L'”uomo nella macchina” è una considerazione fondamentale quando si crea una strategia efficace per ridurre al minimo il rischio di sicurezza informatica. Tuttavia, ci sono molti aspetti in questa affermazione, poiché i nostri dipendenti sono una parte vitale del successo della nostra organizzazione; invece di attribuire le colpe, dobbiamo distinguere il malevolo dall’accidentale, individuando il primo e prevenendo il secondo.

Grazie a una formazione mirata sulla consapevolezza della sicurezza, è possibile mitigare i fattori umani che portano a fallimenti umani. Ecco come e perché il rischio di sicurezza informatica può essere gestito attraverso la consapevolezza della sicurezza.

Perché i fattori umani portano al rischio di sicurezza informatica

Il fattore umano nel rischio di sicurezza informatica è solitamente definito “minaccia insider”. Gli “insider” sono dipendenti e non dipendenti, come i consulenti. Il semplice fatto che gli insider siano parte integrante dei processi di un’organizzazione e che utilizzino le risorse informatiche con il loro permesso, rende difficile affrontare le carenze umane che portano al rischio di sicurezza informatica.

I rischi per la sicurezza informatica legati agli insider sono un problema importante: il rapporto 2020 Insider Threat di Cyber Security Insiders sottolinea che il 68% delle organizzazioni si sente “moderatamente o estremamente vulnerabile” alle minacce insider. Ciò non sorprende se si considerano alcune delle notizie più importanti dell’ultimo anno in materia di attacchi informatici, come l’hacking di Twitter del 2020, in cui sono stati violati account Twitter di alto profilo, tra cui quello di Barack Obama, e sono stati utilizzati per ingannare gli utenti di Twitter ed effettuare transazioni illecite in bitcoin. Si stima che le perdite si aggirino intorno ai 180 milioni di dollari (129 milioni di sterline) e che il 4% sia stato cancellato dal prezzo delle azioni di Twitter. L’hacking ha coinvolto i dipendenti di Twitter con azioni di spear-phishing e il furto di credenziali privilegiate.

I criminali informatici utilizzano il fattore umano per effettuare accessi non autorizzati, rubare credenziali e infettare i sistemi IT e gli endpoint con malware come il ransomware. Senza l’effetto “uomo nella macchina”, il crimine informatico sarebbe molto più difficile.

I fattori umani che portano ai fallimenti umani

Secondo una ricerca di IBM, le tre aree principali su cui concentrare l’attenzione quando si creano strategie di sicurezza per mitigare i rischi della sicurezza informatica sono:

  1. Phishing

  2. Scansione e sfruttamento

  3. Uso non autorizzato delle credenziali

Tutti e tre i vettori hanno un elemento che coinvolge il fattore umano a un certo punto della catena di attacco.

Phishing e Spear-phishing – fattori umani: Questo richiede che un bersaglio umano clicchi su un link o apra un allegato infetto per iniziare la catena di infezione. Spesso il phishing viene utilizzato per colpire gli utenti privilegiati (spear phishing) per carpire le loro credenziali. Gli utenti privilegiati hanno accesso a risorse più importanti: il furto di credenziali privilegiate è il calice d’oro dell’hacking. In questo caso, entra in gioco un fattore umano, come la risposta automatica al click.

Scansione ed exploit – fallimento umano: gli hacker usano tutto ciò che rende la vita facile e la possibilità di scansionare automaticamente le vulnerabilità è un utile vettore di infezione malware. I componenti dei sistemi IT, come server web, database e applicazioni cloud, possono essere configurati in modo errato se non si comprende appieno l’impatto di una scarsa sicurezza. Le app e i componenti web non sicuri generano falle di sicurezza che gli hacker possono sfruttare. In questo caso, il fallimento umano porta al rischio di sicurezza informatica.

Uso non autorizzato delle credenziali – errori umani e fattori umani: il furto di credenziali porta all’accesso non autorizzato a sistemi e risorse IT. I modi in cui le credenziali possono essere utilizzate senza autorizzazione includono:

  • Shoulder surfing: le credenziali vengono rubate quando un malintenzionato osserva qualcuno inserire una password.

  • Phishing: ingannare una persona affinché inserisca le credenziali di accesso in una pagina di login fasulla.

  • Social engineering: ingannare una persona per indurla a consegnare una credenziale di accesso al telefono, sui social media o utilizzando altri metodi di comunicazione, come e-mail, help desk e messaggi.

In tutti e tre i vettori di hacking di maggior successo, il fattore umano e il fallimento umano hanno un ruolo importante. Il rischio di sicurezza informatica si concentra nei nostri dipendenti e non, ma come possiamo ridurlo?

Le migliori pratiche per evitare che i fattori umani diventino fallimenti umani?

Uno studio di Kaspersky, che si è concentrato sul ruolo dei fattori umani nel rischio di sicurezza informatica, ha rilevato che il “personale disattento o disinformato” è la seconda causa più probabile di una grave violazione della sicurezza; l’infezione da malware è la prima, ma spesso è essa stessa causata da personale disattento o disinformato. Con gli alti livelli di rischio associati ai fattori umani, la riduzione dei fallimenti è fondamentale per mitigare il rischio di sicurezza.

Due sono le aree in cui si distinguono sia il personale negligente che quello disinformato:

Decisioni incaute che portano al fallimento della sicurezza: fare scelte di sicurezza sbagliate, come ad esempio configurare in modo errato i sistemi e i componenti IT o cliccare su un link di phishing prima di riflettere, sono fallimenti umani che portano a un aumento del rischio di sicurezza informatica. L’errata configurazione di sistemi e componenti IT è un esempio di decisione incauta in materia di sicurezza. Cliccare su un link di phishing è un altro. Sia il personale IT che quello non IT sono in grado di prendere decisioni incaute che portano a guasti alla sicurezza. Assicurarsi che tutto il personale, tecnico e non, sia consapevole dell’impatto delle proprie scelte è un modo fondamentale per mitigare il rischio di sicurezza informatica.

Personale non informato che porta al fallimento della sicurezza: se il personale non è consapevole delle proprie azioni, come può conoscere le conseguenze sulla sicurezza? Le aziende formano abitualmente il personale in altre aree aziendali e questo dovrebbe essere esteso alla formazione sulla sicurezza. La formazione del personale in materia di sicurezza comprende la comprensione del funzionamento del phishing e di altre comuni mancanze in materia di sicurezza, come la condivisione delle password e l’errata consegna delle e-mail. In particolare, secondo il Verizon Data Breach Investigation Report (DBIR), il recapito errato continua a salire come forma di errore umano.

Mitigare il fattore umano nel rischio della sicurezza informatica

Lo studio di Kaspersky ha identificato un elemento cruciale del fallimento umano nella sicurezza: la tendenza a nascondere gli errori. L’indagine ha rilevato che nel 40% delle aziende i dipendenti nascondono gli incidenti di sicurezza. Questo dato dovrebbe far suonare un campanello d’allarme e indurre le persone a intensificare la formazione in materia di sicurezza. Anche se il dipendente ha compreso le implicazioni di un evento di sicurezza, si è sentito in dovere di nascondere l’informazione. La domanda che sorge spontanea è perché, con una risposta in due parti:

Fare della sicurezza una cultura: può sembrare un cliché, ma se il concetto di sicurezza è radicato nella cultura aziendale, è meno probabile che il personale sia sopraffatto e spaventato quando succede qualcosa. La cultura della sicurezza si crea con la formazione di sensibilizzazione alla sicurezza, che aiuta a formare abitudini di sicurezza positive nei dipendenti.

Rendi facile la segnalazione di un incidente di sicurezza: gli incidenti devono essere segnalati, in modo che possano essere gestiti dal personale specializzato più adatto al livello di rischio. Un sistema di segnalazione, progettato per rendere la segnalazione super facile per i dipendenti, eliminerà il dolore della segnalazione degli incidenti e renderà più probabile la loro realizzazione.

I fattori umani portano a fallimenti umani. Attraverso la formazione sulla sicurezza informatica, le organizzazioni possono affrontare i comportamenti umani che causano errori e decisioni sbagliate, riducendo così il rischio di sicurezza informatica.

rischio di sicurezza informatica