Le persone sono il principale vettore di attacco per le organizzazioni, non l’ultima linea di difesa

Nel corso dell’ultimo anno, le organizzazioni di tutto il mondo hanno risentito dell’aumento delle minacce informatiche, con una tendenza che va oltre ogni potenziale segmentazione geografica. Nel 2021, l’’Europa in particolare si è collocata al secondo posto nel mondo per numero di attacchi, con una prevalenza di ransomware – pari al 26% degli attacchi totali. mentre l’Italia si è  collocata al primo posto in Europa per numero di attacchi ransomware nel primo semestre del 2022.

Secondo ENISA, il costo del ransomware potrebbe superare i 250 miliardi di euro entro il 2031. Sempre piu rilevanti saranno gli attori sponsorizzati dagli stati (state sponsored attacks), che continueranno a concentrare i loro attacchi sulle catene di approvvigionamento (supply chain).

I rischi informatici continuano a evolversi, ma un aspetto rimane costante: le persone svolgono il ruolo principale negli incidenti di cybersecurity e nelle violazioni dei dati. Secondo il Verizon 2022 Data Breach Investigation Report, l’elemento umano è stato coinvolto nell’82% delle violazioni avvenute a livello globale lo scorso anno, con una tendenza che prosegue dall’anno scorso.

Nonostante i crescenti investimenti in cybersecurity, le organizzazioni faticano a tenere testa alle minacce informatiche incentrate sulle persone. Una sfida particolarmente impegnativa è quella del cambiamento comportamentale, e il modo migliore per risolverla è la cultura della cybersecurity per promuovere un cambiamento organizzativo duraturo.

Le persone come principale vettore di attacco

Il recente report Voice of the CISO di Proofpoint ha rilevato che i CISO considerano gli insider come la principale minaccia alla sicurezza della loro organizzazione. Questo rischio percepito è ancora più elevato in Italia, dove il 34% dei CISO ha classificato gli insider al primo posto tra le minacce (rispetto al 31% a livello globale). Nonostante questo,  molti CISO commettono un errore comune quando cercano di affrontare questa vulnerabilità: pensano alle persone come all’ultima linea di difesa della loro azienda.

In realtà, le persone sono il principale vettore di attacco. Cercare di proteggere gli individui dopo il fallimento di tutte le altre protezioni semplicemente non funziona. I criminali informatici attaccano prima le persone e poi le infrastrutture, quindi la creazione di difese incentrate sugli utenti è fondamentale per l’approccio alla sicurezza, e inizia con la definizione di una solida cultura della sicurezza.

Guidare il cambiamento culturale in modo olistico

Le organizzazioni hanno fatto passi da gigante nella sensibilizzazione alla cybersecurity. L’indagine di Proofpoint ha rilevato che Il 60% dei CISO ritiene che i dipendenti comprendano il loro ruolo nella protezione dell’azienda dalle minacce IT, anche se il 56% considera ancora l’errore umano la principale vulnerabilità dell’organizzazione.

Tuttavia, il programma di sensibilizzazione è solo una componente della cultura della sicurezza. Sebbene non esista un modello “uguale per tutti” l’adozione di un approccio multiforme migliora notevolmente il successo. I dipendenti imparano in molti modi, ed è importante fornire diverse opportunità di formazione e opzioni possono variare da conversazioni informali ed esercitazioni di phishing a micro-formazione per ruoli specifici. La chiave è fornirli con costanza e frequenza, non solo come evento formativo annuale o simulazione occasionale di phishing.

È importante comprendere che l’obiettivo della vostra cultura della sicurezza non è  di puntare il dito. Pensiamo a un incidente di phishing come a una rapina in banca: qualcuno incolperebbe il cassiere per aver consegnato del denaro a un rapinatore? Ovviamente no. L’obiettivo è di responsabilizzare il personale, in modo che si senta a proprio agio nel segnalare gli incidenti senza temere conseguenze.

Una cultura della sicurezza priva di colpe non significa che non si debba responsabilizzare il personale, ma utilizzare metriche per capire quanto stiano funzionando gli sforzi. Ad esempio, il comportamento costantemente rischioso di un individuo può giustificare un’azione disciplinare, ma solo dopo aver fornito adeguate opportunità di apprendimento e correzione.

Trovate i vostri campioni di sicurezza

La promozione di una solida cultura della sicurezza non è responsabilità esclusiva di un solo team, che si tratti di risorse umane, IT o cybersecurity. È necessario il coinvolgimento di tutti i livelli dell’organizzazione, dai dirigenti fino ai dipendenti in prima linea. Ogni azienda ha persone appassionate di sicurezza – bisogna individuarle e reclutarle come champion.

Indipendentemente da chi trasmette il messaggio sulla cybersecurity, deve ripercuotersi sul personale e il suo lavoro quotidiano. Ad esempio, in molti settori la cybersecurity può essere allineata alla sicurezza fisica, che è sempre una priorità assoluta.  È possibile utilizzare i canali consolidati per creare un chiaro collegamento tra difesa dalle minacce informatiche e missione di safety e condividere le metriche che guidano questo messaggio.

Metriche che possono variare in base all’azienda, ma che dovrebbero includere misure quantitative e qualitative. Gli indicatori concreti, come i tassi di clic per le simulazioni di phishing, sono in genere più facili da determinare e riportano progressi e prestazioni. Ma anche le misure qualitative rivelano molto sulla cultura e possono essere molto semplici, ad esempio richiedere feedback informali su una policy o un programma di sicurezza o osservare la frequenza con cui viene affrontato il tema della consapevolezza informatica nelle riunioni dei vari team.

La cultura della sicurezza informatica è una parte essenziale del set di strumenti, soprattutto se l’obiettivo aziendale è il cambiamento dei comportamenti. Come qualsiasi altro livello difensivo, la cultura non è mai infallibile. Tuttavia, considerando la natura delle minacce odierne, incentrate sulle persone, è il livello più critico per proteggere l’intera organizzazione. 

Emiliano Massa, Area Vice President Sales SEUR di Proofpoint, riflette sul ruolo degli individui quando si parla di cybersecurity. Fonte di pericolo oppure elemento di protezione? E come le organizzazioni possono garantirsi che le loro persone svolgano un ruolo positivi nella sicurezza aziendale?