La sicurezza informatica è una responsabilità di tutti. Come esseri umani, siamo naturalmente cooperativi e prosperiamo grazie alla collaborazione e al successo condiviso. Questo senso di unione non solo rafforza le nostre comunità, ma è anche fondamentale per costruire organizzazioni solide ed efficienti di fronte alle crescenti minacce informatiche.
In questo articolo analizzeremo come i dipendenti svolgano un ruolo cruciale nelle strategie di sicurezza efficaci e contribuiscano alla gestione del rischio umano. Discuteremo dell'importanza di promuovere una cultura aziendale in cui la sicurezza informatica sia considerata una responsabilità collettiva e di come l'impegno comune possa contribuire a creare un'organizzazione sicura dal punto di vista informatico. Tuttavia, per raggiungere questo obiettivo sono necessarie una pianificazione e una preparazione accurate per garantire che tutti comprendano il proprio ruolo nel moderno controllo delle minacce alla sicurezza informatica.
La sicurezza informatica non è solo tecnologia
Gli aggressori di sicurezza cercano un giro facile; dopo tutto, perché rendersi la vita difficile? Il "giro facile" si presenta sotto forma di scenari di attacco alla sicurezza informatica che fanno uso di un essere umano, di solito un dipendente o un socio d'affari, per aprire la porta della rete aziendale.
Di solito, i criminali informatici usano tecniche di ingegneria sociale e phishing per entrare nella rete, e una volta dentro, i cyber-attaccanti possono banchettare con i dati, installare ransomware e causare il caos generale.
I ricercatori della Stanford University hanno scoperto che l'88% delle violazioni della sicurezza ha un elemento di errore umano con i dipendenti che spesso non sono disposti ad ammettere gli errori. Il rapporto ha anche identificato le e-mail di phishing come la causa del 25% delle violazioni, con le truffe di phishing che catturano i dipendenti utilizzando l'ingegneria sociale e i trucchi psicologici per manipolare il comportamento.
Oltre al successo dell'elemento umano negli attacchi informatici, è stato dimostrato che gli strumenti di sicurezza tradizionali, come i software antivirus, sono efficaci solo al 50% nel rilevare le minacce. Questa doppia sfida dell'ingegneria sociale, unita a tecnologie di sicurezza efficaci meno del 100%, ha portato i team IT a capire che è necessario un approccio più olistico per proteggere le risorse.
I professionisti della sicurezza sanno invece che per affrontare gli attacchi informatici devono incorporare un mix di formazione alla consapevolezza della sicurezza e misure tecnologiche guidate da una solida applicazione delle policy.
In definitiva, tutti in un'organizzazione hanno un ruolo da svolgere per creare uno strato protettivo contro gli attacchi informatici. L'uso di cinque valori fondamentali aiuta a cementare la responsabilità di tutti all'interno di un'azienda.
Creare una mentalità di sicurezza informatica responsabile attraverso cinque valori fondamentali
Riconoscendo che la sicurezza informatica è responsabilità di tutti e che i dipendenti sono una parte cruciale di un'efficace strategia di sicurezza informatica porta al concetto di firewall umano. Questa è un'idea che si basa sul permettere ai dipendenti di agire come uno scudo contro le minacce informatiche incentrate sull'uomo.
I dipendenti sono un bersaglio dei criminali informatici che cercano vie facili per entrare in un'organizzazione. Una responsabilità efficace e perseguibile richiede gli strumenti per proteggersi dagli attacchi che si concentrano sui dipendenti; un dipendente responsabilizzato riduce la probabilità di un attacco di successo.
Costruire un robusto firewall umano richiede un cambiamento di mentalità. Questo cambio di mentalità crea una cultura della sicurezza informatica, costruita su una buona educazione alla sicurezza e su strumenti e misure che forniscono ai dipendenti e ad altri non dipendenti i mezzi per aiutare a rilevare e affrontare il phishing e altre truffe come il Business Email Compromise (BEC).
Questa mentalità di sicurezza è sostenuta dal National Institute of Standards and Technology (NIST). Una pubblicazione del NIST del 2018 "La sicurezza è il lavoro di tutti" stabilisce cinque valori fondamentali che vengono utilizzati per creare una cultura della sicurezza informatica che il NIST ritiene "critica" per una postura di successo della sicurezza informatica:
1/ Mentalità
Il NIST afferma che una cultura della sicurezza informatica è fondamentale per permeare l'intera organizzazione con una mentalità security-first. Questa pietra fondamentale della sicurezza aziendale prepara la scena per una migliore sicurezza attraverso la consapevolezza dei trucchi e delle truffe che portano all'esposizione dei dati, ransomware e altre violazioni della sicurezza.
2/ Leadership
Il tono per la responsabilità della sicurezza deve venire dall'alto per incoraggiare e far rispettare la mentalità della sicurezza necessaria per contrastare gli attacchi informatici.
Questa leadership dall'alto verso il basso nella sicurezza si sta formalizzando, dato che Gartner, Inc. prevede che "entro il 2025, il 40% dei consigli di amministrazione avrà un comitato dedicato alla sicurezza informatica supervisionato da un membro qualificato del consiglio". I leader dovrebbero dare l'esempio e agire per influenzare e modellare le buone abitudini di sicurezza.
3/ Formazione e sensibilizzazione
Il NIST riconosce che un elemento fondamentale di un'organizzazione sicura è l'implementazione della formazione di sensibilizzazione alla sicurezza. Istruendo i dipendenti sui trucchi dell'ingegneria sociale e addestrandoli a individuare le e-mail di phishing, i dipendenti possono "sbattere la porta della minaccia informatica" in faccia ai criminali informatici.
4/ Gestione delle performance
Gli obiettivi dell'organizzazione devono allinearsi con quelli delle prestazioni individuali. Il NIST suggerisce di usare incentivi e disincentivi per aiutare a modificare un comportamento di scarsa sicurezza informatica.
5/ Rafforzamento tecnico e aziendale
Le misure tecniche, come l'autenticazione a più fattori (MFA) e le politiche sulle password dovrebbero essere usate per aumentare e far rispettare una buona igiene di sicurezza.
La sicurezza informatica è responsabilità di tutti
La sicurezza informatica è una responsabilità di tutti. Ma quando si rende qualcuno responsabile di qualcosa, bisogna dargli gli strumenti per agire su quella responsabilità.
Per iniziare il processo di diventare un'organizzazione cyber-responsabile, un'impresa deve creare una cultura in cui la sicurezza sia una seconda natura. Gli esseri umani sono naturalmente cooperativi, e un senso di responsabilità può essere coltivato implementando i cinque valori fondamentali del NIST, come mostrato sopra.
Questi valori vi permettono di sottolineare e imporre un senso di responsabilità per la sicurezza informatica e di fornire ai dipendenti i mezzi per soddisfare tale responsabilità e agire come una forza combinata contro gli attacchi di ingegneria sociale.
