La Security Awareness è uno dei pilastri su cui si reggono le aziende sane e capaci di affrontare le sfide del mercato. Nonostante la sicurezza dei dati, dei sistemi e degli applicativi possa contare su strumenti di protezione sempre più sofisticati ed efficaci, le imprese devono riuscire a ridurre la quantità e l’impatto degli errori umani, che rappresentano ancora una seria minaccia.
Il costo dell’errore umano: 3,33 milioni di dollari (in media)
Cosa si intende, in quest’ambito, per errore umano? Una definizione calzante lo associa a tutte le azioni (o inattività) delle persone che causano, in modo non intenzionale, una violazione di sicurezza. Non proteggere certe risorse, inviare documenti confidenziali via e-mail al destinatario sbagliato, configurazioni errate, esposizione involontaria dei dati e molto altro: sono tutti errori umani passibili di serie conseguenze per l’azienda. I dati confermano l’impatto del fenomeno: secondo la ricerca Cost of Data Breach Report 2020 di IBM Security, il 23% di tutte le violazioni esaminate è stato originato da un errore umano e ha causato un danno economico medio di 3,33 milioni di dollari. Le violazioni più frequenti sono però dovute ad attacchi malevoli (52% dei casi) e hanno generato un danno medio di 4,27 milioni di dollari per singolo attacco; essendoci dolo, quest’ultimo dato è comprensibilmente superiore rispetto a quello dell’errore umano.
Per introdurre il discorso della Security Awareness bisogna, però, approfondire questi dati: IBM distingue in modo netto le due categorie, ma se al posto di errore umano parlassimo di tutti quei casi in cui il fattore umano è – sia pur involontariamente – determinante nella violazione, al 23% appena riportato dovrebbe sommarsi almeno un 3% di attacchi dovuti a Social Engineering, un rilevante 14% di Phishing e un 5% di BEC – Business e-mail Compromise, nota a molti come la Truffa del CEO. Queste percentuali, infatti, nello studio IBM rientrano tra gli attacchi malevoli, ma è palese quanto in ognuno di essi il fattore umano non solo abbia un ruolo importante, ma sia l’anello debole della catena.
Come prevenire l’errore umano: i benefici della Security Awareness
La Security Posture di un’azienda identifica lo stato di salute della sicurezza informatica e il livello di rischio cui è soggetta: si tratta di un’entità complessa nella quale convergono policy, processi e strumenti, ma anche cultura e comportamenti, che sono ancor più importanti da quando molte persone possono operare ovunque si trovino, senza limiti di spazio, di orario e di device, che potrebbe anche essere quello personale. A 2020 inoltrato, può sembrare strano avere ancora a che fare con password non sicure (il classico “123456”), con malware che vengono attivati cliccando sugli allegati delle e-mail, con un Phishing dilagante e con CEO Fraud che ormai è una quota sensibile di tutti gli attacchi di Social Engineering: spesso basta una telefonata al “vero CEO” per non cadere nella trappola, ma la scarsa consapevolezza della minaccia, la stanchezza e l’uso di forti leve psicologiche (urgenza, ansia…) sono più che sufficienti per causare danni.
Più che curare, bisogna prevenire. Soprattutto oggi, di fronte a uno Smart Working sempre più pervasivo, disporre di strumenti e organizzare attività di Security Awareness è fondamentale per sensibilizzare le persone sul tema della sicurezza, per condividere le policy aziendali e fornire loro strumenti e competenze con cui prevenire le violazioni. Oltre alla consapevolezza e agli strumenti, la Security Awareness plasma il mindset giusto con cui affrontare le sfide di ogni giorno nella certezza di non mettere a rischio l’azienda.
Per quanto concerne, infine, le modalità concrete con cui porre in essere la Security Awareness, le aziende hanno un ventaglio di opzioni tra cui scegliere e possono gestire l’attività internamente o tramite consulenti specializzati: quest’ultima ipotesi è spesso preferibile poiché le tecniche di attacco, gli strumenti e le dinamiche cambiano ed evolvono continuamente, rendendo la Security Awareness un’attività continuativa. A livello di strumenti andiamo dalle tradizionali sessioni di formazione e di micro-formazione, utili per tenere alta la concentrazione, fino a strumenti e piattaforme avanzate, che oltre a incorporare un’area di e-learning, sfruttano la Gamification per tenere alto il coinvolgimento e simulano attacchi di ogni genere e natura (es, un’e-mail di phishing analoga a un attacco realmente accaduto) valutando non solo il comportamento dell’utente in proposito, ma anche il suo progresso nel corso del tempo.
