Le buone pratiche nella cybersecurity: fattore umano ed awareness

La cybersecurity non è un tema che riguarda pochi eletti e gli specialisti della sicurezza. La cybersecurity riguarda da vicino tutti i cittadini, utilizzatori quotidiani delle tecnologie dell’informazione. Per questo la sicurezza delle informazioni e della Rete non può essere delegata solo a chi, per lavoro, si occupa di strategie di difesa.

D’altro canto, sia a livello europeo che italiano, sempre più si sottolinea l’importanza del ruolo della sensibilizzazione e della formazione su queste tematiche.

Il Piano Nazionale per la protezione cibernetica e la sicurezza informatica, in linea con quanto previsto dal DPCM del 24 gennaio 2013, individua gli indirizzi operativi e le linee d’azione per dare concreta attuazione al Quadro strategico Nazionale per la sicurezza dello spazio cibernetico. E’ necessario, infatti, sviluppare le capacità di risposta del Paese alle minacce cibernetiche, in continua evoluzione.

Le risposte, pur nella loro complessità, debbono essere tra loro integrate, se si vogliono ottenere risultati efficaci. Si va dall’attenzione al singolo cittadino, alla cooperazione tra il settore pubblico e privato, alla comunicazione strategica, alla formazione e addestramento. Il punto della formazione e dell’addestramento appare di particolare rilevanza in quanto il fattore umano continua ad essere il punto debole della sicurezza (pur potendone costituire il punto di forza), ed è su questo che bisogna investire in modo determinante. Non è un caso che, di qualsiasi tipo di sicurezza parliamo, le misure perdono efficacia se non si presta attenzione anche alle persone che quotidianamente ne fanno uso, contribuendo in modo attivo alla costruzione della sicurezza.

Il principio che la persona può costituire un’importante strategia di prevenzione si rileva anche analizzando i dati di alcuni report sul tema della sicurezza informatica. Si veda, ad esempio, il rapporto Verizon 2015, che analizza oltre 2.100 violazioni accertate e circa 80.000 incidenti di sicurezza segnalati. Il report riconferma 9 tipologie di schemi di attacco già individuati nell’anno 2014: errori vari, crimeware, azioni di personale interno o utilizzo improprio di privilegi e autorizzazioni, perdite o furti fisici, attacchi aWeb app, Denial of Service, cyberspionaggio, intrusioni nei sistemi POS (Point-of- Sale), skimmer per carte di pagamento. Ma emergono anche alcuni preziosi consigli per le aziende, tra cui l’importanza di agire sulle persone, che possono costituire una prima linea di difesa aziendale.

Del resto, anche in attacchi sofisticati come gli APT (Advanced Persistent Threats), si rileva che spesso è proprio la “persona” a costituire il bersaglio studiato dai cybercriminali allo scopo di trovare il punto di ingresso nelle organizzazioni.

Ma come agire sul fattore umano? E, soprattutto, con quali modalità?

Prima di tutto l’intervento deve andare nella giusta direzione: sviluppare cultura della sicurezza in ambito informatico non può consistere nella sola erogazione di corsi formativi, se l’obiettivo che ci si prefigge è quello di raggiungere una consapevolezza dei rischi cyber e della propria capacità di prevenirli e/o di gestirli. Nella pratica quotidiana assistiamo all’utilizzo di parole sicuramente attrattive dal punto di vista tecnico, come quella di awareness, ma che poi devono tradursi in efficaci programmi di informazione, formazione e addestramento.

La consapevolezza, infatti, va ben oltre la conoscenza: possiamo conoscere, ma non per questo essere consapevoli. E’ necessario integrare conoscenza ed esperienza. Attraverso metodologie interattive, case analysis, role playing, simulazioni, è possibile, ad esempio, far comprendere gli impatti di un attacco informatico, di una perdita di dati. E, nel contempo, l’importanza del proprio comportamento per la prevenzione. Ma nella progettazione di questi interventi didattici è altrettanto necessario coinvolgere figure professionali con esperienza soprattutto nel campo delle metodologie formative. Pena la perdita dell’efficacia di questo tipo di formazione.

Gli stessi operatori della sicurezza ritengono importante l’applicazione di metodologie ad hoc in ambito formativo. Secondo la recente ricerca condotta dal Centro Studi Themis e dalla Scuola Etica&Sicurezza dell’Aquila relativamente ad EXPO2015 volta ad indagare la percezione relativa ai rischi e alle emergenze dell’esposizione universale, la quasi totalità degli operatori del settore sicurezza che ha partecipato all’indagine ritiene fondamentale la formazione e l’organizzazione di esercitazioni per sviluppare la capacità di risposta a problematiche di sicurezza. Particolarmente apprezzata sembra essere la simulazione, approccio didattico volto a riprodurre situazioni, ambienti, fenomeni e i comportamenti che ne conseguono.

Va da sé che l’efficacia delle attività formative e informative si raggiunge solo se si adottano criteri di qualità: adeguata progettazione degli interventi, scelta di metodologie in funzione degli obiettivi, selezione di docenti qualificati.

Auspicabile è inoltre il ricorso alle scienze sociali e comportamentali per promuovere il cambiamento culturale nei propri programmi di sicurezza informatica. L’evoluzione dell’information security e del risk management richiedono, infatti, cambiamenti anche di approcci e strategie, nonché il coinvolgimento di tutti gli attori interessati. Per questo, ad un’attività di formazione e di addestramento da destinare al mondo istituzionale e aziendale, deve accompagnarsi un’azione sempre più intensa di sensibilizzazione degli utenti in generale affinché sviluppino un’adeguata e realistica percezione dei rischi della Rete.

GLI INDIRIZZI OPERATIVI DEL PIANO NAZIONALE PER LA PROTEZIONE CIBERNETICA E LA SICUREZZA INFORMATICA

  1. Potenziamento delle capacità di intelligence, di polizia e di difesa civile e militare
  2. Potenziamento dell’organizzazione e delle modalità di coordinamento e di interazione a livello nazionale tra soggetti pubblici e privati
  3. Promozione e diffusione della cultura della sicurezza informatica. Formazione e addestramento
  4. Cooperazione internazionale ed esercitazioni
  5. Operatività del CERT nazionale, del CERT-PA e dei CERT dicateriali
  6. Interventi legislativi e compliance con obblighi internazionali
  7. Compliance a standard dei protocolli di sicurezza
  8. Supporto allo sviluppo industriale e tecnologico
  9. Comunicazione strategica
  10. Risorse
  11. Implementazione di un sistema di Information Risk Management nazionale

RIFERIMENTI BIBLIOGRAFICI

  • Corradini I., Il sondaggio su EXPO2015, tra informazione, sicurezza e reputazione. In Reputation Today n. 4/2015, Reputation Agency.
  • Corradini I., Fattore umano e sicurezza ICT, Forum ICT, 2013.
  • Presidenza del Consiglio dei Ministri, Piano Nazionale per la protezione cibernetica e la sicurezza informatica, Dicembre 2013.
  • Presidenza del Consiglio dei Ministri, Quadro Strategico Nazionale per la sicurezza dello spazio cibernetico, Dicembre 2013.
  • Verizon, 2015 Data Breach Investigations Report. http://www.verizonenterprise.com/DBIR/2015/

A cura di Isabella Corradini, Presidente Themis Centro Ricerche Socio-Psicologiche e Criminologico-Forensi
www.themiscrime.com

Articolo pubblicato sulla rivista ICT Security – Maggio 2015

Condividi sui Social Network:

Articoli simili