L’anello debole della catena: il fattore umano

L’offerta dei sistemi tecnici di difesa, hardware e software, cresce in modo esponenziale, al pari del numero dei Cyber attacchi.

Ogni sistema si aggiorna rispetto alle più recenti innovazioni: intelligenza artificiale, machine learning & Big Data.

Il vecchio modello era fondato sugli Antivirus e Antispam ed era fatto di strumenti di protezione su comunicazioni già pervenute entro il perimetro aziendale, principalmente, attraverso le e-mail

Il nuovo si è spostato al di fuori di esso, attraverso sofisticati firewall, combinazione di tecnologie hardware e software che filtrano all’ingresso le comunicazioni: URL, indirizzi IP e file allegati.

Perché allora i data breach sono ancora così frequenti?

Viene da chiedersi come mai, a fronte di sistemi di difesa sempre più sofisticati, i data breach, ossia l’intenzionale o l’involontario rilascio di dati privati o confidenziali a soggetti non autorizzati, siano ancora così frequenti. Va premesso che statistiche che descrivano in modo preciso l’evoluzione del fenomeno non sono disponibili, essendo tuttora la denuncia dei data breach non obbligatoria.

Tuttavia, come riportato dall’organizzazione ITRC, il cui scopo è quello di ampliare l’educazione pubblica e la consapevolezza sui temi della sicurezza informatica, delle truffe online e dei problemi legati alla privacy, le brecce seppure in riduzione come numero di singoli eventi sono in forte aumento come numero di record coinvolti.

La risposta sul persistere dei data breach sta fuori dalla tecnologia, la vulnerabilità risiede nell’anello debole della catena protettiva: il fattore umano.

Quali sono i limiti delle protezioni tecniche rispetto ai comportamenti umani?

Esiste una protezione tecnica tale da mettere l’azienda al riparo da qualsiasi attacco Cyber e dai rischi dei comportamenti umani?

La risposta è no: il rischio può di certo essere ridotto, ma non azzerato completamente.

Rispetto poi all’interferenza del fattore umano, il cuore del problema sta in due parole magiche dell’informatica: “privilegio” e “segregazione”:

  • Un utente finale “segregato” è sostanzialmente un utente senza libertà di accesso agli account aziendali e alla comunicazione digitale con l’esterno, sia in uscita che in entrata.

Un utente “segregato” diventa inattaccabile sul fronte Cyber, semplicemente perché non ha alcuna connessione digitale.

Questo tipo di utente in realtà non esiste più, se non in particolari settori del business della Difesa e dell’Intelligence; la digital transformation del business si fonda proprio su una apertura verso il mondo esterno.

Anche se l’azienda riuscisse nell’intento di segregarlo, al dipendente rimarrebbero comunque aperte le porte delle connessioni digitali attraverso i dispositivi personali.

Neanche la “segregazione” dei dispositivi o degli strumenti personali da quelli aziendali è poi realizzabile con facilità, si pensi a tutti gli usi inappropriati di Whatsapp.

  • All’opposto l’utente finale con “privilegi” informatici può avere accesso in ingresso ed in uscita a diverse piattaforme di comunicazione digitale.

Questa dei privilegi è la realtà attuale delle aziende, con una allocazione degli stessi in base alla funzione aziendale dell’utente.

È evidente, alla luce di quanto detto, che il rischio zero di breccia è impossibile e che l’utente finale non può essere completamente segregato.

Come mitigare la vulnerabilità del fattore umano?

Per rispondere dobbiamo prima distinguere tra i comportamenti malevoli dei dipendenti e quelli che per inconsapevolezza, scarsa attenzione e non rispetto delle procedure, portano ai data breach.

Le scienze comportamentali, applicate al rispetto della Compliance alle procedure aziendali, si sono notevolmente sviluppate negli ultimi anni, soprattutto nei settori che comportano dei rischi per l’azienda.

L’ambiente dei rischi per la Cyber Security ha però notevoli peculiarità, essendo legato alla dimensione dei comportamenti personali digitali sulle piattaforme social dei dispositivi mobili.

Poiché l’ambito Cyber è per definizione tecnico, le campagne di Awareness restano centrali e costituiscono un prerequisito di conoscenza minimale dei rischi, in un ambiente ad alto tasso di innovazione.

L’incremento delle conoscenze tecniche Cyber va però innestato su campagne formative che lavorino sulla sensibilizzazione degli utenti e sulla loro percezione del rischio.

I docenti e i programmi di e-learning dovrebbero tenere in considerazione le molteplici distorsioni cognitive (bias) che sistematicamente influenzano il ragionamento e il comportamento umano.

Ci limiteremo a segnalare l’“Illusion of control bias”, uno dei molteplici bias legati alla percezione del rischio, con importanti conseguenze sulla Cyber Security.

Una buona formazione è cruciale e deve prima di tutto combattere questi errori del ragionamento e favorire una responsabilizzazione e una corretta percezione del rischio dell’utente finale, la sola awareness tecnica non basta.

Scarica

Scarica la nostra guida gratuita

con i 10 comportamenti dei tuoi dipendenti che mettono a serio rischio la tua azienda per prevenire truffe informatiche come questa.
Scarica