Gli esseri umani sono una specie naturalmente cooperativa. Ci sentiamo a nostro agio collaborando con gli altri e lavorando insieme a progetti di successo. Questa cooperazione, questo sentimento di unione, aiuta a costruire società più solide e più scorrevoli.
Unire le forze, in una sola direzione, è anche qualcosa che può aiutare a costruire un'organizzazione cyber-sicura. Tuttavia, far capire a tutti che questa responsabilità condivisa è la realtà del moderno controllo delle minacce alla sicurezza informatica è un'altra questione.
Per arrivare a un punto in cui possiamo affrontare il crescente assalto di attacchi informatici, un'impresa ha bisogno di instillare il senso che la sicurezza informatica è responsabilità di tutti. Tuttavia, come rendere questo una realtà ha bisogno di qualche riflessione e preparazione.
La sicurezza informatica non è solo tecnologia
Gli aggressori di sicurezza cercano un giro facile; dopo tutto, perché rendersi la vita difficile? Il "giro facile" si presenta sotto forma di scenari di attacco alla sicurezza informatica che fanno uso di un essere umano, di solito un dipendente o un socio d'affari, per aprire la porta della rete aziendale.
Di solito, i criminali informatici usano tecniche di ingegneria sociale e phishing per entrare nella rete, e una volta dentro, i cyber-attaccanti possono banchettare con i dati, installare ransomware e causare il caos generale.
Iricercatori della Stanford University hanno scoperto che l'88% delle violazioni della sicurezza ha un elemento di errore umano con i dipendenti che spesso non sono disposti ad ammettere gli errori. Il rapporto ha anche identificato le e-mail di phishing come la causa del 25% delle violazioni, con le truffe di phishing che catturano i dipendenti utilizzando l'ingegneria sociale e i trucchi psicologici per manipolare il comportamento.
Ad aggravare il successo dell'elemento umano negli attacchi informatici, gli strumenti di sicurezza tradizionali come il software anti-virus hanno dimostrato di essere efficaci solo al 50% nel rilevare le minacce. Questo doppio problema dell'ingegneria sociale, unito a tecnologie di sicurezza meno efficaci del 100%, ha portato i team IT a capire che hanno bisogno di un approccio più olistico per proteggere le risorse.
Invece, i professionisti della sicurezza sanno che per affrontare gli attacchi informatici devono incorporare un mix di formazione sulla consapevolezza della sicurezza e misure tecnologiche guidate da una robusta applicazione delle politiche.
In definitiva, tutti in un'organizzazione hanno un ruolo da svolgere per creare uno strato protettivo contro gli attacchi informatici. L'uso di cinque valori fondamentali aiuta a cementare la responsabilità di tutti all'interno di un'azienda.
Creare una mentalità di sicurezza informatica responsabile attraverso cinque valori fondamentali
Riconoscendo che la sicurezza informatica è responsabilità di tutti e che i dipendenti sono una parte cruciale di un'efficace strategia di sicurezza informatica porta al concetto di firewall umano. Questa è un'idea che si basa sul permettere ai dipendenti di agire come uno scudo contro le minacce informatiche incentrate sull'uomo.
I dipendenti sono un bersaglio dei criminali informatici che cercano vie facili per entrare in un'organizzazione. Una responsabilità efficace e perseguibile richiede gli strumenti per proteggersi dagli attacchi che si concentrano sui dipendenti; un dipendente responsabilizzato riduce la probabilità di un attacco di successo.
Costruire un robusto firewall umano richiede un cambiamento di mentalità. Questo cambio di mentalità crea una cultura della sicurezza informatica, costruita su una buona educazione alla sicurezza e su strumenti e misure che forniscono ai dipendenti e ad altri non dipendenti i mezzi per aiutare a rilevare e affrontare il phishing e altre truffe come il Business Email Compromise (BEC).
Questa mentalità di sicurezza è sostenuta dal National Institute of Standards and Technology (NIST). Una pubblicazione del NIST del 2018 "La sicurezza è il lavoro di tutti" stabilisce cinque valori fondamentali che vengono utilizzati per creare una cultura della sicurezza informatica che il NIST ritiene "critica" per una postura di successo della sicurezza informatica:
Valore fondamentale uno - Mentalità
Il NIST afferma che una cultura della sicurezza informatica è fondamentale per permeare l'intera organizzazione con una mentalità security-first. Questa pietra fondamentale della sicurezza aziendale prepara la scena per una migliore sicurezza attraverso la consapevolezza dei trucchi e delle truffe che portano all'esposizione dei dati, ransomware e altre violazioni della sicurezza.
Valore fondamentale due - Leadership
Il tono per la responsabilità della sicurezza deve venire dall'alto per incoraggiare e far rispettare la mentalità della sicurezza necessaria per contrastare gli attacchi informatici.
Questa leadership dall'alto verso il basso nella sicurezza si sta formalizzando, dato che Gartner, Inc. prevede che "entro il 2025, il 40% dei consigli di amministrazione avrà un comitato dedicato alla sicurezza informatica supervisionato da un membro qualificato del consiglio". I leader dovrebbero dare l'esempio e agire per influenzare e modellare le buone abitudini di sicurezza.
Valore fondamentale tre - Formazione e consapevolezza
Il NIST riconosce che un elemento fondamentale di un'organizzazione sicura è l'implementazione di un Security Awareness Training. Educando i dipendenti sui trucchi di ingegneria sociale e addestrandoli a individuare le e-mail di phishing, i dipendenti possono "sbattere la porta della minaccia informatica" in faccia al criminale informatico.
Valore fondamentale quattro - Gestione delle prestazioni
Gli obiettivi dell'organizzazione devono allinearsi con quelli delle prestazioni individuali. Il NIST suggerisce di usare incentivi e disincentivi per aiutare a modificare un comportamento di scarsa sicurezza informatica.
Valore fondamentale cinque - Rafforzamento tecnico e politico
Le misure tecniche, come l'autenticazione a più fattori (MFA) e le politiche sulle password dovrebbero essere usate per aumentare e far rispettare una buona igiene di sicurezza.
Cyber-Safety attraverso la Cyber-Responsabilità
La sicurezza informatica è una responsabilità di tutti. Ma quando si rende qualcuno responsabile di qualcosa, bisogna dargli gli strumenti per agire su quella responsabilità.
Per iniziare il processo di diventare un'organizzazione cyber-responsabile, un'impresa deve creare una cultura in cui la sicurezza sia una seconda natura. Gli esseri umani sono naturalmente cooperativi, e un senso di responsabilità può essere coltivato implementando i cinque valori fondamentali del NIST, come mostrato sopra.
Questi valori vi permettono di sottolineare e imporre un senso di responsabilità per la sicurezza informatica e di fornire ai dipendenti i mezzi per soddisfare tale responsabilità e agire come una forza combinata contro gli attacchi di ingegneria sociale.
