Le persone sono il principale vettore di attacco per le organizzazioni, non l’ultima linea di difesa
Emiliano Massa, Area Vice President Sales SEUR di Proofpoint, riflette sul ruolo degli individui quando si parla di cybersecurity. Fonte di pericolo oppure elemento di protezione? E come le organizzazioni possono garantirsi che le loro persone svolgano un ruolo positivi nella sicurezza aziendale?
-
- Tweet
- Pin It
- Condividi per email
-
Nel corso dell’ultimo anno, le organizzazioni di tutto il mondo hanno risentito dell’aumento delle minacce informatiche, con una tendenza che va oltre ogni potenziale segmentazione geografica. Nel 2021, l’’Europa in particolare si è collocata al secondo posto nel mondo per numero di attacchi, con una prevalenza di ransomware – pari al 26% degli attacchi totali. mentre l’Italia si è collocata al primo posto in Europa per numero di attacchi ransomware nel primo semestre del 2022.
Secondo ENISA, il costo del ransomware potrebbe superare i 250 miliardi di euro entro il 2031. Sempre piu rilevanti saranno gli attori sponsorizzati dagli stati (state sponsored attacks), che continueranno a concentrare i loro attacchi sulle catene di approvvigionamento (supply chain).
I rischi informatici continuano a evolversi, ma un aspetto rimane costante: le persone svolgono il ruolo principale negli incidenti di cybersecurity e nelle violazioni dei dati. Secondo il Verizon 2022 Data Breach Investigation Report, l’elemento umano è stato coinvolto nell’82% delle violazioni avvenute a livello globale lo scorso anno, con una tendenza che prosegue dall’anno scorso.
Nonostante i crescenti investimenti in cybersecurity, le organizzazioni faticano a tenere testa alle minacce informatiche incentrate sulle persone. Una sfida particolarmente impegnativa è quella del cambiamento comportamentale, e il modo migliore per risolverla è la cultura della cybersecurity per promuovere un cambiamento organizzativo duraturo.
Le persone come principale vettore di attacco
Il recente report Voice of the CISO di Proofpoint ha rilevato che i CISO considerano gli insider come la principale minaccia alla sicurezza della loro organizzazione. Questo rischio percepito è ancora più elevato in Italia, dove il 34% dei CISO ha classificato gli insider al primo posto tra le minacce (rispetto al 31% a livello globale). Nonostante questo, molti CISO commettono un errore comune quando cercano di affrontare questa vulnerabilità: pensano alle persone come all’ultima linea di difesa della loro azienda.
In realtà, le persone sono il principale vettore di attacco. Cercare di proteggere gli individui dopo il fallimento di tutte le altre protezioni semplicemente non funziona. I criminali informatici attaccano prima le persone e poi le infrastrutture, quindi la creazione di difese incentrate sugli utenti è fondamentale per l’approccio alla sicurezza, e inizia con la definizione di una solida cultura della sicurezza.
Guidare il cambiamento culturale in modo olistico
Le organizzazioni hanno fatto passi da gigante nella sensibilizzazione alla cybersecurity. L’indagine di Proofpoint ha rilevato che Il 60% dei CISO ritiene che i dipendenti comprendano il loro ruolo nella protezione dell’azienda dalle minacce IT, anche se il 56% considera ancora l’errore umano la principale vulnerabilità dell’organizzazione.
Tuttavia, il programma di sensibilizzazione è solo una componente della cultura della sicurezza. Sebbene non esista un modello “uguale per tutti” l’adozione di un approccio multiforme migliora notevolmente il successo. I dipendenti imparano in molti modi, ed è importante fornire diverse opportunità di formazione e opzioni possono variare da conversazioni informali ed esercitazioni di phishing a micro-formazione per ruoli specifici. La chiave è fornirli con costanza e frequenza, non solo come evento formativo annuale o simulazione occasionale di phishing.
È importante comprendere che l’obiettivo della vostra cultura della sicurezza non è di puntare il dito. Pensiamo a un incidente di phishing come a una rapina in banca: qualcuno incolperebbe il cassiere per aver consegnato del denaro a un rapinatore? Ovviamente no. L’obiettivo è di responsabilizzare il personale, in modo che si senta a proprio agio nel segnalare gli incidenti senza temere conseguenze.
Una cultura della sicurezza priva di colpe non significa che non si debba responsabilizzare il personale, ma utilizzare metriche per capire quanto stiano funzionando gli sforzi. Ad esempio, il comportamento costantemente rischioso di un individuo può giustificare un’azione disciplinare, ma solo dopo aver fornito adeguate opportunità di apprendimento e correzione.
Trovate i vostri campioni di sicurezza
La promozione di una solida cultura della sicurezza non è responsabilità esclusiva di un solo team, che si tratti di risorse umane, IT o cybersecurity. È necessario il coinvolgimento di tutti i livelli dell’organizzazione, dai dirigenti fino ai dipendenti in prima linea. Ogni azienda ha persone appassionate di sicurezza – bisogna individuarle e reclutarle come champion.
Indipendentemente da chi trasmette il messaggio sulla cybersecurity, deve ripercuotersi sul personale e il suo lavoro quotidiano. Ad esempio, in molti settori la cybersecurity può essere allineata alla sicurezza fisica, che è sempre una priorità assoluta. È possibile utilizzare i canali consolidati per creare un chiaro collegamento tra difesa dalle minacce informatiche e missione di safety e condividere le metriche che guidano questo messaggio.
Metriche che possono variare in base all’azienda, ma che dovrebbero includere misure quantitative e qualitative. Gli indicatori concreti, come i tassi di clic per le simulazioni di phishing, sono in genere più facili da determinare e riportano progressi e prestazioni. Ma anche le misure qualitative rivelano molto sulla cultura e possono essere molto semplici, ad esempio richiedere feedback informali su una policy o un programma di sicurezza o osservare la frequenza con cui viene affrontato il tema della consapevolezza informatica nelle riunioni dei vari team.
La cultura della sicurezza informatica è una parte essenziale del set di strumenti, soprattutto se l’obiettivo aziendale è il cambiamento dei comportamenti. Come qualsiasi altro livello difensivo, la cultura non è mai infallibile. Tuttavia, considerando la natura delle minacce odierne, incentrate sulle persone, è il livello più critico per proteggere l’intera organizzazione.
Contenuti correlati
-
Mancano 5 milioni di esperti di cybersecurity – e adesso?ISC2, la principale organizzazione non-profit al mondo per i professionisti della sicurezza informatica, ha stimato che quest’anno la carenza di professionisti della cybersecurity raggiungerà quota 4,8 milioni, segnando una crescita del 19% su base annua. Il gap...
-
Non c’è innovazione senza cybersecurity: il caso Dolomiti EnergiaLa cybersecurity è diventata una priorità per le aziende, da quando la tecnologia e l’innovazione hanno permeato i processi di produzione e di comunicazione. Da questa consapevolezza è nata la necessità del Gruppo Dolomiti Energia, a seguito...
-
Nell’ultimo numero di KEYnote, la rivista di Wibu-Systems: proteggere i modelli di AI e MLL’ultimo numero della rivista KEYnote, la pubblicazione semestrale presentata dagli specialisti di protezione e licensing di Wibu-Systems, è appena stata rilasciata ed è disponibile in vari formati digitali di facile lettura. L’edizione Autunno/Inverno copre una vasta gamma...
-
Omron Europe ottiene la certificazione IEC 62443-4-1Il reparto di ricerca e sviluppo di Omron Europe BV ha ottenuto la certificazione per lo standard IEC 62443-4-1 sui requisiti per lo sviluppo sicuro dei prodotti durante il loro intero ciclo di vita. Questa certificazione, rilasciata dall’ente riconosciuto a...
-
Advantech lancia il servizio di certificazione IEC 62443Advantech lancia il servizio di certificazione IEC 62443, pensato per le esigenze di certificazione delle apparecchiature di edge computing in conformità alla norma IEC 62443 e agli standard correlati. Advantech offre una soluzione completa per aumentare la...
-
PMI sotto attacco: la direttiva NIS2 apre una nuova fase per la cybersecurityLa direttiva NIS2 (Network and Information Security Directive) rappresenta l’occasione per introdurre una nuova consapevolezza nei consigli di amministrazione delle aziende, nell’ottica di elaborare una strategia di cybersecurity a lungo termine e incentivare la competitività garantendo la...
-
Nuovo controller nella piattaforma di automazione Yaskawa in SPSIn occasione di SPS Norimberga, Yaskawa continua l’espansione della sua piattaforma di automazione ‘iCube Control’, presentando il controller serie iC9226 in funzione. Il controller iC9226 funziona con il chip industriale Triton di Yaskawa e può controllare fino...
-
Certificazione UL dei cavi per il mercato nordamericano con LAPPIl mercato nordamericano, e quello statunitense in particolare, sono mercati fondamentali per i produttori italiani di macchinari industriali, le cui soluzioni sono particolarmente apprezzate per qualità, alto livello di personalizzazione e attenzione ai dettagli. Avere successo in...
-
Stormshield Data Security ottiene la certificazione Cspn da AnssiStormshield, esperto europeo in cybersecurity, ha ottenuto la certificazione di livello 1 (CSPN) per la versione on-premise della sua soluzione di protezione dei dati Stormshield Data Security (SDS). Questo riconoscimento da parte dell’Agence nationale de la sécurité des...
-
Il 20% dei produttori utilizza la sicurezza di rete come prima linea di difesa contro gli attacchi informaticiSecondo un recente sondaggio condotto dalla società di ricerche ABI Research sullo stato della tecnologia nel settore manifatturiero, i produttori hanno individuato la sicurezza OT della rete come principale ambito di investimento per quanto concerne la sicurezza...
Scopri le novità scelte per te
-
Mancano 5 milioni di esperti di cybersecurity – e adesso?
ISC2, la principale organizzazione non-profit al mondo per i professionisti della sicurezza informatica, ha stimato che quest’anno...
-
Non c’è innovazione senza cybersecurity: il caso Dolomiti Energia
La cybersecurity è diventata una priorità per le aziende, da quando la tecnologia e l’innovazione hanno permeato...
Notizie Tutti ▶
-
Identità digitale, gli obiettivi PNRR già raggiuntiL’Osservatorio Digital Identity del Politecnico di Milano afferma che l’obiettivo italiano nel PNRR di...
-
Osservatorio Mecspe, un terzo degli imprenditori è pronto a richiedere gli incentivi del Piano Transizione 5.0 entro fine annoQuasi la metà degli imprenditori ha espresso un parere positivo sulle misure contenute nel...
-
I quattro trend nel futuro della supply chain secondo Remira ItaliaInvestire nella connettività digitale, spingere verso tracciabilità e trasparenza, trovare nuove strategie per rendere...
Prodotti Tutti ▶
-
Ingegneria in cloud e assistenti AI nella suite di progettazione B&RAlla fiera SPS di quest’anno a Norimberga, in Germania, B&R ha annunciato un importante...
-
Rockwell Automation dà vita alle operazioni autonome utilizzando Nvidia OmniverseRockwell Automation ha annunciato l’integrazione delle interfacce di programmazione delle applicazioni (API) di Nvidia Omniverse...
-
Unitronic Access, i remote I/O multiprotocollo con tecnologia IO-Link di LappLAPP ha presentato alla fiera SPS 2024 di Norimberga le più recenti innovazioni sviluppate...
