguarda le motivazioni per le quali tipicamente vengono svolti programmi di CyberSecurity Awareness in azienda: spesso tali ragioni appaiono più legate all’esigenza di ottemperare a obblighi di conformità, quali quelli richiesti da normative e standard, che non orientate a una efficace riduzione del rischio legato al fattore umano.
Ma se ci pensiamo bene questo rischio non è altro che uno dei tanti rischi della CyberSecurity, che deve essere attentamente conosciuto, misurato, valutato e trattato con altrettante misure di sicurezza adeguate, così come tutti gli altri rischi di CyberSecurity.
Ma cos’è il rischio connesso al fattore umano? Come si misura? Quali sono le misure di sicurezza efficaci per contrastarlo? Quali sono gli indicatori che ci consentono di capire se una misura di sicurezza atta a contrastare il fattore di rischio umano, come la CyberSecurity Awareness, è efficace o meno?
L’obiettivo di chi attacca un’azienda sfruttando le debolezze legate al fattore di rischio umano è sempre lo stesso: acquisire credenziali di utenti per poi utilizzarle per fini non leciti.
I nostri dipendenti rappresentano l’asset più importante e al tempo stesso una delle principali difese rispetto a furti, data breach o tentativi di estorsione. Pertanto la conoscenza di quali utenti accedono a quali asset, a quali dati, siano essi dati personali, finanziari, dei clienti o proprietà intellettuale aziendale, aiuta a fornire la visibilità su potenziali rischi di sicurezza, a individuare i target a maggior rischio e a predisporre programmi di Security Awareness mirati agli specifici rischi allineati agli obiettivi di CyberSecurity aziendale.
Quindi il primo passo dovrebbe essere proprio quello di identificare esattamente quali siano i rischi legati al fattore umano che caratterizzano la nostra organizzazione aziendale, eppure, la maggior parte dei programmi di Security Awareness saltano questo passaggio e partono direttamente con l’esecuzione di piani di training e awareness per coinvolgere i dipendenti e motivarli nell’utilizzo sicuro degli asset informatici.
In genere questo approccio coincide con l’approccio Compliance based, caratterizzato dal fatto che si prescinde dalla conoscenza degli specifici rischi legati al fattore umano che caratterizzano l’organizzazione e ci si concentra sull’esigenza di dover erogare contenuti di Security Awareness “generalizzati”. Quello che interessa in questo caso è mettere il flag sulla voce Security Awareness, valutando il successo dell’intervento di sensibilizzazione esclusivamente in termini di percentuale o di numero complessivo di dipendenti che hanno seguito il corso. Questo indicatore soddisfa le esigenze di dimostrare la compliance, ma quanto può essere efficace per contrastare il rischio legato al fattore umano?
La risposta evidentemente è: veramente poco.
Allora, da dove dobbiamo cominciare?
Dobbiamo iniziare dall’individuazione dei rischi legati al fattore umano specifici della nostra azienda e contrastarli con la finalità di garantire ai dati i requisiti di integrità, disponibilità e riservatezza. Infatti così come facciamo l’analisi dei rischi sugli asset tecnologici che concorrono ai trattamenti automatizzati, allo stesso modo dobbiamo analizzare i rischi legati alle persone che pongono in essere tali trattamenti. Questa attività di analisi partirà dalla mappatura di quali persone accedono a quali asset e trattano quali dati e come, ossia con quali strumenti, e come suggerito anche dal SANS Institute potrà essere condotta analizzando, tra le altre, una serie di informazioni già disponibili in azienda, quali:
- andamento degli incidenti di sicurezza o dei data breach rispetto a specifici dati
- risultanze di auditing su incidenti o problematiche relative a specifici dati
- Industry report che possono aiutare a capire quali tipologia di dati e quindi di utenti possono essere più a rischio
- analisi dei comportamenti in rete degli utenti
- strumenti di Cyber Threat Intelligence.
Questa mappatura, accompagnata anche da interventi preliminari di assessment di consapevolezza/conoscenza di security da parte del personale, consentirà di svolgere in modo mirato gli interventi di awareness, valutando i “target” umani maggiormente esposti al rischio, le loro esigenze di awareness e commisurando gli interventi di sensibilizzazione sia agli specifici rischi legati al fattore umano che caratterizzano l’azienda sia al livello di consapevolezza e conoscenza di ciascun utente in materia di CyberSecurity.
Di Raffaella D’Alessandro
Senior Manager – Security Strategy
Consulthink S.p.A.
info@consulthink.it
