Le persone sono il principale vettore di attacco per le organizzazioni, non l’ultima linea di difesa
Emiliano Massa, Area Vice President Sales SEUR di Proofpoint, riflette sul ruolo degli individui quando si parla di cybersecurity. Fonte di pericolo oppure elemento di protezione? E come le organizzazioni possono garantirsi che le loro persone svolgano un ruolo positivi nella sicurezza aziendale?
Nel corso dell’ultimo anno, le organizzazioni di tutto il mondo hanno risentito dell’aumento delle minacce informatiche, con una tendenza che va oltre ogni potenziale segmentazione geografica. Nel 2021, l’’Europa in particolare si è collocata al secondo posto nel mondo per numero di attacchi, con una prevalenza di ransomware – pari al 26% degli attacchi totali. mentre l’Italia si è collocata al primo posto in Europa per numero di attacchi ransomware nel primo semestre del 2022.
Secondo ENISA, il costo del ransomware potrebbe superare i 250 miliardi di euro entro il 2031. Sempre piu rilevanti saranno gli attori sponsorizzati dagli stati (state sponsored attacks), che continueranno a concentrare i loro attacchi sulle catene di approvvigionamento (supply chain).
I rischi informatici continuano a evolversi, ma un aspetto rimane costante: le persone svolgono il ruolo principale negli incidenti di cybersecurity e nelle violazioni dei dati. Secondo il Verizon 2022 Data Breach Investigation Report, l’elemento umano è stato coinvolto nell’82% delle violazioni avvenute a livello globale lo scorso anno, con una tendenza che prosegue dall’anno scorso.
Nonostante i crescenti investimenti in cybersecurity, le organizzazioni faticano a tenere testa alle minacce informatiche incentrate sulle persone. Una sfida particolarmente impegnativa è quella del cambiamento comportamentale, e il modo migliore per risolverla è la cultura della cybersecurity per promuovere un cambiamento organizzativo duraturo.
Le persone come principale vettore di attacco
Il recente report Voice of the CISO di Proofpoint ha rilevato che i CISO considerano gli insider come la principale minaccia alla sicurezza della loro organizzazione. Questo rischio percepito è ancora più elevato in Italia, dove il 34% dei CISO ha classificato gli insider al primo posto tra le minacce (rispetto al 31% a livello globale). Nonostante questo, molti CISO commettono un errore comune quando cercano di affrontare questa vulnerabilità: pensano alle persone come all’ultima linea di difesa della loro azienda.
In realtà, le persone sono il principale vettore di attacco. Cercare di proteggere gli individui dopo il fallimento di tutte le altre protezioni semplicemente non funziona. I criminali informatici attaccano prima le persone e poi le infrastrutture, quindi la creazione di difese incentrate sugli utenti è fondamentale per l’approccio alla sicurezza, e inizia con la definizione di una solida cultura della sicurezza.
Guidare il cambiamento culturale in modo olistico
Le organizzazioni hanno fatto passi da gigante nella sensibilizzazione alla cybersecurity. L’indagine di Proofpoint ha rilevato che Il 60% dei CISO ritiene che i dipendenti comprendano il loro ruolo nella protezione dell’azienda dalle minacce IT, anche se il 56% considera ancora l’errore umano la principale vulnerabilità dell’organizzazione.
Tuttavia, il programma di sensibilizzazione è solo una componente della cultura della sicurezza. Sebbene non esista un modello “uguale per tutti” l’adozione di un approccio multiforme migliora notevolmente il successo. I dipendenti imparano in molti modi, ed è importante fornire diverse opportunità di formazione e opzioni possono variare da conversazioni informali ed esercitazioni di phishing a micro-formazione per ruoli specifici. La chiave è fornirli con costanza e frequenza, non solo come evento formativo annuale o simulazione occasionale di phishing.
È importante comprendere che l’obiettivo della vostra cultura della sicurezza non è di puntare il dito. Pensiamo a un incidente di phishing come a una rapina in banca: qualcuno incolperebbe il cassiere per aver consegnato del denaro a un rapinatore? Ovviamente no. L’obiettivo è di responsabilizzare il personale, in modo che si senta a proprio agio nel segnalare gli incidenti senza temere conseguenze.
Una cultura della sicurezza priva di colpe non significa che non si debba responsabilizzare il personale, ma utilizzare metriche per capire quanto stiano funzionando gli sforzi. Ad esempio, il comportamento costantemente rischioso di un individuo può giustificare un’azione disciplinare, ma solo dopo aver fornito adeguate opportunità di apprendimento e correzione.
Trovate i vostri campioni di sicurezza
La promozione di una solida cultura della sicurezza non è responsabilità esclusiva di un solo team, che si tratti di risorse umane, IT o cybersecurity. È necessario il coinvolgimento di tutti i livelli dell’organizzazione, dai dirigenti fino ai dipendenti in prima linea. Ogni azienda ha persone appassionate di sicurezza – bisogna individuarle e reclutarle come champion.
Indipendentemente da chi trasmette il messaggio sulla cybersecurity, deve ripercuotersi sul personale e il suo lavoro quotidiano. Ad esempio, in molti settori la cybersecurity può essere allineata alla sicurezza fisica, che è sempre una priorità assoluta. È possibile utilizzare i canali consolidati per creare un chiaro collegamento tra difesa dalle minacce informatiche e missione di safety e condividere le metriche che guidano questo messaggio.
Metriche che possono variare in base all’azienda, ma che dovrebbero includere misure quantitative e qualitative. Gli indicatori concreti, come i tassi di clic per le simulazioni di phishing, sono in genere più facili da determinare e riportano progressi e prestazioni. Ma anche le misure qualitative rivelano molto sulla cultura e possono essere molto semplici, ad esempio richiedere feedback informali su una policy o un programma di sicurezza o osservare la frequenza con cui viene affrontato il tema della consapevolezza informatica nelle riunioni dei vari team.
La cultura della sicurezza informatica è una parte essenziale del set di strumenti, soprattutto se l’obiettivo aziendale è il cambiamento dei comportamenti. Come qualsiasi altro livello difensivo, la cultura non è mai infallibile. Tuttavia, considerando la natura delle minacce odierne, incentrate sulle persone, è il livello più critico per proteggere l’intera organizzazione.
Contenuti correlati
-
AI e sicurezza: come prevenire gli infortuni sul lavoro
Di Marco Bavazzano, Amministratore Delegato di Axitea Ciclicamente, e con dispiacere, ci troviamo a leggere o ascoltare di storie di infortuni sul lavoro che hanno purtroppo spesso un epilogo tragico, con conseguenti bilanci, commenti e iniziative sulle...
-
Palo Alto Networks: il 41% delle aziende italiane subisce attacchi agli ambienti OT
Un nuovo report di Palo Alto Networks, realizzato in collaborazione con ABI Research, rivela che 2 imprese italiane su 5 (41%) subiscono mensilmente attacchi informatici ai loro ambienti di tecnologia operativa (OT). Ciononostante, solo un quarto considera...
-
Direttiva NIS2 e organizzazioni italiane: le risposte di Sangfor Technologies
Per preparare meglio gli Stati dell’UE contro le minacce informatiche, la Direttiva NIS2 ha incluso requisiti organizzativi più severi, estesi in 4 aree: la gestione del rischio, la responsabilità aziendale, gli obblighi di rendicontazione e la continuità...
-
Un chiaro focus su cybersecurity e licensing software: Wibu-Systems ad Hannover Messe 2024
Quest’anno, Wibu-Systems è particolarmente orgogliosa di presentare ad Hannover Messe 2024 una serie speciale di tour guidati, condotti da Oliver Winzenried stesso, CEO e fondatore dell’azienda. Questi viaggi unici nel cuore dell’innovazione industriale proporranno ai partecipanti uno...
-
Schneider Electric presenta EcoStruxure Secure Connect
Schneider Electric va incontro alle crescenti esigenze di cybersecurity in ambito industriale proponendo EcoStruxure Secure Connect. Nel settore dell’automazione industriale, stiamo assistendo a un aumento significativo di macchine installate e connesse, per le quali la cybersecurity rappresenta un requisito fondamentale. Da...
-
Al Main Event 2024 di Consorzio PI Italia si è parlato di ‘Robotica e cybersecurity per un’industria protetta’
La presenza di esperti e imprese del settore al Main Event 2024 di Consorzio Profibus e Profinet Italia (PI Italia), parte integrante dell’organizzazione internazionale PI-Profibus & Profinet International, ha ribadito l’impegno del Consorzio nel promuovere l’innovazione e diffondere la...
-
Sicurezza: normative e legislazioni, come farvi fronte
La sicurezza è un concetto: bisogna imparare a conoscerlo e a diffondere la cultura della sicurezza. Normative e legislazioni servono e sono doverose in ogni attività produttiva, ma vanno comprese nel loro senso più profondo. Per aumentare...
-
Acqua ed energia al sicuro
Un’azienda svedese di servizi pubblici per l’energia e l’acqua ha deciso di migliorare sia la sicurezza sia l’affidabilità attraverso l’integrazione IT/OT e per farlo ha scelto Fortinet Falu Energi & Vatten (Energia & Acqua) è un’azienda municipalizzata...
-
ABB, conformità con i gas refrigeranti A2L e A3
Nel mondo della produzione di unità HVACR, la sicurezza è sempre al primo posto, soprattutto quando si tratta di refrigeranti di categoria A2L e A3, dove i rischi sono elevati e di varia natura. Per garantire la...
-
Cyber 4.0: spingere nella formazione dei cybersecurity manager è vitale per le PMI
Un punto di riferimento per la cybersecurity delle Pmi a livello nazionale e un canale di accesso semplificato ai fondi del Pnrr per le aziende con obiettivi di sviluppo in questo ambito: sono circa 800 le imprese...