Gli esperti di sicurezza spiegano come i leader IT possono collaborare con i dipendenti per garantire che le strategie e le tecniche di sicurezza siano effettivamente implementate.

La migliore difesa contro gli attacchi informatici non sono le soluzioni tecnologiche di sicurezza informatica, ma il rafforzamento dell’elemento umano.

Il rapporto sulle indagini sulla violazione dei dati di Business 2022 di Verizon ha rivelato che l’elemento umano continua a guidare le violazioni, rappresentando l’82% di tutti gli attacchi. E gli attacchi stanno diventando più aggressivi, con i ransomware che salgono del 13% in 24 mesi, un’impennata superiore a quella degli ultimi cinque anni messi insieme.

“Mentre continuiamo ad accelerare verso un mondo sempre più digitalizzato, soluzioni tecnologiche efficaci, solide strutture di sicurezza e una maggiore attenzione all’istruzione faranno la loro parte nel garantire che le aziende rimangano sicure e i clienti protetti”, ha affermato Hans Vestberg, CEO e presidente di Verizon.

Il rapporto di Verizon espone il costo dell’influenza umana: “Le persone rimangono, di gran lunga, l’anello più debole nelle difese della sicurezza informatica di un’organizzazione“, afferma l’azienda.

Il divario conoscenza-intenzione-comportamento

“Solo perché i membri del tuo team sono consapevoli di qualcosa non significa che gli importerà”

Il divario conoscenza-intenzione-comportamento spiega perché le violazioni continuano ad aumentare nonostante gli investimenti che le aziende fanno nella creazione di forti programmi di sensibilizzazione alla sicurezza informatica per tutti i lavoratori.

I lavoratori possono essere consapevoli delle minacce e dei rischi, di come lavorano e di cosa devono fare per evitarli, ma non riescono comunque a intraprendere le azioni necessarie per mantenere l’azienda al sicuro.

Per invertire questa situazione, le aziende devono colmare il divario tra conoscenza e intenzione per incoraggiare comportamenti corretti tra i propri dipendenti. Ciò richiede un approccio con cui il settore della sicurezza informatica altamente tecnica deve lottare: lavorare con la natura umana.

Lavorare con la natura umana

Programmi di sicurezza informatica efficaci funzionano con la natura umana perché le organizzazioni di criminali informatici sono diventate esperte nel manipolarla. I leader potrebbero chiedersi perché, se i loro dipendenti sono informati, si stanno innamorando di tutti i tipi di truffe e campagne di phishing?

La risposta non ha nulla a che fare con quanto siano intelligenti i dipendenti. Le tecniche di maggior successo per violare un sistema non dipendono da malware sofisticati ma da come manipolano le emozioni umane. Gli aggressori sfruttano la naturale curiosità, impulsività, ambizione ed empatia.

Un altro metodo è la vecchia tecnica di marketing di offrire cose gratuitamente. Le campagne pubblicitarie clickbait possono essere incredibilmente efficaci e per i criminali informatici sono gateway per scaricare malware e ransomware. Prometteranno denaro, opportunità di investimento o solo un autolavaggio gratuito, sapendo che è molto difficile per gli esseri umani resistere a un’offerta apparentemente innocua e allettante.

Un’altra tendenza in aumento manipola l’empatia umana. Nel 2020, l’FBI ha avvertito dell’emergere di schemi di frode relativi al COVID-19 e, nel maggio 2022, l’Internet Crime Complaint Center IC3 dell’FBI ha avvertito che i truffatori si spacciavano per entità ucraine che richiedevano donazioni. I criminali non si fermeranno davanti a nulla e useranno le crisi umanitarie o gli eventi post-disastri naturali per fabbricare attacchi di ingegneria sociale.

I criminali informatici stanno anche creando attacchi altamente personalizzati utilizzando le informazioni dei dipendenti che ottengono attraverso i social media e i siti online. Inoltre, sapendo che un datore di lavoro risponde a un manager, alle risorse umane o al CEO di un’azienda, farà leva su quella relazione e impersonerà le persone autorevoli all’interno dell’organizzazione. Una delle truffe pià diffuse si basa sull’invio di messaggi falsi dal CEO con istruzioni per trasferire fondi a un conto di un fornitore fasullo o ingannare i dipendenti in altri schemi fraudolenti di compromissione delle e-mail aziendali.

Comunicazione, comportamento e gestione della cultura

Le aziende dovrebbero fornire una formazione continua sulla sicurezza per i propri dipendenti in tre aree:

  • Comunicazione
  • Comportamento
  • Gestione della cultura

Ecco i punti chiave che i leader possono utilizzare per creare lezioni per ogni sezione.

Lezioni di comunicazione

  • Comprendi il tuo pubblico e ciò che apprezza.
  • Cattura l’attenzione delle persone e connettiti con le emozioni: rendi i tuoi messaggi avvincenti. Non limitarti a condividere fatti, ma usa storie ed esempi per connetterti.
  • Avere un chiaro invito all’azione: dì ai tuoi team, in particolare, cosa devono fare.

Lezioni di comportamento

  • Riconosci il divario conoscenza-intenzione-comportamento come una realtà che influenza qualsiasi comportamento che speri di incoraggiare o scoraggiare. I membri del tuo team potrebbero avere le conoscenze di cui hanno bisogno e le migliori intenzioni, ma il tuo obiettivo è in definitiva avere un impatto sui loro comportamenti.
  • Le persone non sono razionali. Dobbiamo aiutarli con suggerimenti, strumenti e processi che rendano i comportamenti più facili e sembrino più naturali.
  • Posizionare gli strumenti e la formazione il più vicino possibile al punto del comportamento.

Lezioni di gestione della cultura

  • Comprendi la tua cultura così com’è attualmente utilizzando sondaggi di misurazione della cultura, focus group, osservazione e altro ancora.
  • Identifica potenziali “portatori di cultura” che sono attrezzati e abilitati per aiutare a supportare la mentalità e i comportamenti che desideri vedere esposti in tutto il tuo team.
  • Progetta strutture, pressioni, ricompense e rituali che saranno in corso e affronteranno le differenze uniche tra i vari gruppi.

Simulazioni Endpoint Privilege Management (EPM) e phishing

Nel 2021, IBM ha rivelato che il costo medio di un attacco agli endpoint è di 4,27 milioni di dollari. Man mano che i modelli di lavoro ibridi diventano la norma e la superficie di attacco si espande con milioni di nuovi dispositivi connessi al di fuori delle reti aziendali, le soluzioni di sicurezza informatica come Endpoint Privilege Management (EPM) e le simulazioni di phishing aumentano di livello per rispondere alle lacune di sicurezza.

Accenture ha recentemente evidenziato come gli EPM potrebbero consentire agli utenti di svolgere il proprio lavoro in modo efficiente e sicuro senza rischiare violazioni. Gli EPM forniscono agli endpoint un set minimo di privilegi rimuovendo i diritti amministrativi dalla base di utenti e controllando quali app possono essere eseguite. “Solo le applicazioni controllate e affidabili possono essere eseguite e lo fanno con il minor numero possibile di privilegi”, spiega Accenture.

Un altro strumento di sicurezza che sta diventando sempre più critico per identificare le vulnerabilità dell’elemento umano e rafforzare le lacune durante l’educazione degli utenti sono le simulazioni di phishing. I team IT simulano campagne di phishing per vedere come rispondono i lavoratori. Ciò consente ai team di testare la propria posizione di sicurezza, identificare i punti deboli e imparare dalle simulazioni.

0 Comments