Di security awareness si parla spesso, ma sicuramente non abbastanza (o non nel modo giusto) visto che ancora oggi il 95% degli attacchi ha successo a causa di problemi legati a comportamenti umani non allineati con quelli che una solida policy di sicurezza IT prevede.
Il dato è fornito dalla società Cybint, la quale precisa che i criminali informatici e gli hacker si infiltrano nelle aziende sempre attraverso l’anello più debole della catena della sicurezza, che non si trova quasi mai nel dipartimento IT. E siccome un’azienda impiega in media sei mesi a scoprire di aver subito un data breach, concede ai criminali informatici 180 giorni per muoversi liberamente all’interno della propria rete e individuare tutti i dati più interessanti, sia quelli strategici per il business dell’azienda stessa sia quelli personali dei dipendenti.
Questo si traduce in un danno enorme in termini economici e, forse ancor più importante, d’immagine, cui non è facile rimediare. Ma come è possibile che ciò accada ancora dato che oggi tutti sono consapevoli dei problemi legati alla cybersecurity?
Questione di percezione
Alla base del successo degli attacchi dei criminali informatici c’è un punto fondamentale. “Per la gran parte delle persone il rischio percepito è puramente ipotetico o nettamente inferiore alla realtà – sostiene Domenico Rotundo, Specialist in ambito Security di Data Networking Consulting (DNC) –. Il fattore umano continua a essere l’anello debole sfruttato dagli hacker. Per incrementare la sicurezza informatica e difendersi da attacchi, le organizzazioni si sono rese conto che è anche necessario educare i propri dipendenti e aggiornarli in merito alle nuove tecniche messe in atto dai cyber criminali”.
Who's Who
Carlo bertoni
In questo un ruolo fondamentale lo riveste la security awareness, ovvero il livello di consapevolezza che i membri di un’organizzazione hanno nei confronti della protezione dei beni fisici e, soprattutto, della protezione dei dati aziendali di tale organizzazione. Per fornirla in modo adeguato, le aziende sempre più spesso puntano sull’informazione e sulla formazione. L’idea alla base è di motivare le persone a considerare più seriamente la sicurezza delle informazioni aziendali e a rispondere al meglio a qualsiasi minaccia, reale o potenziale. “L’azienda dovrebbe far comprendere ai dipendenti che è nel loro interesse preservare i dati critici – sottolinea Rotundo – perché se l’azienda subisce un attacco, tutte le persone che ne fanno parte subiscono le conseguenze. La sicurezza delle informazioni dovrebbe perciò essere parte integrante del lavoro quotidiano di ognuno e dovrebbe richiedere aggiornamento, consapevolezza e responsabilità individuale. È un vantaggio per tutti salvaguardare il business perché si mantiene florido il conto economico da cui provengono gli stipendi”.
Manager e dirigenti: gli obiettivi primari
Quando si parla di security awareness non va tralasciato il fatto che gli obiettivi primari di attacchi, sotto forma di spear phishing e Advanced Persistent Threat (APT), sovente sono i più alti livelli del management di un’azienda. Per fronteggiare tali tipi di attacchi è fondamentale disporre di un’adeguata formazione sulla sicurezza delle informazioni. “Se l’utente è l’anello debole della catena della sicurezza aziendale – puntualizza Rotundo – spesso dirigenti e manager sono la parte più vulnerabile di tale anello”. Questo perché il top management utilizza un buon numero di dispositivi di differenti tecnologie all’interno dei quali memorizza informazioni aziendali strategiche, come documenti riservati, segreti industriali, dati sensibili e credenziali d’accesso. Per non parlare poi di tutta la posta elettronica, l’instant messaging e gli SMS. Un vero tesoro per i criminali informatici, i quali possono anche sfruttare il frequente ricorso, per l’accesso a Internet, a infrastrutture pubbliche o hotspot privati senza alcuna garanzia di protezione per eludere la sicurezza perimetrale e infiltrarsi senza grandi problemi nella rete aziendale.
L’incremento dello smart working causato dall’emergenza da Covid-19 ha portato per altro molti dipendenti a usare i device personali per accedere alla rete aziendale. Device che molto spesso non sono in linea con le policy di sicurezza aziendali: non dispongono di un antivirus o di un firewall, non hanno applicate le patch di sicurezza per il sistema operativo e per i software, usano applicazioni installate senza alcun controllo. Inoltre, le password di accesso sono troppo semplici e, in molti casi, non vi è una separazione tra gli account che usano tale device. Con dispositivi come questi, per i cyber criminali è un gioco da ragazzi penetrare nella rete aziendale.
“Gli sforzi per aumentare il livello di sicurezza IT dovrebbero iniziare da una corretta educazione – afferma Domenico Rotundo –. Tutti dovrebbero intraprendere un percorso di formazione alla sicurezza informatica: dai professionisti IT ai leader aziendali, dai dipendenti ai collaboratori esterni, tenendo sempre le applicazioni al centro. L’IT può aiutare introducendo concetti sempre più stringenti sulla libertà di movimento all’interno dei dati aziendali, andando a chiudere quanto più possibile in ottemperanza ai principi SOD e nel rispetto della continuità aziendale. Per esempio, noi come DNC da anni non rilasciamo più ampi privilegi nei sistemi produttivi cliente nemmeno alle utenze tecniche o RFC, mentre molti ERP, come SAP, hanno investito su strumenti di password policy e procedure di gestione delle stesse, sulla salvaguardia delle informazioni personali e il riconoscimento dei tentativi di intrusione e truffa”.
“Come facevo a saperlo, non sono un tecnico”
Un altro aspetto da considerare quando si parla di security awareness è la tranquillità dell’utente di non dover pagare pegno per gli eventuali errori commessi che hanno causato un data breach. L’utente tipicamente si trincera dietro al paravento del “come facevo a saperlo, non sono un tecnico”.
A onor del vero, è spesso la frenesia dovuta alle innumerevoli attività quotidiane a portare a commettere disattenzioni e a consentire che un attacco alla sicurezza abbia successo. D’altro canto, a peggiorare la situazione si aggiunge una concausa: la consapevolezza dell’utente di che non sarà ritenuto responsabile per quanto accaduto a fronte delle sue incaute azioni. Inoltre, l’utente sa che comunque l’help desk gli risolverà il problema e lo farà ovviamente a costo zero e con la massima velocità possibile. “Questa problematica – precisa Rotundo – viene in parte mitigata con tutti i moderni sistemi ERP dove l’accountability delle azioni ha sempre maggior peso, univocità degli accessi e tracciature auditabili delle attività sono processi che sempre più sono ritenuti fondamentali nella riuscita di qualsiasi progetto”.
Come ottenere un’efficace security awareness
Un buon programma di security awareness deve coinvolgere tutto il personale nell’evolversi di pari passo con quello che è lo sviluppo delle moderne tecnologie digitali e nel comprendere le più comuni tipologie di minacce e attacchi. “Uno dei principali messaggi da veicolare – conclude Rotundo – è che la sicurezza delle informazioni deve essere parte integrante del lavoro quotidiano di ognuno”. Per questo deve essere ben chiaro quali conseguenze economiche e di immagine per l’organizzazione può avere un attacco andato a buon fine. I dipendenti dell’azienda dovrebbero saper riconoscere le principali minacce e anche sapere come comportarsi di conseguenza. Questo potrebbe essere verificato con dei test pratici. La formazione, poi, dovrebbe essere mirata in funzione delle competenze e più frequente possibile, in modo da tenere sempre aggiornati gli utenti sulle più diffuse e temibili minacce. E tutto questo dovrebbe avvenire con un adeguato supporto del management.
Immagine da Shutterstock