Il fattore umano e la cultura del comportamento sicuro
In queste ultime settimane di emergenza per fronteggiare il problema Coronavirus gli attacchi informatici alle aziende stanno aumentando attraverso campagne di phishing e malspam volte a rubare informazioni o a creare un danno agli utenti.
In questo scenario, le organizzazioni non devono solo definire strategie per la protezione e sicurezza fisica del personale ma anche diffondere messaggi di sensibilizzazione sulle campagne di malware in corso e investire in formazione per favorire la conoscenza, la prevenzione e gestione delle diverse tipologie di attacchi informatici.
Come difendersi
In che modo è possibile contrastare attacchi informatici sempre più frequenti e sempre più customizzati per attirare l’utente ingenuo o disattento?
Anche in questo caso, la prevenzione è il migliore attacco.
Oggi le organizzazioni devono costantemente investire in iniziative per aumentare il loro livello di sicurezza, agendo sulla consapevolezza degli individui per favorire la cultura del comportamento sicuro.
Sono diverse le aziende che forniscono una riposta a tali esigenze, proponendo diversi servizi di awareness, dai più tradizionali corsi di formazioni a proposte innovative di gamification.
Di seguito, alcune soluzioni che le organizzazioni possono utilizzare per favorire la cultura del comportamento sicuro:
- sistema di e-Learning: è sicuramene un canale di formazione tradizionale che consente di coinvolgere l’intera organizzazione nel percorso di apprendimento, adattandosi alle esigenze di tempo dell’utente. Si utilizza per aumentare la consapevolezza dei rischi cyber ed evidenziare, in particolare, regole e procedure aziendali volte ad incoraggiare comportamenti in linea con le direttive;
- newsletter o email di sensibilizzazione: un altro strumento tradizionale che mira ad informare l’intera organizzazione ma presenta il rischio di essere poco efficace, considerando il numero elevato di email che ognuno di noi riceve ogni giorno. Tuttavia, può essere utile per segnalare i casi di attacchi phishing in corso che l’azienda sta cercando di fronteggiare; in questo modo si possono informare i colleghi circa le misure adottate e diffondere indicazioni sul comportamento da abbracciare per prevenire (es. cancellazione immediata della email) o gestire il rischio;
- campagne di Ethical Phishing: consiste nella definizione di un programma ricorsivo di email di phishing lanciate all’interno dell’azienda. Una volta cliccato il link malevolo o aperto l’allegato contenente il malware, l’utente riceve un messaggio che gli notifica l’esercitazione e accede a delle pillole formative per evitare lo stesso comportamento pericoloso anche in futuro;
- Virtual reality: è uno strumento innovativo che consiste in una realtà simulata ottenuta con il supporto di un visore. L’utilizzatore si trova immerso in un mondo virtuale in cui sono simulate delle situazioni aziendali reali. Un esempio è il caso di simulazione di un utilizzatore che deve eseguire un gioco di ruolo fingendosi un ladro che entra in un’azienda con l’obiettivo di rubare il maggior numero di informazioni sensibili (es. usb, documenti, computer, etc.) in pochi minuti;
- Gamification: il termine deriva da game, ovvero gioco in inglese. La Gamification rappresenta uno mezzo estremamente efficace in quanto è in grado di diffondere messaggi formativi, introducendo comportamenti attivi in un clima meno formale che favorisce il team building. Sono diverse le aziende che ad oggi stanno utilizzando tale strumento di formazione, spesso organizzando vere e proprie gare tra dipartimenti. Come nelle migliori tradizioni, la gamification richiede, per essere maggiormente efficace, l’utilizzo di classifiche e premi virtuali. Un esempio di gamification è l’uso della escape room, una modalità emozionante e interattiva per aumentare la consapevolezza. Se si desidera migliorare i risultati di apprendimento, è consigliabile una riunione di follow-up guidata da un cyber-trainer per fissare i concetti appresi durante l’esperienza.
I fattori critici del successo
A prescindere dallo strumento formativo scelto, vi sono dei fattori critici di successo da tenere in considerazione:
- linguaggio: usare un linguaggio semplice, adatto a tutti e soprattutto non tecnico;
- tempi: organizzare sessioni brevi in modo da non disperdere la concentrazione dell’utente;
- utilità: l’obiettivo primario delle organizzazioni non è quello di rispondere a un requisito normativo ma investire per cambiare il comportamento umano dell’individuo e, per questo motivo, l’utente deve percepire l’utilità dello strumento di formazione, facendo leva sui benefici che il partecipante ottiene (es. un premio o un riconoscimento);
- diversificazione e continuità: è utile utilizzare diversi strumenti formativi ed utilizzarli in modo continuativo nel tempo, al fine di raccogliere l’interesse di diverse tipologie di utenti e di far percepire il rischio di sicurezza come una minaccia sempre latente da dover fronteggiare;
- monitoraggio dei risultati: come tutti gli investimenti, anche la formazione deve portare ad un miglioramento dei KPIs, affinché possa essere ritenuta dal management un investimento soddisfacente. Alla fine dell’anno ogni azienda è tenuta ad evidenziare come la formazione abbia determinato un miglioramento negli indicatori di performance operativi, finanziari e di soddisfazione del personale: la riduzione percentuale del numero di incidenti, la riduzione percentuale dell’impatto degli incidenti nel piano finanziario, la percentuale di probabilità che le conoscenze acquisite siano applicate nel lavoro di tutti i giorni, la percentuale di feedback positivi dei partecipanti al corso;
- specializzazione: bisogna considerare che una formazione generale e di alto livello rivolta a tutti i dipendenti è una condizione necessaria ma non sufficiente. Diverse sono le figure professionali che necessitano di una formazione continua, più specifica e contestualizzata al loro ruolo (es. sviluppatori, architetti, IT help desk, SOC, CSIRT, etc.).
Fonti normative
Sono diverse le disposizioni che prevedono la definizione di una strategia di formazione in tema di sicurezza informatica continua nel tempo.
Il GDPR prevede programmi di formazione obbligatoria sia per le figure professionali previste nel GDPR stesso, sia per tutti i dipendenti al fine di sensibilizzare sul valore della protezione dei dati personali e sul loro utilizzo consapevole.
La Direttiva europea 2016/1148 sulla sicurezza delle reti e dei sistemi informativi, meglio nota come Direttiva NIS, definisce per gli Operatori di Servizi Essenziali le linee guida per la gestione dei rischi, la prevenzione e la mitigazione degli incidenti che hanno un impatto rilevante sulla continuità e sulla fornitura dei servizi essenziali. Tra i controlli essenziali di Cyber Security vi è la formazione del personale affinché sia adeguatamente sensibilizzato e formato sui rischi di Cyber Security e sulle pratiche da adottare. Infine, il NIST (National Institute of Standards and Technology) sottolinea la necessità di sviluppare una corretta cultura della sicurezza per il personale.
In conclusione, mitigare gli attacchi informatici con la prevenzione significa per le aziende modificare il loro approccio, in particolare investendo in una formazione periodica e diversificata nel loro fattore più importante: il fattore umano.
Articolo a cura di Lisa Da Re
Laureata in Management presso l’Università L. Bocconi nel 2013, lavora da più di sei anni nel settore della Sicurezza informatica. Dopo aver lavorato per cinque anni in Business Integration Partners presso il dipartimento di sicurezza di Vodafone Global, da luglio 2019 lavora in BNP Paribas Leasing Solution come IT Risk & Business Continuity Specialist.
