Il fattore umano è senza dubbio un fattore fondamentale all’interno dell’intero sistema di sicurezza aziendale. Infatti molto spesso la prima breccia nella sicurezza di un sistema si ottiene non con strumenti tecnici, ma semplicemente sfruttando aspetti del comportamento umano codificati e standardizzati. Ad esempio il phishing, il pharming, il ransomware e in generale gli attacchi con obiettivo la frode, l’estorsione o il furto d’identità o di dati sensibili si fondano sulla probabilità che l’operatore dall’altra parte del PC possa essere indotto a cliccare su link suggeriti, per semplice curiosità, perché crede di conoscere il mittente della e-mail o perché convinto di poter risolvere problemi ad esempio sulla propria carta di credito. Il social engineering è invece una tecnica più complessa perché sfrutta telefono, e-mail, informazioni rilasciate sui social network e contatto fisico diretto per ottenere direttamente dal bersaglio l’informazione necessaria a proseguire l’attacco, effettuato poi attraverso strumenti tecnologici.
Un semplice errore umano può causare danni gravi anche in maniera accidentale. Si ricorda a riguardo il caso relativo la richiesta da parte di Goldman Sachs nei confronti di Google di cancellare un’e-mail confidenziale contenente materiale aziendale classificato e dati della clientela, inviata per l’errore umano di un contractor della Banca d’investimenti, ad un indirizzo e-mail errato, gmail.com al posto di gs.com (il dominio aziendale Goldman Sachs). Un errore apparentemente così banale ha rischiato di compromettere dati sensibili e conseguentemente rapporti commerciali di alto profilo.
Un recente studio rivela come per l’80% dei professionisti IT intervistati i dipendenti siano visti come l’anello più debole nella catena della sicurezza IT e dipinge un quadro del settore delle PMI inondato di minacce di sicurezza informatica.
A proposito degli aspetti umani e sociali legati alla sicurezza informatica è molto interessante la ricerca della Carnegie Mellon University di Pittsburgh afferma che la già minima diffidenza dell’utente medio nei confronti di software di cui non si conosce con certezza la fonte, viene del tutto annullata se il download del file è collegato ad un incentivo economico anche irrisorio. I ricercatori della Carnegie Mellon University hanno condiviso in rete un programma che offriva un piccolo credito in denaro in cambio del download, e allo stesso tempo avvertivano dei potenziali rischi collegati al download di un software non certificato. Il risultato è stato che ben il 22% degli utenti che hanno effettuato il download ha scaricato il programma per un solo centesimo di dollaro, il 36% per 50 centesimi e il 42% del campione per un dollaro. Il risultato di questa ricerca non fa che confermare che la diffusione del cyber crime è senza dubbio facilitata dal comportamento umano. La scarsa consapevolezza dei pericoli derivanti dal web induce l’utente ad avere comportamenti che agevolano la diffusione dei virus e permettono di realizzare frodi o altri tipi di attacchi; comportamenti sui quali i criminali informatici fanno leva.
Il fattore umano rimane sempre il più decisivo, anche nei processi collegati all’uso di dispositivi mobili e ne rappresenta senza dubbio l’anello più debole.
La diffusione dei dispositivi mobili inoltre contribuisce all’aumento del Bring your own device (BYOD) e la mancanza di sicurezza di questi apparecchi rende immediatamente meno sicure anche le aziende, che, pur incentivando l’uso di dispositivi personali per accedere ai sistemi aziendali, in molti casi sottovalutano la necessità di standard di sicurezza più elevati per proteggere i propri dati sensibili, come ad esempio l’uso di VPN o criptazione dei dati. Nonostante il costante aumento dei dispositivi mobili in ambito lavorativo, più della metà degli intervistati ammette di essere più preoccupato rispetto agli anni precedenti dei rischi legati al mobile e addirittura il 43% ritiene i rischi troppo elevati rispetto i vantaggi in termini di comodità.
Anche i social network sono sempre più importanti per il business globale, soprattutto nel mercato della telefonia mobile, e quando uno nuovo raggiunge un adeguato livello di popolarità, inevitabilmente scatena l’attrazione di sempre più utenti, e quindi di sempre più criminali, che inizieranno ad interessarsi ad esso e a trovare modi sempre nuovi per sfruttarlo per ottenere guadagni illeciti.
Gli atteggiamenti potenzialmente scorretti che abbiamo con l’uso degli strumenti informatici personali tendiamo poi a metterli in pratica anche sul luogo di lavoro; ad esempio la superficialità con la quale usiamo dispositivi USB o gli smartphone, apriamo e-mail da mittenti sconosciuti o scarichiamo software pirata non sicuro.
In conclusione le vulnerabilità umane sono da considerarsi pericolose quanto quelle tecniche, se non di più. La sicurezza informatica, non è uno stato da acquisire, ma una mentalità da adottare a 360 gradi nella vita privata e soprattutto all’interno della propria azienda o del proprio posto di lavoro. Solo così si possono ottenere risultati validi e duraturi nel tempo.
Anche nell’ambito delle Piccole e Medie Imprese, il fattore umano gioca un ruolo fondamentale. La negligenza sul posto di lavoro infatti rappresenta una delle cause principali, insieme alle falle dei sistemi e agli attacchi hacker, di violazione dei dati aziendali che possono portare, oltre ad una perdita di business anche alla perdita di fiducia da parte della clientela, danno enorme per una PMI.
Quali sono le armi che possiamo utilizzare per difenderci?
Soprattutto la conoscenza umana. Anche perché molto si basa sul social engineering. Uomo contro uomo. È vero che c’è una macchina di mezzo, ma c’è un uomo davanti a quella macchina. È fondamentale la preparazione dell’utente, del cliente, del dipendente. In primis la consapevolezza dei rischi che si corrono. E preparare anche l’ultimo dei propri dipendenti a fronteggiare i rischi informatici.
Facebook Comments