Cybersicurezza e fattore umano sono più collegati di quanto si possa credere. Le persone sono indispensabili nella nella mitigazione del rischio informatico. Parla proprio di questo il nuovo white paper “Sicurezza informatica ed elemento umano – Rischi e interventi di mitigazione, ripartendo dalle persone” pubblicato da Cefriel, centro di innovazione digitale fondato dal Politecnico di Milano.
Il testo – a cura di Enrico Frumento, Cybersecurity Research Lead di Cefriel – spiega perché è fondamentale che le persone acquisiscano consapevolezza del proprio ruolo nei meccanismi di difesa e protezione aziendale e come intervenire affinché possano partecipare attivamente nella prevenzione e mitigazione degli attacchi informatici.
Come rilevato dal Barometro Cybersecurity 2023 – curato da NetConsulting cube in collaborazione con EUCACS e InTheCyber – la minaccia emergente legata all’intelligenza artificiale è accompagnata da alcuni gap nella gestione cyber che non sono ancora stati pienamente colmati, soprattutto nell’ambito della supply chain e degli ambienti OT e IoT. Il confronto tra il livello di maturità nei vari settori e la percentuale di attacchi cyber registrati in Europa e in Italia nel primo semestre 2023 indica come il settore della Pubblica Amministrazione sia ancora il più colpito dagli attacchi cyber, registrando il 19% degli attacchi in Italia e il 23% in Europa. Significativo anche il numero di attacchi subiti dal settore Industria (17%), che risulta essere più del doppio rispetto alla media europea (7%), a dimostrazione del fatto che molto ci sia ancora da fare per le industrie sugli aspetti di cybersicurezza. Tra i fattori critici su cui intervenire, secondo il rapporto Netconsulting, emergono in particolare la formazione e le risorse da destinare a investimenti in sicurezza informatica non sempre sufficienti, sebbene in crescita di oltre il 12% annuo.
Perché ripartire dall’elemento umano nelle strategie di cybersicurezza?
Allo stato attuale, gran parte del mercato della cybersicurezza si concentra sugli aspetti tecnici di un attacco, mentre si lavora poco sul cosiddetto “elemento umano”, centrale secondo il Global Risk Report di World Economic Forum, visto che i rischi legati al comportamento delle persone rappresentano quasi il 95% del totale.
“Nella cybersecurity”, spiega Enrico Frumento, Cybersecurity Research Lead di Cefriel, “le persone sono troppo spesso colpevolizzate nel momento in cui si verifica un incidente informatico, come se fossero solo un’altra fonte di rischio informatico di cui doversi occupare. Ma le persone non sono sistemi informatici e hanno quindi bisogno di soluzioni specifiche. Dovremmo ripartire dal chiederci come si può effettuare un’analisi delle minacce sulle persone, come può un’azienda calcolare il rischio cyber rappresentato da una persona e quanti sono i modi efficaci per ridurlo. In generale, come si possa ripensare la cybersicurezza a partire dal cosiddetto human-element. Su questo abbiamo ragionato scrivendo questo white paper”.
Quale approccio adottare per difendere e proteggere l’azienda?
Come approfondito nel white paper, le persone devono essere parte integrante e attiva del processo di difesa e protezione aziendale, con l’obiettivo ultimo di indurre un cambiamento comportamentale stabile nelle persone. Per fare questo, occorre affrontare la questione “elemento umano” della sicurezza informatica con un approccio multiculturale e olistico, che includa fattore umano, scienze umane, governance e tecnologie, per garantire nel tempo una cybersicurezza sostenibile sia in termini economici, sia di tecnologie, processi, persone e competenze.
“Posto che lo scopo di un aggressore è sempre lo stesso”, spiega Enrico Frumento, “attaccare una persona invece di un sistema IT implica un processo diverso che richiede la modifica della tattica di attacco, con il coinvolgimento dell’ingegneria sociale e delle scienze umane, come per esempio psicologia o scienze comportamentali e le teorie legate alla gestione e modellazione degli errori umani”.
I Social Driven Vulnerability Assessment, come ogni Vulnerability Assessment o Penetration Test, sono un campionamento estemporaneo del rischio cyber che perde validità al cambiamento di tantissime variabili: per questo si può ripartire da un modello di Human Risk Management per entrare nel paradigma della continuous security, ripartendo dalle persone.
La People Analytics – come sottolineato nel white paper – è un approccio che permette di ottimizzare il bisogno formativo individuale, collegandolo ai profili di rischio delle singole persone, nel pieno rispetto della normativa sulla protezione dei dati personali. In questo caso il vantaggio è quello di trasformare la formazione da strumento per la formazione professionale o la riqualificazione in strumento per la riduzione del rischio cyber in grado di aumentare la resilienza delle organizzazioni.