PEBKAC è un acronimo inglese che significa “Problem Exists Between Keyboard And Chair”, ovvero “Il problema sta fra tastiera e sedia”. Così scherzano i professionisti IT per indicare che l’utente medio è tipicamente la vera causa dei malfunzionamenti tecnici attribuiti alle soluzioni informatiche, hardware o software.
Il termine trae spunto da una vignetta umoristica in voga alla fine degli anni Novanta tra gli addetti al settore, ma non potrebbe avere una valenza più attuale. Oggi, nel complicatissimo panorama della cybersecurity, il fattore umano è annoverato dai CISO (Chief Information Security Officer) tra le principali fonti di rischio.
L’indagine realizzata da Proofpoint, fornitore di soluzioni cloud per la sicurezza informatica, in collaborazione con il gruppo di espertiCybersecurity Digital Club, ha messo in luce le preoccupazioni dei CISO nazionali, sondando un campione rappresentativo di 103 intervistati. La componente umana si classifica tra le maggiori criticità del prossimo biennio, come indica il 94% dei rispondenti.
L’importanza del contesto e del fattore umano
Durante l’incontro stampa per la presentazione dei risultati, Emiliano Massa, AVP, Southern Europe, Proofpoint, fornisce i contorni dello scenario. «Dal 2020 – spiega – alcuni passaggi chiave hanno determinato la necessità di cambiare approccio alla cybersecurity. La pandemia ha determinato il ricorso forzato al remote working per mantenere la continuità operativa, spesso a discapito della sicurezza. Il fenomeno delle Grandi Dimissioni ha imposto un ripensamento su come normare la gestione dei dati all’interno delle aziende. Il cloud ha stravolto le regole del gioco, ampliando la superficie di attacco: colpendo un provider, la minaccia si propaga ai suoi utenti».
Come suggerisce Massa, oggi gli approcci alla sicurezza basati su regole statiche falliscono, mentre diventa necessario capire il contesto per definire le politiche in grado di mitigare i rischi. Le persone restano al centro di ogni potenziale perdita di dati, indipendentemente dall’intenzionalità (ad esempio, il furto di informazioni può avere origine dolosa oppure avvenire per l’ingenuità di un utente che ha ceduto le credenziali di accesso).
«Per difendersi – suggerisce Massa – bisogna lavorare sul fattore umano, perché c’è sempre qualcuno che clicca il bottone sbagliato al momento sbagliato».
Il rischio insider e la necessita di prevenzione
Massimo Angiulli, Systems Engineering Manager, Proofpoint, prende parola per condividere i numeri più significativi della ricerca: il 16% dei CISO italiani ha confermato di aver subito un data breach, mentre il 10% delle aziende non sa se è stato attaccato. «Solo la metà degli episodi di violazione dei dati – riporta Angiulli – ha responsabilità esterne, ovvero dipende dalle azioni della criminalità informatica. Il 13% dei casi è imputabile a un utente interno che agisce con dolo; una percentuale analoga avviene per colpa di un insider ingenuo o negligente che, seppure in buona fede, utilizza i dati aziendali impropriamente; un ulteriore 13% si verifica attraverso il furto di credenziali (ovvero con l’inganno: il criminale agisce sotto copertura, mascherandosi da utente interno, ndr)».
Il 25% dei data breach invece è frutto delle vulnerabilità del sistema operativo, su server, endpoint o altro dispositivo (quindi ha origini prettamente tecniche).
«Insomma – interviene Davide Gaieni, CISO di Aon e membro del Cybersecurity Digital Club – la sicurezza è una questione afferente al business, non semplicemente tecnologica».
Bisognerebbe quindi lavorare sull’awareness degli utenti aziendali e sulla prevenzione delle minacce, anche attraverso esercitazioni e attività di simulazione, secondo quanto suggerito da Gaieni.
Eppure, come dimostrano le statistiche, le aziende italiane sono più brave nel rispondere a un attacco in corso piuttosto che nell’identificare e neutralizzare le minacce. «Indubbiamente – sostiene Gaieni – gli attaccanti sono bravi e sanno come non farsi intercettare. Tuttavia, c’è anche uno sbilanciamento nella distribuzione dei budget: le aziende investono in sicurezza soltanto a incidente già avvento, quindi con funzione reattiva, spendendo soprattutto in soluzioni di remediation. Le attività di detection invece vengono trascurate e difficilmente diventa possibile rilevare eventuali anomalie e intercettare le minacce, mitigando i rischi in logica preventiva».
Il costo degli attacchi e la difesa end-to-end
Oggi tuttavia, investire in una strategia di sicurezza olistica, che include tutti gli stadi del processo di difesa (Identify, Protect, Detect, Respond, Recover) è fondamentale, soprattutto alla luce dei danni provocati dagli incidenti informatici.
«Il costo di un cyberattacco – precisa Angiulli – si ripercuote sulla reputazione nel 50% dei casi. Se un’azienda viene violata, rischia di diventare essa stessa un vettore di attacco al servizio dei criminali e così il danno all’immagine, con relative implicazioni economiche, diventa enorme». Tra le altre conseguenze degli attacchi andati a buon fine, i CISO italiani dichiarano perdite finanziarie (38%), sottrazione di dati critici e spese di ripristino (entrambe le voci si sono verificate in un quarto dei casi).
Il messaggio è chiaro: bisogna correre ai ripari, concentrandosi soprattutto sulle persone, che rappresentano l’anello debole della catena. I CISO italiani infatti dichiarano che gli episodi di rischio sono considerevoli: nell’80% dei casi, infatti, è capitato almeno una volta che i dipendenti aziendali cliccassero su link pericolosi oppure che facessero un uso incontrollato di dispositivi Usb (65%) o che scaricassero file da fonti sconosciute (57%). Ma la lista dei comportamenti scorretti è ancora lunga.
La formazione dei dipendenti e le campagne di sensibilizzazione sono la prima leva per migliorare la postura di sicurezza aziendale. Il 96% dei CISO nazionali, ovvero la quasi totalità, organizza corsi per aumentare la consapevolezza dei dipendenti circa le minacce via mail, che ad esempio sfruttano tecniche come il Phishing. Altri argomenti didattici riguardano la gestione delle password (88%) e le best practice di sicurezza (80%). Solo il 4% dei CISO invece ammette di non avere un programma di formazione continua sulla sicurezza informatica.
I Chief Information Security Officer sono attenti anche nella definizione di un piano per arginare il rischio insider (33%) e per promuovere l’adozione di tecnologie specifiche contro le minacce interne (65%). Tuttavia, la strada da compiere è ancora lunga, soprattutto perché manca visibilità sulle modalità di accesso ai dati sensibili (31% dei casi) e su dove vengono archiviati (24%).
Costruire una strategia di sicurezza completa
Ma se l’obiettivo dei CISO è costruire un piano di difesa coerente e completo, come si convincono i decisori aziendali a investire in sicurezza su tutta la linea?
“Bisogna portare al tavolo una strategia strutturata, concreta e lungimirante” dichiara Angiulli. “Proporre una soluzione a un problema specifico, come ad esempio la protezione delle email, magari dopo il verificarsi di un incidente, sortisce consenso, ma non è realmente efficace al fine di migliorare la postura di sicurezza dell’azienda. Bisogna piuttosto presentare un piano completo, che preveda l’integrazione di tecnologie differenti, fornisca una visione di insieme e permetta al business di comprendere i ritorni effettivi delle iniziative di sicurezza. Come vendor, ci impegniamo a garantire l’interoperabilità delle soluzioni di cybersecurity, permettendo ai CISO di costruire una strategia allineata alle esigenze e ai budget aziendali, con la libertà di scegliere le tecnologie secondo le proprie valutazioni, in logica best-of-breed”.
La chiave per ottenere la sponsorship del business, passa insomma per la definizione di un piano sostenibile, la scelta di tecnologie flessibili e un cambio di mindset degli addetti al settore, come puntualizza Gaieni. «I CISO – conclude – utilizzano un linguaggio troppo tecnico, mentre devono comunicare e relazionarsi con il business in maniera fluida per comprendere e soddisfare le effettive necessità aziendali. La cybersecurity viene vista tipicamente come l’ufficio del “no” , ma è arrivato il momento di superare questa concezione». Secondo Gaieni, cambiare approccio è indispensabile, soprattutto perché la cybersecurity non ha rappresentanza diretta nel board aziendale, ma passa attraverso la figura del CIO (Chief Information Officer) creando un potenziale conflitto di interessi (il Direttore dei Sistemi Informativi tende infatti a privilegiare la disponibilità dei servizi, mentre il CISO ha il compito di elevare le barriere protettive).
Concludendo, la sicurezza deve essere un lavoro di squadra, è “una questione di business” che impone uno sforzo collettivo, coinvolgendo l’intera organizzazione.