Il fattore umano nelle strategie di sicurezza aziendali

Analisi di Roberto Tavano sulla sicurezza

Roberto Tavano, VP Security EMEA e Global Sales di Unisys, ci parla delle opzioni per una strategia di sicurezza efficiente che le imprese possono intraprendere per la loro protezione. In particolare è importante comprendere la distinzione tra sicurezza IT e cybersecurity in quanto bisogna comprendere anche il fattore umano per proteggersi al meglio.

Nelle case esiste una serie di ambienti pensati nell'ottica di fornire qualità alla vostra vita. Ognuno di questi offre funzionalità apprezzabili: dalla cucina alla sala da pranzo e, in alcuni casi, la stanza del biliardo, lo studio, la biblioteca, dove fare ginnastica, ascoltare musica, dormire e altro ancora.
Esistono, inoltre, delle tecnologie adeguate da adottare nel caso vogliate proteggere la proprietà da intrusioni indesiderate, tra le principali i sensori di allarme antintrusione e la videosorveglianza gestita a distanza, che si applicano praticamente a tutto il perimetro fisico di una proprietà.

Allo stesso modo, anche la vostra azienda è probabilmente strutturata in unità funzionali, ognuna delle quali offre un servizio specifico. E, sempre in modo simile a casa vostra, la difesa è stata tradizionalmente applicata all'intero perimetro dell'organizzazione, partendo dalla considerazione che questo comprenda tutti gli asset rilevanti, sia nel mondo fisico sia in quello informatico. Soluzioni come i firewall, per esempio, sono adottate per rilevare i comportamenti dannosi e i contenuti che si trovano al "cyber confine" dell'organizzazione, di qualsiasi natura essi siano.

E se foste dei collezionisti d'arte? I vostri beni più preziosi, per esempio i quadri d'epoca, sarebbero probabilmente disseminati su tutta la proprietà e, senza dubbio, richiederebbero un controllo supplementare e dispositivi di protezione più sofisticati.
La tutela di questi beni probabilmente comporterebbe un aumento sostanziale della spesa di protezione, costringendovi a scegliere per quali dipinti valga la pena sostenere un investimento supplementare. Nel caso il vostro budget per la sicurezza sia limitato, sarà necessario classificare gli oggetti da proteggere in base alla loro rilevanza. Come collezionista d'arte esperto saprete decidere cosa ha più o meno valore.

La stessa situazione vale per la maggior parte delle aziende, organizzazioni complesse che ospitano asset rilevanti. A differenza del collezionista d'arte esperto, però, le aziende sono raramente in grado di apprezzare il vero valore associato ai loro dati. Un malintenzionato che desideri rubare le scoperte più recenti in ambito Ricerca e Sviluppo, sceglierà come obiettivo i dati di ricerca di un'azienda o - meglio ancora - arriverà a interferire con i dati di ricerca e sviluppo per danneggiare seriamente il business, e a modificare o interrompere i processi produttivi agendo sui dispositivi e reti SCADA (Supervisory Control and Data Acquisition). Tutto questo in modo simile a quando un truffatore sostituisce un quadro originale di una collezione con una copia.
Tuttavia, mentre l'eventualità che un collezionista d'arte esperto riconosca il dipinto falso è molto elevata, lo stesso non vale nel mondo del business. Le probabilità che un'organizzazione riconosca gli attacchi più dannosi e sofisticati nel momento in cui accadono sono minime. In generale, la consapevolezza di un'avvenuta violazione si raggiunge notevolmente in ritardo, dato che gli oggetti della "cyber-guerra" possono rimanere silenti o evolvere lentamente nel corso di un lungo periodo prima di svolgere la missione a loro attribuita, e dopo, magari, sparire con un ultimo atto di autodistruzione, senza lasciare dietro di sé indizi o prove di alcuna sorta.

In realtà, le cose tendono a diventare più complesse e intricate quando si parla di aziende. Mentre una casa resta una casa e il suo perimetro è un'entità fisica evidente, il concetto stesso di perimetro svanisce nel caso delle aziende moderne. Le organizzazioni diventano sempre più "senza confini" e ibride, con network complessi in cui ciò che cade "dentro "o "fuori " dal perimetro è incerto, a volte indefinito, semplicemente perché il concetto stesso di perimetro ha perso parzialmente significato o ne è diventato del tutto privo.

Inoltre, il valore dei dati dipende in larga misura dal contesto dei processi di business in cui questi vengono prodotti, analizzati, modificati, inviati, distribuiti, etc. Dato che i malware moderni e sofisticati possono operare in un contesto di processo, non esiste una difesa perimetrale in grado di svolgere il lavoro di protezione dei dati da un attacco che avviene dall'interno. In una situazione "senza perimetro", l'unica possibilità di successo si basa sull'adozione di un portafoglio di molteplici misure di sicurezza, ben mirate e adattative. Da notare che ho parlato di misure, non semplicemente di tecnologie.

Una misura basilare è considerare di default che le difese possono essere violate. Quindi, quello di cui si ha realmente bisogno è definire delle linee guida di governance e norme ben chiare, che possano dettare quali sono i comportamenti corretti nel caso specifico. La tecnologia può essere adottata successivamente, per aiutare a rilevare immediatamente l'emergere di una possibile deviazione rispetto a tali regole.

L'osservazione sui processi mi porta a introdurre la terza e forse la più rilevante componente fondamentale di qualsiasi strategia di sicurezza informatica sensata: la variabile Homo Sapiens.
Il fattore umano è, infatti, l'elemento più debole in tutto il quadro. I processi machine-to-machine stanno acquistando una rilevanza sempre crescente, ma la maggior parte dei processi viene (ancora) portata avanti e governata da esseri umani. Per questo motivo, devono essere presi in considerazione tutti i modi possibili per mitigare i fattori di rischio umani, capendo quello che potrebbero comportare nei diversi e specifici contesti di processo, in termini di possibili ripercussioni e su quali dati... non necessariamente di competenza specifica dello staff IT.

Ogni possibile iniziativa di sicurezza valida e le misure operative conseguenti devono racchiudere una visione olistica che comprenda tutti e tre gli elementi menzionati qui sopra: scenari "senza confini", definizione delle priorità e della rilevanza dei dati, attori umani.

Poiché la cybersecurity è ancora in gran parte confusa con la sicurezza dell'IT, non vediamo spesso aziende già impegnate nel considerare il Change Management con adeguata priorità, inserendolo a pieno titolo nei propri bilanci di sicurezza, per esempio con l'obiettivo di far crescere la consapevolezza in azienda dei rischi e delle caratteristiche peculiari di un business altamente digitale. Eppure, la maggior parte delle frodi è perpetrata da personale interno e la maggior parte degli errori derivano da comportamenti legali ma sbagliati adottati da dipendenti fidati ma ancora non pienamente consapevoli.

Una misura di sicurezza ben progettata dovrebbe essere quindi sempre costituita da tre diverse componenti: tecnologie adattative abilitanti, processi di business ben governati e consapevolezza elevata e informata del personale. La protezione dei dati rilevanti è quindi il risultato di un approccio cooperativo, che si basa sulla raccolta del patrimonio informativo di maggior valore, selezionato attraverso opzioni tecnologiche equilibrate nel contesto di processi critici gestiti da uomini consapevoli dei rischi. Certamente non è facile. Gli hacker e i cybercriminali lo sanno fin troppo bene!

A che punto è la vostra organizzazione nell'ottemperare alle raccomandazioni di cui sopra?
Se la risposta è: "non troppo lontana", allora sapete qual è la direzione da seguire. Raggiungere una situazione di "cyber-resistenza" a livello ampio nell'organizzazione è obiettivo primario di una strategia di sicurezza ben progettata. Affidarsi esclusivamente, o pesantemente, alla tecnologia non è una strada percorribile, anche se può sembrare un percorso semplice e allettante: si acquista un prodotto X o si distribuisce la tecnologia Y e il gioco è fatto. Spesso questa è la mitica promessa dei vendor, una miniera d'oro per loro in termini di vendita, che però non implica o comporta il blocco definitivo dei potenziali attacchi. Anzi!