Il ruolo del fattore umano nella lotta al rischio cyber

Home PA Digitale Il ruolo del fattore umano nella lotta al rischio cyber

Come si devono attrezzare le amministrazioni e, in particolare, i Responsabile per la transizione al digitale per incrementare il livello di consapevolezza del rischio cyber? Formazione continua, analisi del rischio e conoscenza della propria organizzazione sono gli elementi che vanno affiancati alla componente tecnologica per avere la complementarità necessaria a rafforzare il perimetro di sicurezza

21 Ottobre 2021

G

Pier Paolo Gruero

CISO di CSI Piemonte

Photo by Redd on Unsplash - https://unsplash.com/photos/5U_28ojjgms

Che la cybersecurity sia uno dei pilastri del Piano Triennale per l’Informatica nella PA 2020 – 2022 e che occorra incrementare il livello di consapevolezza del rischio cyber nella PA sono due assunti molto chiari, ma come si devono attrezzare le PA ed in particolar modo i Responsabile per la transizione al digitale (RTD) per darne attuazione nel concreto? Quali sono gli aspetti da tenere in considerazione per sensibilizzare gli utenti di un sistema informativo su un tema così vasto ed in continuo mutamento?

Partiamo da quello che sarà a disposizione a breve per le Pubbliche Amministrazioni in termini di servizi a supporto della Cybersecurity; Consip ha pubblicato tre gare (la prima già a luglio 2021) in ambito sicurezza informatica. Queste si collocano nel piano delle gare strategiche ICT che la stessa realizza in attuazione del “Piano Triennale per l’informatica nella PA 2020-2022”, predisposto da Agid e Ministero per l’innovazione tecnologica e transizione digitale.

Queste tre gare contemplano rispettivamente:

Queste, non appena saranno attive, offriranno la possibilità di disporre di un ventaglio di soluzioni tecnologiche per aumentare la resilienza dei sistemi e dei servizi e ridurre pertanto il rischio di esposizione alle minacce esterne.

Stiamo parlando però di strumenti o di servizi che, da soli, non bastano per garantire ad una Pubblica Amministrazione la robustezza del proprio perimetro di sicurezza; c’è infatti un fattore di rischio che non può essere mitigato esclusivamente attraverso l’adozione di strumenti di prevenzione o mitigazione: il “fattore umano”.

Il fattore umano rappresenta da sempre uno dei rischi più importanti da tenere in considerazione e lo dimostrano anche i recenti accadimenti del 2021; le azioni malevole spesso vengono portate a compimento sfruttando come porta di ingresso la fragilità, la negligenza, la distrazione o la mancanza di competenza del singolo individuo.

Come se non bastasse, questo rischio è stato notevolmente incrementato dalla necessità di cambiare in fretta le abitudini lavorative a causa della pandemia; molte organizzazioni si sono ritrovate a gestire la continuità dei propri servizi dovendo organizzare il lavoro da remoto e non essendo pronte o preparate per farlo al meglio; a questo si aggiunge anche l’adozione di nuove tecniche o strategie di social engineering, che hanno sfruttato questo momento per colpire gli utenti, resi ancor più “fragili” dalla situazione complessiva in cui si sono trovati ad operare.

La contromossa per questo tipo di soluzioni è sicuramente rappresentata dall’adozione di strumenti di protezione evoluti e/o anche di prevenzione, ma può essere considerata efficacie se e solo se viene accompagnata da un percorso di crescita della consapevolezza degli utenti; percorso che non deve limitarsi alla sola formazione, ma deve mettere l’utente stesso nelle condizioni di poter valutare il rischio e, soprattutto, di saper reagire alle situazioni potenzialmente pericolose o, in casi estremi, alle minacce vere e proprie.

Nel vissuto lavorativo tradizionale, in azienda, siamo abituati a conoscere, valutare e reagire alle situazioni di emergenza nell’ambito della sicurezza sul lavoro, esercitando anche le capacità di reazione con delle simulazioni strutturate; questo è il tipo di approccio che è auspicabile venga traslato anche sulla sicurezza IT.

Le risorse umane devono essere consapevoli delle tipologie di minacce che esistono, devono conoscere come individuarle, devono saper reagire cercando di evitarle o comunque essere in grado di identificare situazioni di potenziale rischio ed innescare le competenze dell’organizzazione che sono preposte a vigilare la tematica della cybersecurity.

Questo è un aspetto non scontato e ancora poco strutturato e diffuso nella realtà quotidiana, ma riveste un ruolo fondamentale come primo strumento di difesa.

La formazione delle risorse umane è sicuramente un tassello importante, ma va accompagnata da un’adeguata e costante campagna informativa e da momenti di simulazione in cui possa essere verificato sia il grado di competenza acquisita, sia il fattore di rischio umano, ovvero la percentuale di risorse che, pur avendo seguito la formazione, cade vittima degli scenari simulati (es. phishing, malware, etc..) o non conosce le procedure operative con cui si affronta un incidente di sicurezza.

È inoltre importante progettare e calare questa attività sul modello organizzativo e sulle professionalità presenti nell’Ente; non tutte le risorse hanno le stesse competenze in ambito informatico e spesso proprio quelle che hanno meno dimestichezza ricoprono ruoli che possono esporre l’organizzazione a rischi elevati; pensiamo ad esempio ai casi di estorsione o truffa, che possono essere commessi ai danni di un Ente sfruttando una risorsa che possieda un ruolo apicale nell’area amministrazione e finanza, oppure l’esfiltrazione di dati personali o sensibili dell’organizzazione perpetrato attraverso il furto di identità di una funzione degli uffici di staff.

Formazione continua, analisi del rischio e conoscenza della propria organizzazione sono gli elementi che vanno affiancati alla componente tecnologica per avere la complementarità necessaria a rafforzare il perimetro di sicurezza.

In conclusione, provate a rispondere a queste domande:

  • Gli utenti dell’organizzazione sono in grado di riconoscere una email di phishing?
  • Quante risorse sono in grado di farlo e quante no?
  • Sono stati valutati i rischi a cui sono esposte le risorse umane in relazione al ruolo che ricoprono?
  • Qualora un utente si rendesse conto di essere caduto vittima di un attacco di phishing, conosce e sa attuare le procedure da seguire per la gestione dell’incidente?

Se sapete rispondere, ancorché le risposte siano calate su un caso molto specifico, vuol dire che avete già compreso e forse anche implementato il suggerimento che vuole offrire questo articolo…in caso contrario significa che avrete probabilmente individuato che cosa manca per raggiungere l’obiettivo di diffusione della consapevolezza in ambito cybersecurity.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!