La formazione cybersecurity rappresenta oggi il pilastro fondamentale di qualsiasi strategia di sicurezza informatica aziendale. Mentre le organizzazioni investono cifre considerevoli in tecnologie avanzate e sistemi di protezione, spesso trascurano l’elemento più critico: il fattore umano.
Indice degli argomenti
La debolezza del fattore umano nella cybersecurity
Come amano dire gli informatici con l’acronimo PEBKAC (problem exist between keyboard and chair), l’uomo è spesso l’elemento debole del sistema di sicurezza informatica.
Tutti gli importanti investimenti che le aziende stanno facendo per fare fronte a una minaccia che è diventata un pericolo concreto rischiano di essere inutili laddove essi non si affianchino a una adeguata formazione del personale.
La speranza di sistemi, come dicono gli americani (e non me ne abbiano le donne) “blond proof“ cioè “a prova di bionda”, è una illusione; l’elemento umano rimane determinante.
La gestione delle password tra regole e abitudini sbagliate
Pensate a tutti quei sistemi che impongono l’obbligo di cambiare le password ogni tre mesi, di utilizzare combinazioni complesse abbinato a un sistema di password memory che impedisca l’uso delle ultime utilizzate dall’utente. Essi si traducono – di fatto – nella necessità di dover trascrivere le password da qualche parte (spesso su un post-it attaccato al PC) in violazione di uno dei principi cardine della sicurezza informatica.
Ma abbiamo mai insegnato ai nostri dipendenti come si può creare una password assolutamente sicura e al contempo facile da ricordare?[1]
L’impatto del fattore umano nelle violazioni di sicurezza
Il 95% degli incidenti di sicurezza informatica coinvolge il fattore umano. Anche i brute force attack, che cercano di ottenere l’accesso a un sistema, un account o una rete provando tutte le possibili combinazioni di password, possono trovare il loro “cavallo di troia” in una password troppo debole o reiterata su diversi account internet che non hanno sempre gli stessi livelli di sicurezza.
Molti studi di settore, tra cui il Data Breach Investigation Report di Verizon continuano a sottolineare come la violazione delle credenziali rappresenti il rischio principale per la sicurezza informatica. Abbiamo mai insegnato ai nostri dipendenti come sia pericoloso utilizzare la stessa password su tutti i loro account personali e aziendali?
Social engineering: vulnerabilità che passa dai social
Per non parlare poi delle attività di social engineering. In una società come la nostra, dove la condivisione delle informazioni sui tantissimi canali a nostra disposizione è diventata virale, le attività di social engineering sono oltre modo facilitate. Abbiamo mai insegnato ai nostri dipendenti come controllare le informazioni che la lasciano in rete?
Nuove minacce digitali e limiti della difesa tecnologica
Alle e-mail di phishing, sempre più affilate e customizzate allo scopo di indurre i destinatari ad aprire un allegato, cliccare su un link, fornire informazioni personali, si affiancano sistemi più insidiosi come gli sms o i messaggi whatsapp provenienti da un numero noto o le telefonate con l’uso di sintetizzatori vocali che riproducono la voce di un interlocutore conosciuto, i c.d. CEO-scam.
Tutto questo ad arrivare fino agli attacchi detti “zero click” che sfruttano le vulnerabilità di un software per eseguire un attacco senza l’interazione dell’utente. Attraverso questa vulnerabilità, l’attaccante può installare malware o eseguire altre interazioni dannose sul dispositivo di un utente, senza che l’obiettivo debba cliccare su un link, aprire un file dannoso o compiere qualsiasi altra azione. Fortunatamente si tratta di sistemi molto costosi e, per questa ragione utilizzati in ambito militare o giuridico ma che possono essere a disposizione di Stati che intendano carpire importanti segreti commerciali.
Come strutturare un programma di formazione efficace
Come impostare un efficace programma di formazione sulla sicurezza?
Analisi dei rischi e commitment
Prima di tutto occorre valutare il contesto specifico dell’azienda, identificare i principali rischi informatici e le figure più esposte, in modo da calibrare la formazione sui rischi e sulle responsabilità di ogni ruolo. Inoltre, è fondamentale il sostegno del top management, con i dirigenti che sponsorizzano e partecipano attivamente al programma, ribadendo che la sicurezza è una vera priorità aziendale.
Contenuti aggiornati e metodi coinvolgenti
Il materiale formativo deve coprire le tematiche chiave (uso di password sicure, riconoscimento di e-mail di phishing, protezione dei dati personali, rispetto delle policy aziendali, uso dei social media, sicurezza dei comportamenti in rete) e va mantenuto aggiornato al passo con le nuove minacce.
Inoltre, la formazione dev’essere coinvolgente prediligendo approcci interattivi (simulazioni di attacchi, esercitazioni pratiche, quiz) piuttosto che i soli video o lezioni teoriche, così da mantenere alta l’attenzione e favorire l’apprendimento delle buone pratiche. Non devono mancare anche gli insegnamenti pratici. In questo modo, il personale formato saprà non solo identificare la minaccia ma anche reagire in modo corretto seguendo le procedure (ad esempio isolare subito un computer infetto e allertare l’IT), limitando la portata del danno ed evitando che una falla minore si trasformi in una crisi grave.
Frequenza regolare e miglioramento continuo
La formazione non dev’essere un evento isolato. Bisogna prevedere sessioni iniziali per i neoassunti e aggiornamenti periodici per tutto il personale (almeno annuali, o più frequenti se necessario). Inoltre, è utile verificare l’efficacia del programma (ad esempio tramite test o finte e-mail di phishing) e apportare continui miglioramenti in base ai risultati, adattando il training all’evoluzione delle minacce.
La formazione come leva di fiducia e conformità normativa
Sintetizzando, una solida formazione può davvero fare la differenza. Tecnologie e processi da soli non bastano: è imprescindibile investire nelle persone anche per non vanificare gli sforzi e i costi tecnologici che possiamo o dobbiamo sostenere per fronteggiare la minaccia o adeguarci alle disposizioni normative o volontarie quali il GDPR, la direttiva NIS2, la ISO 27001 basate su l’approccio al rischio.
Un’azienda attenta alla cybersecurity – e attiva nel formare il personale – è percepita come più affidabile, rafforzando la fiducia di clienti e partner.
Note
[1] Un buon sistema per creare una password sicura e facile da ricordare è quello di scegliere le prime o le ultime lettere della strofa di una poesia o di una canzone a noi nota e poi aggiungere simboli e numeri secondo uno schema facile da ricordare; per esempio, la password della mail potrebbe essere NmDcDnV@35, password complessa ma al contempo facile da ricordare perché sta per: Nel mezzo Del cammin Di nostra Vita + @ (simbolo della mail) + una cifra (che in questo caso rappresenta il numero di battute della frase scelta).
