TUTTI GLI ARTICOLI  >  Information Security

Vulnerabilità informatica: quando il maggior pericolo è il fattore umano!

25 settembre 2019 / Di Giorgia Dragoni / Nessun commento

Quando si parla di sicurezza informatica e protezione dei dati informativi, non si può tralasciare il cosiddetto fattore X, l’elemento di incertezza legato al comportamento umano.

Spesso le aziende investono su sistemi di protezione sofisticati in grado di proteggere l’organizzazione da attacchi informatici esterni, ma non valutano il rischio legato al comportamento dei propri utenti. L'anello debole della catena potrebbe essere proprio l'uomo, la vulnerabilità informatica di un'azienda è quasi sempre legata all'errore umano. Ma come gestire il fattore umano? La risposta è la formazione.

 

Vulnerabilità informatica e Social engineering

I casi più emblematici di crimine informatico legato agli errori umani, sono quelli di social engineering: gli hacker non sfruttano più soltanto le falle dei sistemi informatici, ma arrivano a manipolare la psicologia umana per ottenere informazioni sensibili dai dipendenti di un’azienda.

Fenomeni di questo tipo sono all'ordine del giorno: basti pensare alle tante mail di phishing che contengono link malevoli, che rimandano a pagine web clonate simili in tutto e per tutto ai siti originali e che spingono l’utente ad inserire le proprie credenziali o che inducono il destinatario a scaricare sul proprio dispositivo un allegato infetto.

In questo contesto, le persone costituiscono la vulnerabilità principale per la sicurezza informatica in azienda, a causa della mancata consapevolezza sui rischi cyber. 

Scarica l'Infografica

 

Quali vulnerabilità per la sicurezza informatica?

A supporto di quanto detto, ecco qualche dato. Nonostante il tema della sicurezza informatica sia sempre più rilevante nelle aziende, continuano ad esserci diversi punti di debolezza nella sua gestione. In particolare, dalla Ricerca dell’Osservatorio Information Security & Privacy emergono 3 tipologie di vulnerabilità che aumentano il rischio di esposizione delle aziende agli attacchi cyber:

  1. Sistemi informatici obsoleti o eterogenei;
  2. Aggiornamenti e patch non effettuati regolarmente;
  3. Noncuranza e scarsa consapevolezza dei dipendenti.

Mentre le prime due criticità risultano diffuse rispettivamente nel 41% e nel 39% dei casi, la terza è stata segnalata dall’82% delle aziende intervistate. Questo significa che per proteggere le aziende dai criminali informatici occorre non solo investire in tecnologie di sicurezza adeguate, ma anche affrontare il problema della scarsa formazione dei dipendenti.

 

Come sensibilizzare i dipendenti alla sicurezza informatica

Per mitigare la vulnerabilità legata alle risorse umane, le aziende devono sviluppare programmi di sensibilizzazione mirata per formare i dipendenti sui temi della sicurezza informatica e della protezione dei dati.

Ma come si definisce un piano strategico per la gestione del fattore umano? Innanzitutto è necessario definire un budget dedicato alla formazione, la quale deve essere in linea con la posizione e le esigenze dei dipendenti.

A questo punto occorre il supporto del top management, che deve considerare la sicurezza informatica come un tema strategico. Infatti, un potenziale danno alla sicurezza informatica può danneggiare gravemente l’azienda in termini economici e reputazionali e occorre una vera e propria cultura alla sicurezza per saperla gestire.

Gli obiettivi delle aziende

L’80% delle aziende ha già avviato un piano di formazione dei propri dipendenti sui temi della cyber security. Tali programmi di formazione vengono messi in atto con diversi obiettivi e offrono diverse linee guida e indicazioni per i dipendenti.

Per quanto riguarda gli obiettivi, le aziende perseguono principalmente:

  • la sensibilizzazione dei dipendenti per renderli consapevoli delle minacce cyber, cercando di ridurre l’incidenza degli errori umani e i costi legati a un eventuale danno reputazionale;
  • la conformità con le normative sulla sicurezza e la protezione dei dati, per evitare di subire sanzioni;
  • l’educazione dei dipendenti in merito alle policy e procedure già definite dall’organizzazione ma che non vengono rispettate adeguatamente.

Le linee guida per i dipendenti

Nelle aziende che offrono linee guida per gestire le situazioni di rischio informatico, le indicazioni più diffuse riguardano:

  • identità e accessi;
  • gestione delle password;
  • gestione e utilizzo di dispositivi aziendali;
  • risposta agli incidenti;
  • classificazione delle informazioni.

Tuttavia, proprio il mancato rispetto delle policy da parte dei dipendenti è uno degli elementi che contribuisce maggiormente alla vulnerabilità informatica dell’azienda.

 

Vulnerabilità informatica legata agli errori umani: i casi più eclatanti

Nell’era in cui il fenomeno del BYOD (Bring Your Own Device) è sempre più diffuso all’interno delle aziende, si sono moltiplicati i casi in cui il furto o lo smarrimento di un dispositivo (dal portatile, al telefono o tablet, alla chiavetta USB) provocano la conseguente esposizione di dati riservati o di informazioni che mettono a rischio la sicurezza dei sistemi aziendali.

Si calcola che circa il 95% dei reati informatici siano causati dal fattore umano. E ce ne sono anche di alcuni eclatanti.

Sony, vittima illustre del fattore umano

Il celeberrimo attacco ai danni di Sony Pictures Entertainment del 2014 ha portato alla perdita di 100 Terabyte di dati progressivamente diffusi online e messo fuori uso i sistemi aziendali per settimane, fu originato da una mail di phishing, che chiedeva ai destinatari di inserire in un sito falso le credenziali dei loro ID Apple per verifica.

Attacco hacker al Pentagono

Stesso scenario nel caso dell’attacco hacker al Pentagono nell’agosto del 2015 in cui, a seguito di una mail di spear phishing, furono trafugati i dati di oltre 4.000 persone tra militari e civili.

Il caso WannaCry

Anche il caso “WannaCry”, avvenuto a maggio 2017 e declinatosi in una campagna di attacco massiva che ha infettato i sistemi di centinaia di migliaia di vittime in oltre 150 Paesi, ha avuto all’origine il fattore umano. L’attacco, che ha sfruttato una vulnerabilità di Windows per generare una diffusione di Ransomware, ha infatti utilizzato come strumento di ingresso nel perimetro delle organizzazioni alcune email di phishing.

Vai al Webinar