Si sta delineando un nuovo approccio che riconosce il ruolo fondamentale delle persone in una governance di cyber security integrata, spinto sicuramente dal dato statistico secondo il quale un numero altissimo di incidenti avviene a causa di un errore umano.

Il fattore umano nella cybersecurity: i numeri dell’errore

Non si tratta quindi solo di awareness e training, ma di modificare i comportamenti all’interno delle organizzazioni attraverso nuove forme di consapevolezza ed ingaggio delle persone: in un contesto di minacce sempre crescenti, investire nel fattore umano è uno strumento per una maggiore sicurezza.

Le stime parlano di una percentuale tra il 60 e l’80% di eventi causati dall’uomo: questo dato conferma quindi che il fattore umano è un elemento chiave nella postura di sicurezza di una organizzazione.

Human firewall: la prima linea di difesa umana

La corretta gestione e l’apporto del fattore umano sono diventati una priorità anche a causa del crescente aumento dei casi di social engineering e phishing, sempre più sofisticati e numerosi: Gartner prevede infatti che la maggioranza dei CISO implementerà attivamente questo tipo di approccio umano centrico, in applicazione della funzione strategica che le risorse umane possono avere nel miglioramento della postura di sicurezza di una organizzazione, ottenendo quindi tramite questa strategia una riduzione del 30% degli incidenti.

Dall’approccio technology-centric alla human-centric security

Le organizzazioni si stanno rendendo conto che il comportamento umano è un elemento centrale della postura di sicurezza, parlandosi quindi di human-centric security, differenziandosi quindi rispetto all’approccio tradizionale che mette al centro della strategia di cyber security la tecnologia.

I comportamenti delle persone sono spesso l’anello debole della catena della sicurezza in quanto i loro comportamenti non vengono tenuti nella dovuta considerazione in fase di design, quindi progettare sistemi e politiche di sicurezza che tengano conto dei fattori umani comporta una riduzione significativa dei rischi.

Creare una cultura della sicurezza in azienda

Si ritiene quindi che creare una cultura della sicurezza tramite formazione e partecipazione attiva, unitamente a strumenti tecnologici efficaci, permetta di formare un human firewall interno all’organizzazione.

Questo approccio si riferisce all’implementazione di una prima linea di difesa umana contro le minacce informatiche, antropomorfizzando il concetto puramente tecnologico di controllo e filtro posto in essere da strumenti quali i firewall.

Le persone diventano quindi degli agenti attivi della sicurezza, capaci di prevenire e riconoscere le minacce, gestendole correttamente.

Il programma NIST per la cybersecurity umano-centrica

Fin dal 2008 il NIST – National Institute of Standard and Technology degli Stati Uniti, ha istituito un programma, denominato nel 2023 “Human-Centered Cybersecurity” (in passato si chiamava Usable Cybersecurity), con l’obiettivo di “championing the human in cybersecurity”. Le finalità principali dell’approccio proposto dal NIST sono le seguenti:

creare soluzioni sicure in pratica, non solo in teoria, attraverso un approccio empirico e pragmatico ;

; considerare bisogni, comportamenti e contesti degli stakeholder ;

; incoraggiare ambienti dove sia facile “fare la cosa giusta” e di conseguenza difficile compiere errori, tramite procedure e comportamenti corretti che siano replicabili, grazie alla responsabilizzazione e l’empowerment delle persone.

Come implementare il modello human-centric security

Come applicare quindi questo modello di human-centric security? Di seguito i passaggi fondamentali:

Focus sull’utente e sistemi intuitivi

Focus sull’utente: progettare sistemi e procedure che siano intuitivi e riducano la possibilità dell’accadimento di un errore umano, ad esempio tramite l’adozione di sistemi di SSO single sign-on mediante i quali si semplifica l’autenticazione sicura. La sicurezza deve essere immediata e semplice da usare. La sicurezza deve essere adattiva, basata sul reale contesto ed in base all’effettivo livello di rischio del singolo utente.

Consapevolezza comportamentale e formazione continua

Consapevolezza dell’importanza del fattore comportamentale: si deve partire dal riconoscere che l’errore umano possa essere una minaccia vera e propria, che quindi vada gestito con delle contromisure quali programmi di formazione ed esercitazioni pratiche al fine di educare gli utenti circa i rischi, tramite campagne come quelle di ethical phishing cui deve sempre seguire una fase educativa mirata per evitare il ripetersi dell’errore, laddove accaduto.

User experience: bilanciare sicurezza e usabilità

Implementare una user experience sicura ma allo stesso tempo semplice: bisogna bilanciare sicurezza ed usabilità, evitando misure troppo complesse che possano avere l’effetto contrario di portare a comportamenti rischiosi per aggirarle. Per evitare il classico post-it con le password impossibili da ricordare sullo schermo computer, implementiamo un sistema che le ricordi per noi.

Responsabilizzazione collettiva della sicurezza

Responsabilizzazione delle persone: la sicurezza è un impegno di tutta l’organizzazione, non solo di chi se ne occupa attivamente. Ogni utente è un anello fondamentale della catena del valore volta a garantire una corretta postura di sicurezza nel suo complesso: questo messaggio deve essere dato in modo chiaro a tutti i suoi componenti.

Feedback degli utenti e formazione contestualizzata

Ascoltare i feedback degli utenti: la conoscenza non solo di quello che viene fatto, ma anche della ragione per cui ci si è comportati in un determinato modo è necessaria per andare a prevenire che l’azione errata venga ripetuta nuovamente, tramite azioni mirate volte a modificare il comportamento. In aggiunta, bisogna tenere sempre a mente che i programmi di formazione devono essere predisposti in modo da essere comprensibili da persone che non hanno una competenza tecnica, nonché essere disegnati sulla base del contesto specifico, anche mediante esempi concreti che siano verosimili e che rendano chiari e facilmente memorizzabili i concetti che si vogliono trasferire.

Gestire la resistenza al cambiamento organizzativo

Nella implementazione della human-centric security bisogna tenere conto che l’essere umano è restio al cambiamento e alle novità: un nuovo approccio incontrerà sempre questo ostacolo posto che le persone non sempre sono disponibili ad imparare cose nuove oppure applicare dei nuovi processi, deviando dal “abbiamo sempre fatto così”.

Nella redazione del programma va gestito questo fattore, trovando le modalità corrette per ingaggiare le persone nonostante una iniziale resistenza da parte loro, dando soddisfazione e riconoscimento positivo laddove applichino correttamente le regole, gratificandole per il successo ottenuto.

I benefici della strategia umano-centrica

Le organizzazioni che adottano la strategia di sicurezza umano centrica ne traggono una serie di benefici quali, oltre a quello evidenziato sopra di ridurre gli accadimenti malevoli, ottenere un maggior livello di compliance rispetto a normative quali la NIS2 e la GDPR, riducendosi quindi il rischio di data breach con relative sanzioni e danni di immagine.

Si può inoltre ottenere aumento della produttività garantendo la business continuity: va ricordato che in caso di attacco, una organizzazione consapevole che reagisce in maniera corretta ed immediata comporta giocoforza una riduzione delle conseguenze negative dello stesso. A livello competitivo, tutto ciò si riverbera in una maggiore fiducia dei clienti e partner, migliorando la reputazione dell’ente e di conseguenza la sua redditività.

La strategia integrata: tecnologia, persone e processi

Qual è quindi la strategia migliore? Quella integrata, che vede in campo tecnologie adatte allo specifico contesto a supporto di persone consapevoli che applicano correttamente i processi, disegnati su base empirica, come evidenziato anche dal NIST: il punto di partenza è una profonda conoscenza del contesto in cui si opera a partire dalle persone che lo compongono e dei rischi che insistono su quel particolare ambiente.