Si tratta di una delle vulnerabilità più conosciute e condivise: il fattore umano rischia di neutralizzare anche la miglior tecnologia adottata per la sicurezza delle reti informatiche. La buona notizie è che minimizzare il rischio è possibile.
Sappiamo che il rischio 0 non esiste, è pura illusione, ma ciò non significa che non sia possibile ottenere un livello di sicurezza che contempli il minor rischio possibile e soprattutto, lo renda accettabile. Dato che anche la miglior tecnologia non può nulla quando entra in gioco la fragilità del fattore umano, allora è necessario intervenire proprio su questo fronte.
Una tematica molto discussa, ampiamente analizzata, che si rivela ancora troppo spesso sottovalutata. La risposta, purtroppo, non può essere semplice da individuare quando entrano in gioco fattori personali e soggettivi, emozioni, background culturali, limiti e capacità differenti. Non tutti gli esseri umani infatti reagiscono allo stesso modo in ogni momento. Così la gestione organizzativa delle risorse umane rimane un punto cruciale nella sicurezza informatica, ancora lontana da standard uniformi e fortemente influenzata dalla realtà aziendale vissuta.
Come gestire le minacce interne.
Parlare di fattore umano in questo contesto equivale a ragionare sulle minacce interne. Queste infatti riguardano i rischi che derivano da azioni all'interno dell'infrastruttura di rete aziendale, dagli utenti autorizzati a più livelli ad accedere alle differenti risorse. Il personale dipendente è anche preso di mira dagli stessi hacker proprio nel tentativo di individuare l'anello debole che permetta l'accesso al sistema. Nei casi più sofisticati ed elaborati, i criminali informatici mettono in atto una vera e propria attività di spionaggio al fine di avvicinare il personale e carpire i dati di accesso. La consapevolezza della centralità del fattore umano è cresciuta negli ultimi anni portando all'impelemntazione di politiche di sensibilizzazione e di formazione specifiche. Il contributo in tal senso è arrivato da più parti, e ha visto entrare in scena le discipline più diverse: statistica, psicologia, ingegneria, intelligenza artificiale. Nonostante ciò, il successo delle tecniche di ingegneria sociale rimane altissimo.
Ampliare lo sguardo.
Appare così evidente, ma non scontato, che gli sforzi nel settore della cyber security non vadano indirizzati solo nel senso della tecnologia ma debbano abbracciare anche, e soprattutto, il fattore umano. Trattandosi di una criticità che non può essere eliminata deve almeno essere gestita al meglio. Partendo da una fotografia realistica di tutta l'organizzazione si può identificare le criticità maggiori e la provenienza di eventuali minacce interne: può trattarsi della violazione di un regolamento piuttosto che di un attacco phishing oppure l'accesso a reti non sicure. Identificare le possibili minacce permette anche di intraprendere azioni più mirate e possibilità di controllo per interventi rapidi.
Come mitigare il rischio.
Alcuni tra i più famosi e importanti attacchi hacker in termini di dati rubati ha avuto orgine proprio da debolezze umane. E' il caso dell'attacco a Sony del 2014 che ha portato alla divulgazione di 100 Terabyte di dati, partito da una e-mail di phishing. Come anche il più recente caso di WannaCry del 2017, anch'esso partito da alcune e-mail di phishing.
Intervenire in questo senso è possibile a partire dalla motivazione e dalla consapevolezza del personale. Attuare strategie interne di policy e di formazione mirata a rendere consapevoli dei rischi che determinati comportamenti possono causare, in termini di danni all'azienda per la quale si lavora e che possono mettere a rischio la stessa occupazione. Molte volte si riscontra una certa difficoltà a percepire il reale potenziale di danno per i non addetti al settore, e proprio su questa percezione potrebbe rivelarsi utile focalizzarsi.
Se oggi tra l'80% e il 90% degli attacchi hanno origine attraverso errori umani dovuti a disattenzione o disinformazione, il fattore umano, quindi proprio i dipendenti possono diventare la prima linea di difesa contro le minacce informatiche per le organizzazioni.
Il programma di security Awarness.
Creare un programma di Security Awarness si conferma dunque un passo fondamentale. Si tratta di definire in primo luogo degli obiettivi accettabili che tengano conto del livello di conoscenze da acquisire e del tempo speso nella formazione per fare in modo che le competenze raggiungibili siano in linea con il ruolo in azienda. Questo evita uno spreco di risorse nel tentativo di formare oltre il necessario o non sufficientemente. Il monitoraggio periodico permette di testare il livello acquisito e l'andamento delle pratiche adottate mentre un approccio ludico potrebbe aumentare il coinvolgimento con sfide ed esercizi che permettono il confronto e la condivisione con gli altri, generando dinamiche di gruppo utili anche nella vita quotidiana.
