In collaborazione con Cefriel
Se è vero che l’adozione del paradigma Industria 4.0, portando una maggiore integrazione tra impianti di produzione e processi amministrativi, ha contribuito ad avere vantaggi in termini di efficienza e produttività, diverse sono le concrete minacce informatiche alle quali l’industria deve dare risposta.
Come rilevato dal Barometro Cybersecurity 2023, curato da NetConsulting cube in collaborazione con EUCACS e InTheCyber, il confronto tra il livello di maturità nei vari settori e la percentuale di attacchi cyber registrati in Europa e in Italia nel primo semestre 2023 indica un significativo numero di attacchi subiti dal settore Industria (17%), più del doppio rispetto alla media europea (7%), a dimostrazione del fatto che molto ci sia ancora da fare per le industrie sugli aspetti di cybersecurity. Tra i fattori critici su cui intervenire, secondo il rapporto Netconsulting, emergono in particolare la formazione e le risorse da destinare a investimenti in sicurezza informatica non sempre sufficienti, sebbene in crescita di oltre il 12% annuo.
Perché ripartire dall’elemento umano nelle strategie di cybersecurity
Allo stato attuale, gran parte del mercato della sicurezza informatica si concentra sugli aspetti tecnici di un attacco, mentre si lavora poco sul cosiddetto “elemento umano”, centrale secondo il Global Risk Report di World Economic Forum, visto che i rischi legati al comportamento delle persone rappresentano quasi il 95% del totale.
Nella cybersecurity le persone sono troppo spesso colpevolizzate nel momento in cui si verifica un incidente informatico, come se fossero solo un’altra fonte di rischio informatico di cui doversi occupare. Tuttavia, poiché le persone non sono sistemi informatici e hanno bisogno di soluzioni specifiche, diventa necessario ripartire dal chiedersi come si può effettuare un’analisi delle minacce sulle persone, come può un’azienda calcolare il rischio cyber rappresentato da una persona e quanti sono i modi efficaci per ridurlo.
In generale, per fare in modo che ci sia realmente un cambio di passo rispetto alla consapevolezza e alla formazione sulla cybersecurity in ambito industriale, occorre ripensare la security a partire dal cosiddetto human-element per comprendere e gestire le differenze alla base di un attacco a una persona invece che a un sistema IT. Le due tipologie implicano infatti un processo diverso che richiede la modifica della tattica di attacco, con il coinvolgimento dell’ingegneria sociale e delle scienze umane, come per esempio psicologia o scienze comportamentali e le teorie legate alla gestione e modellazione degli errori umani.
Le persone devono quindi essere parte integrante e attiva del processo di difesa e protezione aziendale, con l’obiettivo ultimo di indurne un cambiamento comportamentale stabile. Per fare questo, occorre affrontare la questione “elemento umano” della sicurezza informatica con un approccio multiculturale e olistico, che includa fattore umano, scienze umane, governance e tecnologie, per garantire nel tempo una cybersecurity sostenibile sia in termini economici, sia di tecnologie, processi, persone e competenze. Se i Social Driven Vulnerability Assessment, come ogni Vulnerability Assessment o Penetration Test, sono (solo) un campionamento estemporaneo del rischio cyber che perde validità al cambiamento di tantissime variabili, è opportuno quindi partire da un modello di Human Risk Management per entrare nel paradigma della continuous security, ripartendo dalle persone.
Nella sicurezza informatica, infatti, non c’è ancora abbastanza attenzione alla comprensione delle dinamiche psicologiche, decisionali e comportamentali degli aggressori informatici. In una logica di continuous security, il rischio, poiché non può essere eliminato, deve essere compreso e anticipato. Anticipare il rischio serve per considerare che possa accadere il peggio, ma anche per mettere in discussione certezze, convinzioni, ideologie e pregiudizi.
Formazione e People Analytics come strumento di difesa e riduzione del rischio
Nel tempo sono stati proposti numerosi metodi di formazione (gamification, nudging, ecc.) con risultati non sempre trasferibili al contesto della cybersecurity. La sicurezza informatica rappresenta una sfida unica proprio perché comporta un cambiamento profondo e istintivo nel comportamento delle persone. La formazione deve quindi interporre un filtro che moderi il comportamento a fronte di attacchi di social engineering che fanno leva su alcuni elementi istintivi come, per esempio, il senso di urgenza, la paura, i propri desideri o la naturale tendenza delle persone a fidarsi degli altri e dei sistemi informatici.
Tuttavia, andare a influenzare i comportamenti profondi delle persone non è certo una missione facile. Non è solo un problema di upskilling o reskilling. Come ogni sistema vulnerabile, anche per le persone occorre poter testare la sicurezza effettiva, allo scopo di identificare le vulnerabilità presenti e porvi rimedio. In questo contesto, la People Analytics è un approccio che permette di ottimizzare il bisogno formativo individuale, collegandolo ai profili di rischio delle singole persone, nel pieno rispetto della normativa sulla protezione dei dati personali. In questo caso, il vantaggio è poter trasformare la formazione da strumento per la formazione professionale o la riqualificazione in strumento per la riduzione del rischio cyber in grado di aumentare la resilienza delle organizzazioni.
L’applicazione nel contesto cybersecurity della People Analytics, e quindi la comporta l’aggiunta della fase di “Learning analytics per la cybersecurity”. Secondo Cefriel, la People Analytics può essere efficacemente adattata nel contesto della sicurezza informatica, per aumentare la resilienza delle persone ai rischi cyber e valutare il ROTI (Return on Training Investment) in termini di riduzione del rischio cyber e non solo di ritorno economico. Ciò avviene correlando le stime di rischio individuali, calcolate con frequenza adeguata, con una logica di continuous security (sulla base ad esempio dei risultati delle simulazioni di phishing, delle stime di rischio del portfolio gestito, della preparazione valutata anche tramite questionari, o dello specifico ruolo aziendale) con i programmi formativi migliori (cosa insegnare, a chi e come). Il training, in questo modo, può davvero diventare uno strumento per ridurre i rischi informatici legati alla persona.
Se dunque le competenze sono un asset vulnerabile al cybercrime (per esempio, se obsolete o inadeguate) e come per qualsiasi altro asset occorre un processo di asset management, la formazione è il processo tramite il quale si può mantenere in “salute” questo asset a patto che lo si mantenga strettamente connesso alle logiche della sicurezza informatica.
Per saperne di più, è possibile scaricare gratuitamente il white paper realizzato da Cefriel a questo link: https://www.cefriel.com/whitepaper/cybersicurezza-come-coinvolgere-le-persone-nella-mitigazione-dei-rischi/?utm_source=press&utm_medium=article&utm_campaign=cybersecurity
