Le buone pratiche nella cybersecurity: fattore umano ed awareness
Le buone pratiche nella cybersecurity coinvolgono tutti i cittadini, non solo gli specialisti. Il Piano Nazionale per la protezione cibernetica sottolinea l’importanza della formazione e della sensibilizzazione. Il fattore umano è cruciale: le persone possono essere sia il punto debole che la prima linea di difesa. La formazione deve andare oltre la semplice conoscenza, integrando esperienze pratiche e simulazioni. È necessario un cambiamento culturale che coinvolga scienze sociali e comportamentali per sviluppare una reale consapevolezza dei rischi cyber.
Buone pratiche nella cybersecurity: una responsabilità condivisa per tutti i cittadini
La cybersecurity non è un tema che riguarda pochi eletti e gli specialisti della sicurezza. La cybersecurity riguarda da vicino tutti i cittadini, utilizzatori quotidiani delle tecnologie dell’informazione. Per questo la sicurezza delle informazioni e della Rete non può essere delegata solo a chi, per lavoro, si occupa di strategie di difesa.
D’altro canto, sia a livello europeo che italiano, sempre più si sottolinea l’importanza del ruolo della sensibilizzazione e della formazione su queste tematiche.
Il Piano Nazionale per la protezione cibernetica: strategie e linee d’azione
Il Piano Nazionale per la protezione cibernetica e la sicurezza informatica, in linea con quanto previsto dal DPCM del 24 gennaio 2013, individua gli indirizzi operativi e le linee d’azione per dare concreta attuazione al Quadro strategico Nazionale per la sicurezza dello spazio cibernetico. E’ necessario, infatti, sviluppare le capacità di risposta del Paese alle minacce cibernetiche, in continua evoluzione.
Le risposte, pur nella loro complessità, debbono essere tra loro integrate, se si vogliono ottenere risultati efficaci. Si va dall’attenzione al singolo cittadino, alla cooperazione tra il settore pubblico e privato, alla comunicazione strategica, alla formazione e addestramento. Il punto della formazione e dell’addestramento appare di particolare rilevanza in quanto il fattore umano continua ad essere il punto debole della sicurezza (pur potendone costituire il punto di forza), ed è su questo che bisogna investire in modo determinante. Non è un caso che, di qualsiasi tipo di sicurezza parliamo, le misure perdono efficacia se non si presta attenzione anche alle persone che quotidianamente ne fanno uso, contribuendo in modo attivo alla costruzione della sicurezza.
L’importanza del fattore umano nella prevenzione degli attacchi informatici
Il principio che la persona può costituire un’importante strategia di prevenzione si rileva anche analizzando i dati di alcuni report sul tema della sicurezza informatica. Si veda, ad esempio, il rapporto Verizon 2015, che analizza oltre 2.100 violazioni accertate e circa 80.000 incidenti di sicurezza segnalati. Il report riconferma 9 tipologie di schemi di attacco già individuati nell’anno 2014: errori vari, crimeware, azioni di personale interno o utilizzo improprio di privilegi e autorizzazioni, perdite o furti fisici, attacchi aWeb app, Denial of Service, cyberspionaggio, intrusioni nei sistemi POS (Point-of- Sale), skimmer per carte di pagamento. Ma emergono anche alcuni preziosi consigli per le aziende, tra cui l’importanza di agire sulle persone, che possono costituire una prima linea di difesa aziendale.
Del resto, anche in attacchi sofisticati come gli APT (Advanced Persistent Threats), si rileva che spesso è proprio la “persona” a costituire il bersaglio studiato dai cybercriminali allo scopo di trovare il punto di ingresso nelle organizzazioni.
Sviluppare una cultura della sicurezza informatica: oltre la semplice formazione in cybersecurity
Ma come agire sul fattore umano? E, soprattutto, con quali modalità?
Prima di tutto l’intervento deve andare nella giusta direzione: sviluppare cultura della sicurezza in ambito informatico non può consistere nella sola erogazione di corsi formativi, se l’obiettivo che ci si prefigge è quello di raggiungere una consapevolezza dei rischi cyber e della propria capacità di prevenirli e/o di gestirli. Nella pratica quotidiana assistiamo all’utilizzo di parole sicuramente attrattive dal punto di vista tecnico, come quella di awareness, ma che poi devono tradursi in efficaci programmi di informazione, formazione e addestramento.
La consapevolezza, infatti, va ben oltre la conoscenza: possiamo conoscere, ma non per questo essere consapevoli. E’ necessario integrare conoscenza ed esperienza. Attraverso metodologie interattive, case analysis, role playing, simulazioni, è possibile, ad esempio, far comprendere gli impatti di un attacco informatico, di una perdita di dati. E, nel contempo, l’importanza del proprio comportamento per la prevenzione. Ma nella progettazione di questi interventi didattici è altrettanto necessario coinvolgere figure professionali con esperienza soprattutto nel campo delle metodologie formative. Pena la perdita dell’efficacia di questo tipo di formazione.
Formazione sulla cybersecurity: simulazioni, esercitazioni e il ruolo delle scienze sociali
Gli stessi operatori della sicurezza ritengono importante l’applicazione di metodologie ad hoc in ambito formativo. Secondo la recente ricerca condotta dal Centro Studi Themis e dalla Scuola Etica&Sicurezza dell’Aquila relativamente ad EXPO2015 volta ad indagare la percezione relativa ai rischi e alle emergenze dell’esposizione universale, la quasi totalità degli operatori del settore sicurezza che ha partecipato all’indagine ritiene fondamentale la formazione e l’organizzazione di esercitazioni per sviluppare la capacità di risposta a problematiche di sicurezza. Particolarmente apprezzata sembra essere la simulazione, approccio didattico volto a riprodurre situazioni, ambienti, fenomeni e i comportamenti che ne conseguono.
Va da sé che l’efficacia delle attività formative e informative si raggiunge solo se si adottano criteri di qualità: adeguata progettazione degli interventi, scelta di metodologie in funzione degli obiettivi, selezione di docenti qualificati.
Auspicabile è inoltre il ricorso alle scienze sociali e comportamentali per promuovere il cambiamento culturale nei propri programmi di sicurezza informatica. L’evoluzione dell’information security e del risk management richiedono, infatti, cambiamenti anche di approcci e strategie, nonché il coinvolgimento di tutti gli attori interessati. Per questo, ad un’attività di formazione e di addestramento da destinare al mondo istituzionale e aziendale, deve accompagnarsi un’azione sempre più intensa di sensibilizzazione degli utenti in generale affinché sviluppino un’adeguata e realistica percezione dei rischi della Rete.
Gli indirizzi operativi del Piano Nazionale per la protezione cibernetica e la sicurezza informatica
- Potenziamento delle capacità di intelligence, di polizia e di difesa civile e militare
- Potenziamento dell’organizzazione e delle modalità di coordinamento e di interazione a livello nazionale tra soggetti pubblici e privati
- Promozione e diffusione della cultura della sicurezza informatica. Formazione e addestramento
- Cooperazione internazionale ed esercitazioni
- Operatività del CERT nazionale, del CERT-PA e dei CERT dicateriali
- Interventi legislativi e compliance con obblighi internazionali
- Compliance a standard dei protocolli di sicurezza
- Supporto allo sviluppo industriale e tecnologico
- Comunicazione strategica
- Risorse
- Implementazione di un sistema di Information Risk Management nazionale
RIFERIMENTI BIBLIOGRAFICI
- Corradini I., Il sondaggio su EXPO2015, tra informazione, sicurezza e reputazione. In Reputation Today n. 4/2015, Reputation Agency.
- Corradini I., Fattore umano e sicurezza ICT, Forum ICT, 2013.
- Presidenza del Consiglio dei Ministri, Piano Nazionale per la protezione cibernetica e la sicurezza informatica, Dicembre 2013.
- Presidenza del Consiglio dei Ministri, Quadro Strategico Nazionale per la sicurezza dello spazio cibernetico, Dicembre 2013.
- Verizon, 2015 Data Breach Investigations Report. http://www.verizonenterprise.com/DBIR/2015/
A cura di Isabella Corradini, Presidente Themis Centro Ricerche Socio-Psicologiche e Criminologico-Forensi
www.themiscrime.com
Articolo pubblicato sulla rivista ICT Security – Maggio 2015