15.11.2017 - in News

Security Awareness Training: come ridurre gli errori umani e vincere il Derby degli errori con i computer

Pubblicato in

Nel film “2001 Odissea nello spazio” di Stanley Kubrik (1968) il calcolatore HAL 9000 affermava: “Nessun calcolatore 9000 ha mai commesso un errore o alterato un'informazione. Noi siamo, senza possibili eccezioni di sorta, a prova di errore, e incapaci di sbagliare”.

Già, ma sarà proprio così? Siamo proprio sicuri che un giorno ci fideremo al 100% dei computer?
Io penso che anche se immaginassimo degli avveniristici sistemi di machine learning che progressivamente si sostituiscano agli esseri umani nello sviluppo di Robot e di sistemi di Intelligenza Artificiale, la verità è che gli errori potrebbero verificarsi ugualmente e provocare danni difficilmente calcolabili. Ma senza guardare così in avanti nel tempo bisogna riconoscere che oggi la situazione attuale degli utenti sulla tematica della sicurezza informatica è veramente desolante. 

Ecco alcuni esempi:

  • ·       Il 90% di tutti i data breach sono dovuti a phishing o social engineering per attività degli utenti (Verizon’s 2016 Data Breach Digest Report).
  • ·       L’84% delle organizzazioni che hanno avuto un attacco di spear phishing hanno riscontrato l’inefficacia delle proprie difese ed il 32% hanno anche patito perdite finanziarie.

Quindi se è vero che i collaboratori rappresentano l’ultimo baluardo delle difese di un’organizzazione, purtroppo ancora oggi sono quasi sempre l’anello debole della catena.

Senza parlare dei Dirigenti e dei Manager che pur gestendo informazioni riservate e sempre più delicate sono tra i disattenti alla protezione di queste informazioni critiche e sono spesso in movimento senza disciplinare l’accesso o la gestione in sicurezza degli strumenti e delle connessioni di lavoro.

In che modo ci sta venendo incontro la tecnologia dei CBT e quali vantaggi fornisce?

Rispetto al passato i Training Computer-Based (CBT), cioè quelli che si erogano esclusivamente attraverso un computer, hanno migliorato in diverse caratteristiche essenziali e sono diventati più semplici e coinvolgenti:

  • Sono molto più interattivi
  • Sono dotati di grafica accattivante
  • La struttura di presentazione spesso ricalca quella di un gioco
  • Spesso sono gestiti secondo sessioni di 10-15 minuti
  • Prevedono dei quiz semplici per vedere se i concetti base sono stati capiti
  • Si possono seguire su qualunque dispositivo mobile ed all’interno di un browser senza dover installare alcun programma

I benefici di un programma di Security Awareness

Le organizzazioni con un programma per la Security Awareness hanno riscontrato il 50% di probabilità in meno di incorrere in violazioni di sicurezza del personale. Il valore di un programma efficace di cybersecurity awareness può determinare, secondo uno studio di Aberdeen Group:

  • La diminuzione del numero degli incidenti fino al 90%
  • La riduzione dei termini del rischio monetario del 50-60%
  • La “traduzione” della cybersecurity dal linguaggio IT a quello aziendale e generazione del consenso della dirigenza aziendale e del personale aziendale
  • La generazione di risultati misurabili in termini di cybersecurity awareness ed il loro controllo nel tempo

Alla luce di quanto riportato, un accurato programma di sensibilizzazione e di incremento di consapevolezza sulla sicurezza delle informazioni rappresenta una priorità assoluta per le aziende di qualsiasi settore e taglia, come del resto appare da un recente studio di Gartner in cui i Training CBT sono stati indicati di gran lunga come la tematica #1 di investimento per la Cybersecurity nel corso del 2017 e degli anni a venire.

 

Occorre inoltre ricordare che nel corso del 2018, inoltre, verrà applicato il GDPR (Regolamento Europeo sulla Data Protection) e se già il Codice della Privacy del 2003, e le sue modifiche successive, imponeva l’adozione di idonee misure di sicurezza che includevano anche la formazione del personale, figuriamoci se questo non vale ancora di più per il GDPR che prevede sanzioni che dal 25 maggio 2018 possono raggiungere i 20 milioni di Euro o il 4% del fatturato mondiale annuo dell’organizzazione sanzionata.

Si possono inoltre utilizzare fino a fine 2017 dei fondi previsti alla normativa “Industria 4.0” perché nell’Allegato B è prevista la voce degli investimenti in “Cybersecurity”.

I corsi CBT si sviluppano in base ad un percorso articolato che tocca i principi di base della sicurezza, ovvero la protezione del proprio computer e dei propri device mobili (notebook, smartphone, tablet, altro), la scelta di password robuste e la protezione delle proprie credenziali d’accesso, la gestione di memorie USB o simili, la gestione attenta delle proprie informazioni personali, la gestione di Public WIFI e il riconoscimento dei tentativi di intrusione e truffa (spam, APT, phishing, social engineering, ecc.), fino a indicazioni più avanzate, come le politiche di sicurezza per il Cloud, le soluzioni di per il lavoro da remoto fino alla nuova frontiera dell’Internet of Things (IoT).

Lo scopo principale di questi CBT è quello di favorire la presa di coscienza degli utenti e dei dipendenti della necessità di prevenire il più possibile gli incidenti di sicurezza e di insegnare le principali competenze, le tecniche e i metodi fondamentali per affrontare eventuali problemi. 

Non solo i dipendenti, ma anche dirigenti e manager

Mediante la formazione i Line Manager ed i Business Manager sono motivati:

  • A comprendere “perché dovrebbero preoccuparsi della sicurezza”
  • A distinguere un comportamento sicuro da uno non sicuro (competenze tecniche e di vigilanza)
  • A seguire gli esempi positivi su come procedere, non solo di cosa non fare.

Inoltre, consente ai partecipanti di comprendere il loro aspetto dal punto di vista dei cybercriminali. Valore: è stato riscontrato il 93% di probabilità che le conoscenze acquisite durante la formazione vengano applicate nel lavoro quotidiano, secondo Kaspersky.

In questo caso i corsi CBT sono orientati a:

  • Strategy simulation per i decision maker
  • Team-work
  • Competizioni
  • Strategia e verifica errori

Conclusioni

Sembra inverosimile, ma la realtà è quella che ridurre gli errori umani nell’ambito della sicurezza informatica è molto più raggiungibile e realizzabile rispetto alle difficoltà, a volte insormontabili, di ridurre gli errori commessi da apparati e sistemi fisici o logici legati alla sicurezza. Si può raggiungere questo obiettivo se si impostano dei piani formativi sulla sicurezza e si educa alla cultura della sicurezza anche grazie ai Training di Security Awareness.

Uomo vs. HAL 9000 = 1 a 0!