La debolezza del fattore umano

Qual è il principale problema della Cybersecurity? Lo sappiamo. Sta nel fatto che la catena della sicurezza della tua organizzazione e la sua difesa informatica dipendono principalmente dall'anello più debole. Quale? Conosci già l'anello più debole della sicurezza di un'organizzazione. Nella triade People-Process-Technology, l'anello più debole sono le persone di un'organizzazione.

Secondo un rapporto di HelpNet Security, il 43% dei dipendenti del Regno Unito e degli Stati Uniti ha commesso errori che hanno avuto ripercussioni sulla sicurezza informatica per le loro organizzazioni. Dice anche che il 47% dei dipendenti ha indicato la distrazione come il motivo principale per essere ingannato da una truffa di phishing.

Vale la pena analizzare il rapporto più nel dettaglio. Alla domanda sui tipi di errori che hanno commesso, un quarto dei dipendenti ha confessato di aver fatto clic sui collegamenti in un'e-mail di phishing al lavoro. I dipendenti di età compresa tra 31 e 40 anni avevano una probabilità quattro volte maggiore rispetto ai dipendenti di età superiore ai 51 anni di fare clic su un'e-mail di phishing, mentre gli uomini avevano il doppio delle probabilità di farlo rispetto alle donne.

Il 47% dei dipendenti ha citato la distrazione come motivo principale per cadere in una truffa di phishing. Per molti l'e-mail sembrava legittima (43%), con il 41% che ha affermato che l'e-mail di phishing sembrava provenire da un dirigente senior o da un marchio ben noto.

Oltre a fare clic su un collegamento dannoso, il 58% dei dipendenti ha ammesso di aver inviato un'e-mail di lavoro alla persona sbagliata, mentre il 17% di queste e-mail è andato alla parte esterna sbagliata.

Questo semplice errore porta a gravi conseguenze sia per l'individuo che per l'azienda, che deve segnalare l'incidente alle autorità di regolamentazione oltre che ai loro clienti. In effetti, un quinto degli intervistati ha affermato che la propria azienda ha perso clienti a causa dell'invio di un'e-mail con un indirizzo errato, mentre il 12% dei dipendenti ha perso il lavoro.

Il motivo principale addotto per le e-mail indirizzate male è stata la stanchezza (43%), seguita da vicino dalla distrazione (41%). Con il 57% degli intervistati che afferma di essere più distratto quando lavora da casa, l'improvviso passaggio al lavoro a distanza potrebbe rendere le aziende più vulnerabili agli incidenti di sicurezza causati da errori umani.

In che modo lo stress influisce sulla sicurezza informatica

I risultati del rapporto invitano le aziende a comprendere l'impatto che lo stress e le culture lavorative hanno sull'errore umano e sulla sicurezza informatica, soprattutto alla luce degli eventi del 2020. I dipendenti hanno rivelato di commettere più errori quando sono stressati (52%), stanchi (43%), distratti (41%) e lavorano velocemente (36%).

È preoccupante, quindi, che il 61% degli intervistati abbia affermato che la propria azienda ha una cultura del presenzialismo che li fa lavorare più ore del necessario, mentre il 46% dei dipendenti ha sperimentato il burnout.

Le aziende dovrebbero anche essere consapevoli di come la pandemia globale e il passaggio al lavoro da casa hanno avuto un impatto sul benessere dei dipendenti e in che modo ciò si collega alla sicurezza.

Jeff Hancock, professore alla Stanford University ed esperto di dinamiche sociali, ha contribuito al rapporto e ha affermato: «Capire come lo stress influisce sul comportamento è fondamentale per migliorare la sicurezza informatica. Gli eventi del 2020 hanno significato che le persone hanno dovuto affrontare situazioni incredibilmente stressanti e molti cambiamenti. E quando le persone sono stressate, tendono a fare errori o decisioni di cui in seguito si pentiranno. Purtroppo, gli hacker sfruttano questa vulnerabilità. Le aziende, quindi, devono istruire i dipendenti sui modi in cui un hacker potrebbe trarre vantaggio dal proprio stress durante questi periodi, nonché sugli incidenti di sicurezza che possono essere causati da errori umani».

Perché l'età è importante

Il rapporto mostra anche che l'età, il sesso e l'industria svolgono un ruolo nei comportamenti delle persone in materia di sicurezza informatica, rivelando che un approccio unico per la formazione e la consapevolezza sulla sicurezza informatica non funzionerà nella prevenzione degli incidenti di errore umano. I risultati includono:

  • La metà dei dipendenti di età compresa tra i 18 e i 30 anni afferma di aver commesso errori che hanno compromesso la sicurezza informatica della propria azienda, rispetto al 10% dei lavoratori oltre i 51 anni che afferma la stessa cosa.

  • Il 65% dei 18-30 anni afferma di aver inviato un'e-mail alla persona sbagliata, rispetto al 34% degli over 51.

  • Il 70% dei dipendenti che hanno ammesso di fare clic su un'e-mail di phishing ha un'età compresa tra i 18 e i 40 anni. In confronto, solo l'8% degli over 51 ha dichiarato di aver fatto lo stesso.

  • I lavoratori del settore tecnologico erano i più propensi a fare clic sui collegamenti nelle e-mail di phishing, con il 47% degli intervistati in questo settore che ammette di averlo fatto. Questo è stato seguito da vicino dai dipendenti nel settore bancario e finanziario (45%).

Diciamocelo francamente: tutti commettiamo errori. Ma ci sono moltissime persone che stanno cercando di trarre vantaggio da ogni sciocco errore che può costare alla tua azienda enormi perdite finanziarie. La tecnologia avanzata e le pratiche di sicurezza, non importa quanto sofisticate, saranno sempre vincolate da questo fattore umano.

Le organizzazioni spesso dimenticano il forte pericolo che le minacce interne possono rappresentare.

Perché gli autori di tali minacce si rivolgono ai dipendenti?

  • Per furti di proprietà intellettuale come furti di codici sorgente, informazioni contrattuali, dettagli dei dipendenti, dettagli del cliente e altri dati riservati;

  • Per richiedere il riscatto crittografando i dati e i file;

  • Per spionaggio aziendale o ricatti;

  • Per diffamare l'immagine pubblica dell'azienda;

  • Per interrompere alcuni servizi provocando danni sostanziali su larga scala.

Gli aggressori dannosi generalmente utilizzano i mezzi dell'ingegneria sociale per prendere di mira vari verticali come la sanità, le telecomunicazioni, i servizi cloud ed e-commerce. I servizi bancari, finanziari e sanitari sono i principali obiettivi degli hacker per sfruttare la negligenza dei dipendenti.

L'ingegneria sociale è un atto di sfruttamento del comportamento umano per realizzare intenti dannosi. Secondo CSO Online, il tipo numero uno di attacco di ingegneria sociale è il phishing, che rappresenta oltre l'80% di tutti gli incidenti segnalati.

Come ridurre le vulnerabilità?

  • È necessario fornire una formazione approfondita ai dipendenti per garantire la consapevolezza dei diversi vettori di attacco.

  • La regolare valutazione del rischio delle persone può ridurre considerevolmente il rischio informatico.

  • È importante utilizzare meccanismi di incentivazione per favorire l'attenzione dei dipendenti verso l'aspetto della sicurezza.

Tim Sadler, CEO di Tessian, ha dichiarato: «La formazione sulla sicurezza informatica deve riflettere il fatto che generazioni diverse sono cresciute con la tecnologia in modi diversi. Inoltre, non è realistico aspettarsi che ogni dipendente rilevi una truffa o prenda la decisione giusta in materia di sicurezza informatica il 100% delle volte». Perciò, continua, «per evitare che semplici errori si trasformino in gravi incidenti di sicurezza, le aziende devono dare la priorità alla sicurezza informatica a livello umano. Ciò richiede la comprensione dei comportamenti dei singoli dipendenti e l'utilizzo di tale intuizione per adattare la formazione e le politiche per rendere le pratiche di sicurezza informatica davvero efficaci».

Le imprese che non danno priorità alla consapevolezza proattiva della sicurezza o alla valutazione del rischio sono condannate a spendere una grossa somma per mitigare gli incubi di ciò che può accadere a seguito di drammatiche violazioni dei dati.

Foto di Nenad Stojkovic , licenza CC BY 2.0

Metti al sicuro la tua azienda

Scopri i nostri dispositivi configurati in base alle esigenze specifiche e monitorati costantemente da tecnici esperti.

Scopri i dettagli