minacce interne

Cyber security, come neutralizzare il “fattore umano”: le strategie possibili

Il fattore umano resta una delle insidie di più difficile gestione da parte delle imprese. Nonostante i tentativi di dar vita a software molto sofisticati, la gestione della “minaccia interna” rimane, a tutt’oggi, sostanzialmente ancora un’arte i cui aspetti precipui sono ancora ben lungi da poter essere sistematizzati

25 Gen 2022
Antonio Guzzo

Funzionario Informatico INAPP, in comando presso Agenzia delle Entrate Regione Basilicata

Achille Pierre Paliotta

Ricercatore INAPP

sicurezza informatica

Lo studio della variabile “fattore umano” nel campo della sicurezza cibernetica, seppur tra quelle più temute dalle imprese e tra quelle più utilizzate dagli attori malevoli, rimane a tutt’oggi una tematica sicuramente complessa, spesse volte sottovalutata e soprattutto di non facile gestione operativa, come si è avuto modo di sottolineare in un precedente articolo.

Non esiste, infatti, una sola risposta organizzativa oppure una facile soluzione a tale annoso quesito. L’elenco dei fattori che possono influenzare la sicurezza informatica, in relazione alle prestazioni lavorative dei dipendenti, è molto ampio: comprende una vasta gamma di situazioni che influenzano le persone in modo molto diverso, poiché gli esseri umani non hanno tutti le stesse capacità, forze, debolezze o limitazioni.

Violazioni di dati, se la minaccia viene dall’interno: come limitare i danni

L’importanza del fattore umano nei contesti organizzativi

Come diretto antecedente si può citare, nelle scienze sociali, l’effetto Hawthorne, un esperimento condotto da George Elton Mayo, che durò dal 1928 al 1932, in cui vennero esaminati gli effetti dell’illuminazione sulla produttività dei lavoratori. In questo senso, tale effetto ipotizza che i fattori motivazionali possono influenzare significativamente le prestazioni umane. Da quel momento in poi, la consapevolezza che il fattore umano può portare a una migliore qualità dell’attività produttiva, a un ambiente lavorativo che assicura una maggiore sicurezza nonché a una forza lavoro più coinvolta e responsabile sono divenuti tutti aspetti che hanno avuto larghissima diffusione nella letteratura manageriale e organizzativa.

WHITEPAPER
Previeni i difetti di sicurezza nelle applicazioni: la soluzione in 5 punti
Sicurezza
Software

Il primo passo da compiere è riconoscere, tuttavia, l’importanza che il fattore umano può svolgere nei più svariati contesti organizzativi. Ciò sembra essere avvenuto negli ultimi anni, in quanto tale termine è divenuto sempre più popolare man mano che l’industria della sicurezza cibernetica si è resa conto che la variabile umana, piuttosto che una falla nella tecnologia o nel software è alla base di moltissime compromissioni cibernetiche. Questa situazione generale ha pure dato luogo a un iniziale approccio scientifico, imperniato sull’information security, con contributi multidisciplinari i quali cercano di incorporare in modelli analitici, peraltro di difficile elaborazione, contributi di vari campi disciplinari quali la psicologia, l’ingegneria, la statistica, la ricerca operativa, l’intelligenza artificiale e l’antropometria. In questo modo si cerca di ricomprendere, all’interno di tali modelli, le tecniche di machine learning, i test psicometrici, il dispiegamento di strumenti statistici quali la regressione, le tecniche di simulazione e modellizzazione, ecc.

Nonostante tali sforzi di modellizzazione, a tutt’oggi, il considerare il fattore umano, alla stregua di un elemento critico delle strategie aziendali, costituisce ancora più un’arte che una vera e propria scienza. Del resto, lo stesso Kevin David Mitnick, uno dei primi e più conosciuti hacker, affermava nel suo libro del 2002, non a caso intitolato The Art of Deception, di aver compromesso i computer esclusivamente utilizzando password e codici acquisiti mediante tecniche di ingegneria sociale, la quale consiste nella “manipolazione” delle persone per farle compiere azioni o divulgare informazioni altrimenti riservate. Per dirla con i suoi termini, “the human side of computer security is easily exploited and constantly overlooked. Companies spend millions of dollars on firewalls, encryption and secure access devices, and it’s money wasted, because none of these measures address the weakest link in the security chain” [people]. Anche Bruce Schneier, uno degli esperti più rinomati a livello globale, ha sottolineato più volte “Only amateurs hack systems, professionals hack people” e “Security solutions have a technological component, but security is fundamentally a people problem” (Schneier, Secrets & Lies).

Affrontare la minaccia interna con la tassonomia

Da quanto sin qui sostenuto appare chiaro che ci si deve concentrare anche sulle risorse umane e su quelle organizzative piuttosto che solo su quelle informatiche. Questo perché nonostante i progressi sostanziali compiuti nella sicurezza perimetrale, nel rilevamento delle intrusioni, nella crittografia, nel controllo degli accessi e così via, i quali hanno aiutato senz’altro a respingere gli attacchi esterni, pochi progressi si sono fatti nell’affrontare la minaccia interna derivante dal fattore umano. Al fine di facilitare l’identificazione di tali minacce può essere di qualche utilità mettere a punto una minimale tassonomia. La riflessione sull’utilizzo delle tassonomie potrebbe fornire, ad esempio, un primo mezzo per classificare e ordinare i problemi che tali minacce pongono all’intero sistema organizzativo.

Una volta individuate le tassonomie principali queste servono sia per differenziare i tipi di minacce interne sia per rendere esplicite le dimensioni chiave. Identificando le dimensioni chiave si possono iniziare a elaborare le strategie di prevenzione, risposta e mitigazione. Detto in altre parole, siccome il fattore umano non è del tutto eliminabile si deve, nondimeno, cercare di gestirlo al meglio. Un esempio di tale processo può essere quello di ipotizzare chi possa essere l’attore di tali minacce interne. Quest’ultima può essere costituita da un individuo profondamente inserito in un’organizzazione, come, ad esempio, un dirigente di alto livello, un amministratore di sistema, oppure può essere un semplice dipendente. Le tecniche di rilevamento di questi diversi tipi di minacce interne variano allora in maniera sostanziale. Tra le varie situazioni classificabili come effettuate da dei naive insiders si possono indicare le seguenti, a solo titolo esemplificativo:

  • violazioni delle politiche aziendali di cybersicurezza;
  • apertura dei link di phishing inviate tramite e-mail;
  • accesso a reti pubbliche non sicure;
  • utilizzo di dispositivi personali durante il lavoro da remoto;
  • installazione di software non approvati;
  • condivisione delle password con i colleghi, ecc..

Diversa la situazione se riguarda degli amministratori di sistema oppure un dirigente di alto livello, vanno ipotizzati altri comportamenti al fine di approntare delle contromisure adeguate.

Motivazione e consapevolezza dei dipendenti

Un altro aspetto significativo riguarda la motivazione e la consapevolezza dei dipendenti, i quali dovrebbero essere la prima linea di difesa delle risorse digitali di un’organizzazione. Bisogna sempre distinguere, infatti, il livello di motivazione e la consapevolezza degli attori. Anche tale fattore dovrebbe trovar posto in una tassonomia aziendale. Gli atti malevoli possono essere equivalenti ad atti dovuti a incidenti non voluti oppure a mere ingenuità: gli insider possono legittimamente usare i domini in modi inaspettati che potrebbero far scattare falsi allarmi. Outsider, insider che agiscono con intenti malevoli, insider che agiscono senza intenti malevoli e comportamenti accidentali possono tutti provocare effetti simili sull’impresa. I primi due sono intenzionali mentre gli ultimi due sono non intenzionali.

Nonostante tutte le contromisure ipotizzabili, in generale, tuttavia, ci saranno sempre aree grigie nel modo in cui le policy di sicurezza aziendale riescono a definire sia l’uso improprio che il comportamento corretto dei propri dipendenti. Un altro aspetto da prendere in considerazione è, infatti, quello relativo alle policy aziendali le quali giocano un ruolo significativo per quanto riguarda il fattore umano, in quanto definiscono i confini tra il comportamento ammissibile e quello non ammissibile, sia a livello tecnico che non tecnico. Le policy non solo definiscono il comportamento corretto, ma implicitamente definiscono anche la nozione di minaccia interna. In ultimo, siccome le azioni malevoli o inavvertite sono legate al contesto aziendale la maggior parte delle policy riesce a catturare, in maniera solo inadeguata, le sfumature del contesto organizzativo.

L’attività di monitoraggio e sorveglianza

Anche un altro aspetto rilevante, delle misure organizzative da implementare, è l’attività di monitoraggio e sorveglianza, la quale non sempre riesce a dirimere tali situazioni dando luogo a moltissimi falsi positivi. Del resto, l’attaccante malevolo interno conosce bene il sistema di monitoraggio ed è in grado di bypassarlo mediante comportamenti sostanzialmente non dissimili da quelli regolari.

Per fare ciò così come viene applicato nel mondo anglosassone, è necessario sviluppare una strategia di cyber awareness (la cd. cyber awareness strategy) che consta di alcuni step come garantire il supporto esecutivo; stabilire delle linee guida (nello specifico le guidelines n° 1/2021 approvate dall’EDB (European Data Protection Board) e adottate il 14-01-2021); definire e misurare il successo e adottare un approccio ibrido alla cybersecurity.

In conclusione, il fattore umano rappresenta una delle minacce più importanti e di difficile gestione da parte delle imprese, al di là di tutti i modelli di rischio implementati. Nonostante i tentativi di dar vita a software molto sofisticati, nonché di sviluppare un corpus di conoscenze teoriche su tali aspetti, essa rimane, a tutt’oggi, sostanzialmente ancora un’arte, ovvero una tecnica pratica, da intendersi in senso aristotelico, i cui aspetti precipui sono ancora ben lungi da poter essere sistematizzati e incorporati in una prassi di reale successo organizzativo.

_____________________________________________________________

  1. Le opinioni degli autori non rappresentano necessariamente quelle degli Enti di appartenenza.
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articolo 1 di 3