Le persone devono essere parte integrante e attiva del processo di difesa e protezione aziendale dalle minacce cyber.
Per fare questo, occorre affrontare la questione “elemento umano” della sicurezza informatica con un approccio multiculturale e olistico, che includa fattore umano, scienze umane, governance e tecnologie, per garantire nel tempo una cybersecurity sostenibile sia in termini economici, sia di tecnologie, processi, persone e competenze.
La People Analytics, un approccio attraverso il quale ottimizzare il bisogno formativo individuale collegandolo ai profili di rischio delle singole persone, può essere adattata nel contesto della cybersecurity per aumentare la resilienza delle persone ai rischi cyber.
Se ne parla nel nuovo white paper “Sicurezza informatica ed elemento umano - Rischi e interventi di mitigazione, ripartendo dalle persone”, pubblicato da Cefriel, centro di innovazione digitale fondato dal Politecnico di Milano, per aiutare le imprese e il tessuto socio-economico del Paese a crescere e svilupparsi grazie alla valorizzazione e all’incremento delle conoscenze e competenze nel campo delle tecnologie e dei servizi digitali.
Il testo - a cura di Enrico Frumento, Cybersecurity Research Lead di Cefriel - spiega perché è fondamentale che le persone acquisiscano consapevolezza del proprio ruolo nei meccanismi di difesa e protezione aziendale e come intervenire affinché possano partecipare attivamente nella prevenzione e mitigazione degli attacchi informatici.
I dati del Barometro Cybersecurity 2023
Come rilevato dal Barometro Cybersecurity 2023 - curato da NetConsulting cube in collaborazione con Eucacs e InTheCyber - la minaccia emergente legata all’intelligenza artificiale è accompagnata da alcuni gap nella gestione cyber che non sono ancora stati pienamente colmati, soprattutto nell’ambito della supply chain e degli ambienti OT e IoT.
Il confronto tra il livello di maturità nei vari settori e la percentuale di attacchi cyber registrati in Europa e in Italia nel primo semestre 2023 indica come il settore della Pubblica Amministrazione sia ancora il più colpito dagli attacchi cyber, registrando il 19% degli attacchi in Italia e il 23% in Europa.
Significativo anche il numero di attacchi subiti dal settore Industria (17%), che risulta essere più del doppio rispetto alla media europea (7%), a dimostrazione del fatto che molto ci sia ancora da fare per le industrie sugli aspetti di cybersecurity.
Tra i fattori critici su cui intervenire, secondo il rapporto Netconsulting, emergono in particolare la formazione e le risorse da destinare a investimenti in sicurezza informatica non sempre sufficienti, sebbene in crescita di oltre il 12% annuo.
Perché è importante ripartire dall’elemento umano nelle strategie di cybersecurity
Allo stato attuale, gran parte del mercato della sicurezza informatica si concentra sugli aspetti tecnici di un attacco, mentre si lavora poco sul cosiddetto “elemento umano”, centrale secondo il Global Risk Report di World Economic Forum, visto che i rischi legati al comportamento delle persone rappresentano quasi il 95% del totale.
“Nella cybersecurity - spiega Enrico Frumento - le persone sono troppo spesso colpevolizzate nel momento in cui si verifica un incidente informatico, come se fossero solo un’altra fonte di rischio informatico di cui doversi occupare.
Ma le persone non sono sistemi informatici e hanno quindi bisogno di soluzioni specifiche. Dovremmo ripartire dal chiederci come si può effettuare un’analisi delle minacce sulle persone, come può un’azienda calcolare il rischio cyber rappresentato da una persona e quanti sono i modi efficaci per ridurlo.
In generale, come si possa ripensare la security a partire dal cosiddetto human-element. Su questo abbiamo ragionato scrivendo questo white paper”.
Quale approccio adottare per difendere e proteggere l’azienda dalle minacce cyber?
Come approfondito nel white paper, le persone devono essere parte integrante e attiva del processo di difesa e protezione aziendale, con l’obiettivo ultimo di indurre un cambiamento comportamentale stabile nelle persone.
Per fare questo, occorre affrontare la questione “elemento umano” legato alla cybersecurity con un approccio olistico e multiculturale.
“Posto che lo scopo di un aggressore è sempre lo stesso - spiega Frumento - attaccare una persona invece di un sistema IT implica un processo diverso che richiede la modifica della tattica di attacco, con il coinvolgimento dell’ingegneria sociale e delle scienze umane, come per esempio psicologia o scienze comportamentali e le teorie legate alla gestione e modellazione degli errori umani”.
I Social Driven Vulnerability Assessment, come ogni Vulnerability Assessment o Penetration Test, sono un campionamento estemporaneo del rischio cyber che perde validità al cambiamento di tantissime variabili: per questo si può ripartire da un modello di Human Risk Management per entrare nel paradigma della continuous security, ripartendo dalle persone.
La People Analytics per la riduzione del rischio cyber
La People Analytics - come sottolineato nel white paper - è un approccio che permette di ottimizzare il bisogno formativo individuale, collegandolo ai profili di rischio delle singole persone, nel pieno rispetto della normativa sulla protezione dei dati personali.
In questo caso il vantaggio è quello di trasformare la formazione da strumento per la formazione professionale o la riqualificazione in strumento per la riduzione del rischio cyber in grado di aumentare la resilienza delle organizzazioni.
La people analytics nasce come approccio analitico alle risorse umane per la gestione delle persone sul lavoro, che è poi stato utilizzato con successo in molti contesti diversi per migliorare i processi della forza lavoro e promuovere le competenze dei dipendenti e secondo Cefriel può essere efficacemente adattata nella cybersecurity per aumentare la resilienza delle persone ai rischi cyber.
Questo avviene correlando le stime di rischio individuali (calcolate con frequenza adeguata, con una logica di continuous security, sulla base ad esempio dei risultati delle simulazioni di phishing, delle stime di rischio del portfolio gestito, della preparazione valutata anche tramite questionari, o dello specifico ruolo aziendale) con i programmi formativi migliori.
“La people analytics può essere un valido approccio anche nel settore manifatturiero, indubbiamente tra quelli più colpiti, come si evince dai dati europei pubblicati da SME ISAC - European DIGITAL SME Alliance.”, spiega Frumento.
“Per la mia esperienza potrei dire che i blue collar hanno bisogno di formazione, ma non credo ci siano approcci differenti rispetto al settore di appartenenza. C'è invece sicuramente un approccio corretto alla formazione del personale che tiene conto della persona, con le sue caratteristiche e vulnerabilità”.
Il white paper è scaricabile gratuitamente a questo link: https://www.cefriel.com/whitepaper/cybersicurezza-come-coinvolgere-le-persone-nella-mitigazione-dei-rischi/?utm_source=press&utm_medium=article&utm_campaign=cybersecurity.
