Cefriel presenta “Sicurezza informatica ed elemento umano” e analizza e le correlazioni tra uomo e security e propone un approccio alla mitigazione dei rischi. Cybersecurity Research Lead di Cefriel, pubblicato dal centro di innovazione digitale Politecnico di Milano, è curato da Enrico Frumento. In esso si spiega perché è fondamentale che le persone acquisiscano consapevolezza del proprio ruolo nei meccanismi di difesa e protezione aziendale. Inoltre illustra come intervenire affinché possano partecipare attivamente nella prevenzione e mitigazione degli attacchi informatici.
Elemento umano e sicurezza IT: il livello di maturità
Come rilevato dal Barometro Cybersecurity 2023 , curato da NetConsulting cube in collaborazione con EUCACS e InTheCyber, la minaccia emergente legata all’intelligenza artificiale è accompagnata da alcuni gap nella gestione cyber. Gap non ancora pienamente colmati, soprattutto nell’ambito della supply chain e degli ambienti OT e IoT. Il confronto tra il livello di maturità nei vari settori e la percentuale di attacchi cyber registrati in Europa e in Italia nel primo semestre 2023 indica come il settore della Pubblica Amministrazione sia ancora il più colpito dagli attacchi cyber, con il 19% in Italia e il 23% in Europa.
In Italia il più colpito è il comparto industria
Significativo anche il numero di attacchi subiti dal settore Industria (17%), che risulta essere più del doppio rispetto alla media europea (7%). Questo dimostra che molto ci sia ancora da fare per le industrie sugli aspetti di cybersecurity. Tra i fattori critici su cui intervenire, secondo Netconsulting, la formazione e le risorse da destinare a investimenti in sicurezza informatica non sempre sufficienti, sebbene in crescita di oltre il 12% annuo.
Perché ripartire dall’elemento umano nelle strategie di cybersecurity?
Allo stato attuale, gran parte del mercato della sicurezza informatica si concentra sugli aspetti tecnici di un attacco, mentre si lavora poco sul cosiddetto “elemento umano”. Elemento centrale secondo il Global Risk Report di World Economic Forum, visto che i rischi legati al comportamento delle persone rappresentano quasi il 95% del totale.
Elemento umano e sicurezza IT
Enrico Frumento, Cybersecurity Research Lead di Cefriel
Nella cybersecurity le persone sono troppo spesso colpevolizzate nel momento in cui si verifica un incidente informatico. Come se fossero solo un’altra fonte di rischio informatico di cui doversi occupare. Ma le persone non sono sistemi informatici e hanno quindi bisogno di soluzioni specifiche.Dovremmo ripartire dal chiederci come si può effettuare un’analisi delle minacce sulle persone, come può un’azienda calcolare il rischio cyber rappresentato da una persona e quanti sono i modi efficaci per ridurlo. In generale, come si possa ripensare la security a partire dal cosiddetto human-element. Su questo abbiamo ragionato scrivendo questo white paper.
Quale approccio adottare?
Come approfondito nel white paper, le persone devono essere parte integrante e attiva del processo di difesa e protezione aziendale, con l’obiettivo ultimo di indurre un cambiamento comportamentale stabile nelle persone. Per fare questo, occorre affrontare la questione “elemento umano” della sicurezza informatica con un approccio multiculturale e olistico. Approccio che include fattore umano, scienze umane, governance e tecnologie, per garantire nel tempo una cybersecurity sostenibile sia in termini economici, sia di tecnologie, processi, persone e competenze.
Modificare la tattica di attacco
Enrico Frumento
Posto che lo scopo di un aggressore è sempre lo stesso, attaccare una persona invece di un sistema IT implica un processo diverso. Un processo che richiede la modifica della tattica di attacco, con il coinvolgimento dell’ingegneria sociale e delle scienze umane, come per esempio psicologia o scienze comportamentali e le teorie legate alla gestione e modellazione degli errori umani.
Elemento umano e sicurezza IT: come mitigare i rischi
I Social Driven Vulnerability Assessment, come ogni Vulnerability Assessment o Penetration Test, sono un campionamento estemporaneo del rischio cyber che perde validità al cambiamento di tantissime variabili. Per questo si può ripartire da un modello di Human Risk Management per entrare nel paradigma della continuous security, ripartendo dalle persone.
I profili di rischio
People Analytics è un approccio che permette di ottimizzare il bisogno formativo individuale, collegandolo ai profili di rischio delle singole persone. E questo nel pieno rispetto della normativa sulla protezione dei dati personali. In questo caso il vantaggio è quello di trasformare la formazione da strumento per la formazione professionale o la riqualificazione in strumento per la riduzione del rischio cyber in grado di aumentare la resilienza delle organizzazioni.