cefriel-cybersecurity

Sustainable Cybersecurity

Cybersecurity, quanto conta il fattore umano?

Vision

Novembre 16, 2022

Semplificando al massimo, si può dire che la sicurezza informatica indichi la difesa dei sistemi IT dalle minacce causate dai cyber criminali. I loro bersagli sono, per esempio, la manipolazione dei sistemi, l’estorsione o esportazione di dati e l’interruzione o alterazione dei servizi. Cosa succede nel caso quando pensiamo alle persone come bersagli al posto dei sistemi IT? Posto che, come detto in precedenza, lo scopo di un aggressore è sempre lo stesso: attaccare una persona, anche se questo implica un processo diverso nella tattica di attacco. Questo implica il coinvolgimento dell’ingegneria sociale e delle scienze umane (per es., psicologia o scienze comportamentali invece dell’informatica). In ogni caso, dal risvolto della medaglia che interessa la cybersecurity, cosa implica avere a che fare con le persone? Cosa implica, per esempio, eseguire test di penetrazione convincenti o una scansione delle vulnerabilità per testare a fondo le debolezze umane? Non si tratta semplicemente di inviare un’e-mail di phishing e aspettare i clic. Come si può effettuare sulle persone un’analisi delle minacce o un’intelligence delle minacce? Inoltre, come può fare un’azienda a calcolare il rischio cyber rappresentato da una persona e quali sono i modi efficaci per ridurlo? Se mettiamo solo persone (sia dipendenti che operatori della sicurezza IT) al centro della cybersecurity, le questioni diventano molteplici.

Rischio e percezione: quale legame e quali implicazioni in ambito cybersecurity?

Nel libro The Black Swan, Nassim Taleb descrive il legame tra i concetti di rischio e percezione: se una persona non ha sperimentato un certo evento, probabilmente tenderà a sottostimare la possibilità che quell’evento la tocchi direttamente. Come ipotizzato dal sociologo Ulrich Beck, un teorizzatore della società del rischio, è possibile anticipare i pericoli e superare le paure soltanto se si comprende che il rischio è al centro della vita di ciascuno di noi. Questa lezione si applica al rischio nella sua accezione più ampia e diffusa, ma si può anche applicare al rischio cyber agli IT/OT security incident teams. La comprensione del rischio (incluso il rischio digitale) è fondamentale per sapere come orientarsi in periodo di crisi mai sperimentato prima, soprattutto per capire quale direzione prendere.

Poiché non si può eliminare il rischio, lo si deve quindi capire e anticipare. Anticipare il rischio serve a considerare che il peggio potrebbe capitare, ma anche a mettere in discussione le proprie certezze, convinzioni, pregiudizi e ideologie.
I rischi cyber causati dagli umani hanno impatti diversi su dipendenti e operatori della security. Oggi i dipendenti vengono solitamente colpiti da attacchi condotti tramite social engineering, che li porta a eseguire azioni rischiose. Si tratta di una trappola comune per le aziende, ma si sta rivelando problematico anche per gli impianti OT. Come per l’ambito sanitario, la motivazione risiede, oltre alla maggiore esposizione degli impianti OT su Internet, nella diversa formazione e preparazione degli operatori OT.

Un’altra fonte di rischio cyber collegata alle persone, spesso non considerata, riguarda gli operatori dei Security Operation Center (SOC) o, in generale, le persone coinvolte nei team di difesa. Concentriamoci su questo secondo aspetto: contraddizioni o fraintendimenti tra operatori IT e OT portano a sottostimare le crisi e, in definitiva, ad accrescere il rischio cyber. Fink et al. evidenziano che “aiutare gli operatori IT e OT a collaborare” riduce i rischi cyber. Tuttavia, quest’ambito di ricerca è ancora agli inizi, data la scarsità di pubblicazioni rilevanti.

Il valore della co-progettazione orientata al rischio cyber

Per completare un ciclo di vita nella gestione del rischio cyber in ambito cybersecurity occorre gestire un duplice problema: estendere il modello di rischio cyber per includere, come discusso, le conseguenze delle minacce collegate all’elemento umano (vale a dire, incrementare i risultati del progetto europeo DOGANA) e avviare una fase di co-progettazione con le persone interessate per ottimizzare i flussi di comunicazione tra i team di security IT e OT.

La co-progettazione orientata alla minimizzazione del rischio cyber ha l’obiettivo di risolvere i problemi di comunicazione fra i team IT e OT per ridurre rischi cyber legati all’elemento umano, che nascono da contraddizioni presenti nelle interazioni dei team. Da un punto di vista generale, i team di sicurezza IT e OT hanno approcci mentali e culturali differenti, pertanto l’aspetto davvero cruciale sta nel coordinare utenti con esperienze e linguaggi diversi.

Contattaci
Pianifica con noi il primo passo verso il futuro della tua impresa

Contatti

Nome*(Obbligatorio)
Autorizzo Cefriel al trattamento dei miei dati ( privacy policy ) per ricevere informazioni promozionali su servizi, eventi e prodotti.(Obbligatorio)
Autorizzo Cefriel al trattamento dei miei dati (privacy policy) per ricevere informazioni promozionali su servizi, eventi e prodotti. *
Hidden

* informazioni obbligatorie