Il fattore umano nella cybersecurity
Il fattore umano è sempre più rilevante nella cybersecurity. Secondo una ricerca pubblicata da Proofpoint (condotta tra settembre e ottobre 2022, coinvolgendo 103 responsabili della sicurezza informatica italiani), i rischi sono molteplici.
È emerso che il 94% dei Responsabili della sicurezza informatica (Ciso) italiani ritiene il fattore umano una delle principali preoccupazioni per la sicurezza aziendale nei prossimi due anni.
Ma cosa si intende per fattore umano? Cosa mette a rischio un’azienda? Al primo posto troviamo la tendenza a cliccare su link pericolosi (80%) per passare all’utilizzo incontrollato di dispositivi Usb (65%), al download di allegati e file da fonti non conosciute (57%), per finire con la condivisione di informazioni personali con l’esterno (57%).
In molti casi i comportamenti scorretti non sono a scopo doloso, ma dovuti a negligenza o ignoranza delle persone. Alcuni esempi: il 47% dei dipendenti condivide con terzi le credenziali del proprio account, il 39% permette ai propri familiari e amici di utilizzare dispositivi aziendali.
La scarsa attenzione alla sicurezza informatica costringe le aziende a pagare un conto salato. Tra le aziende che dichiarano di aver subito un cyberattacco la metà attribuiscono la causa ad un attacco esterno malevolo. Nel 26% dei casi l’attacco ha origine interna all’azienda, per negligenza (13%) o per dolo (13%).
Gli attacchi informatici hanno un costo
Ogni violazione subìta comporta un danno per l’azienda. Il principale danno è quello della Reputazione ma in molti casi si registra anche una perdita finanziaria. In un caso su quattro, inoltre, si registra una perdita di dati critici per l’azienda e un’analoga percentuale ha dovuto affrontare elevati costi di ripristino post incidente. Il furto di credenziali, sfiora il 40% dei casi ed è in costante aumento.
Oggi, come avveniva anche in passato, chi è vittima di un attacco subisce molte conseguenze. Quello che però è cambiato è che oggi, attraverso attacchi che sfruttano canali interni all’azienda, grazie al furto di credenziali, gli attaccanti possono diffondere le minacce attaccando terzi. Creando campagne che sfruttano il ‘buon nome’ della società, passano infatti ad attaccare altre persone o aziende: il danno reputazionale significa quindi oggi che, oltre ad essere parte lesa, l’azienda diventa essa stessa origine di nuovi attacchi. Ne è in qualche modo responsabile.
Vediamo spesso che, se non si verificano attacchi, nelle aziende non sono giustificati gli investimenti, in particolare nella detection o nella preparazione.
Per ridurre gli incidenti ed i danni, il responsabile della sicurezza informatica dovrebbe lavorare di più sulla prevenzione, sulla diffusione della cultura di sicurezza, per essere in grado di affrontare un eventuale incidente.
Questione di punti di vista
Il rischio cyber rilevato da un Consiglio di amministrazione è disallineato rispetto a quello del responsabile della sicurezza informatica. Oggi i Cda sono più consapevoli dei rischi cyber rispetto ad alcuni anni fa, ma con una visione meramente di business, mentre il responsabile della sicurezza informatica vede soprattutto le conseguenze a livello operativo. È come se si parlassero ancora due linguaggi diversi.
Il linguaggio dei responsabili della sicurezza informatica è troppo tecnico e risulta quindi difficile comunicare con il Consiglio di Amministrazione. Per questo motivo il Responsabile della sicurezza informatica deve ricoprire l’importante ruolo di collegamento tra il business aziendale ed il livello operativo cercando di uscire dal paradigma per cui la sicurezza frena il business.
Bisogna combattere il rischio interno
Le iniziative di formazione sono in grande crescita: il 96% degli intervistati conduce corsi di sensibilizzazione sulle minacce basate su e-mail; l’88% su una corretta igiene delle password; l’82% su come proteggere i dati; l’80% su come utilizzare al meglio device aziendali e personali.
In termini di sicurezza complessiva, il 65% dei Responsabili della sicurezza informatica ha adottato tecnologie dedicate per controllare e gestire le minacce interne, mentre il 33% ha predisposto un piano di risposta al cosiddetto insider risk. Nonostante questi dati positivi, un terzo delle organizzazioni italiane rimane sprovvisto di strumenti specifici per le minacce interne.
La visibilità e l'accesso alle informazioni sensibili sono una ulteriore fonte di preoccupazione, ma ci sono ancora quasi la metà dei Responsabili della sicurezza informatica che non monitora regolarmente l'accesso ai dati da parte degli utenti.
Concludendo, oggi, sempre più responsabili della sicurezza informatica italiani si stanno occupando anche della diffusione di una cultura della sicurezza nella loro organizzazione.
Risulta sempre più importante quindi formare in modo più continuativo e trasversale il personale della propria azienda.
Consulta il nostro catalogo corsi e scopri quali possono essere utili a diffondere una maggior consapevolezza degli strumenti che si hanno a disposizione e i potenziali rischi che possono nascere da un uso scorretto.
I nostri corsi sulla sicurezza
Corso di analisi forense di base
Corso base di penetration test
Corso di Sicurezza Informatica di base
Fonte: https://www.ictbusiness.it/
21/12/2022 Bruno Avalle