Studio dopo studio dimostra che l'uomo nella macchina aumenta il rischio di sicurezza informatica. Una ricerca della Stanford University e di Tessian lo confermano, scoprendo che l'88% delle violazioni di dati sono causate da errori dei dipendenti. Ma, anche senza prove statistiche, le organizzazioni hanno la prova aneddotica che il fattore umano è dietro molte violazioni di dati e altri incidenti di sicurezza. Per de-rischiare le violazioni dei dati, è necessario de-rischiare i dipendenti e i non dipendenti.
Ecco una guida al tipo di rischi che gli esseri umani aggiungono a un'organizzazione e alcune idee su come ridurre il rischio umano.
Errare è umano
Definire cosa significa "errore umano" è importante per capire come minimizzare il rischio di un errore di sicurezza legato all'uomo.
L'errore umano può essere ampiamente classificato in due aree:
Sviste
Gli errori e le sviste capitano, e quando accadono, la minaccia per un'organizzazione aumenta. Un tipico esempio di svista è l'invio accidentale da parte di un dipendente di un'email con informazioni sensibili alla persona sbagliata, alias, errata consegna di un'email.
Un altro esempio di svista è la configurazione errata di un componente del cloud come un database. Un altro ancora, è pensare che sia giusto condividere una password con un collega. Le sviste coprono l'area generale della cattiva gestione dei dati sensibili da parte dei dipendenti che può portare a non conformità, multe e perdita di fiducia dei clienti.
Inganno
Le truffe di social engineering aumentano il rischio umano in un'organizzazione. Le truffe di social engineering, come le e-mail di phishing contenenti allegati o link dannosi, possono aumentare il rischio umano in un'organizzazione.
Un altro esempio di un dipendente che viene ingannato da un malintenzionato è il Business Email Compromise (BEC), una truffa con cui un criminale informatico inganna i dipendenti per fargli pagare fatture fraudolente. Se un dipendente viene ingannato o causa involontariamente un errore, il risultato può essere catastrofico. Il rapporto dell'unità crimine internet dell'FBI, IC3, sul crimine BEC, per esempio, ha scoperto che le perdite dovute al BEC nel 2020 ammontano a 1,8 miliardi di dollari.
5 Hack umani che possono aiutare a minimizzare il rischio umano
I fattori di rischio legati all'uomo possono essere mitigati applicando cinque hack umani che riducono il rischio di sicurezza informatica:
1) Rompere il ciclo del clic
L'interfaccia utente (UI) e l'esperienza utente (UX) sono progettate per rendere l'uso del computer il più facile possibile. Il calice d'oro è l'esperienza 'one-click' e, laddove possibile, i designer di UI lavorano diligentemente per raggiungere questo obiettivo.
Sfortunatamente, questo significa che gli impiegati e gli altri utenti finiscono per non pensare prima di cliccare, poiché il loro condizionamento UI/UX si fa sentire. MetaCompliance ha recentemente esplorato la questione della risposta automatica al clic in un altro post "Attacchi di phishing: Why Don't We Think Before We Click?", in cui raccomandiamo l'uso di test di phishing controllati per cambiare il comportamento di clic dei dipendenti.
2) Costruire una cultura della sicurezza
Il rischio informatico è affare di tutti. Quando si costruisce una cultura della sicurezza informatica, ci si dovrebbe concentrare fortemente sulle aree che aumentano il rischio in un'azienda o in un processo, pur essendo consapevoli che ci possono essere livelli diversi o variabili di rischio a seconda del dipartimento o anche del dipendente. Gli esercizi di costruzione della cultura della sicurezza informatica devono riflettere le esigenze granulari di un'azienda, e creando una cultura della consapevolezza della sicurezza informatica, si può aiutare a ridurre il rischio attraverso la conoscenza.
3) Sostenere decisioni migliori
Molti errori umani che portano ad un aumento del rischio informatico sono semplicemente una scarsa capacità di giudizio. L'errore umano copre una vasta gamma di questioni che portano all'esposizione dei dati e ad altri incidenti di sicurezza. A volte, è semplicemente un caso di non avere le informazioni a portata di mano per prendere una buona decisione. E a volte, si tratta di mettere in atto strutture, in modo che la decisione sbagliata non possa essere presa. L'igiene della sicurezza è un caso esemplare.
Una ricerca di Yubico ha scoperto che il 69% dei dipendenti condivide le password per facilitare l'accesso agli account. Per eliminare il rischio del fattore umano al lavoro, insegnate al personale l'importanza di non condividere le password, e sostenetelo imponendo l'uso di un secondo fattore di autenticazione (2FA) a qualsiasi app che supporti 2FA.
4) Cyber-igiene per eliminare il rischio di errore umano
Insegnare ai dipendenti la cyber-igiene aggiunge peso alle questioni di igiene della sicurezza menzionate sopra. La cyber-igiene copre una serie di aree e include una politica di clean desk che sia applicabile. Le migliori pratiche di cyber-igiene ridurranno al minimo i rischi di sicurezza online e manterranno i sistemi IT in salute. Aiuterà anche nella conformità agli standard di sicurezza come ISO27001.
La pratica della cyber-igiene si estende dai dipendenti a un'attenzione generale alla salute dei sistemi informatici; ciò include l'uso di strumenti appropriati per monitorare le minacce potenziali, assicurando che i certificati digitali siano aggiornati, che le patch siano distribuite rapidamente, e così via. Una buona pratica di cyber-igiene consiste nell'assicurarsi che qualsiasi errore umano nella configurazione dei sistemi o nei processi di business, sia colto prima di essere sfruttato.
5) Rendi le persone parte del tuo approccio a strati alla sicurezza
I dipendenti sono spesso la fonte di un aumento del rischio informatico, ma sono anche il luogo in cui un'organizzazione può de-rischiare il fattore umano. Assicurandosi che dipendenti e non dipendenti facciano parte di un approccio stratificato alla sicurezza informatica, la vostra azienda può assicurare un de-risking olistico di "persone, processi e tecnologia".
Coinvolgendo tutto il personale nella formazione, dall'amministratore delegato alla persona di più recente nomina, si coprono tutte le lacune in cui i dati possono trapelare o in cui possono verificarsi incidenti di sicurezza.
Ridurre il rischio di nascite umane
I dipendenti sono solo esseri umani, e gli esseri umani commettono errori o possono essere socialmente manipolati dai criminali informatici. Dipendenti consapevoli e impegnati possono aiutare a superare il rischio umano in un'organizzazione. Una chiara strategia di sicurezza che copra le persone, i processi e la tecnologia, eliminerà il rischio del fattore umano in qualsiasi organizzazione. Questa strategia dovrebbe impiegare programmi di formazione sulla sicurezza per aiutare a costruire una cultura della sicurezza che permetta alle persone di essere la prima linea di difesa contro gli errori e le manipolazioni.