Secondo il World Economic Forum, il 95% delle problematiche di Cyber Security sarebbero riconducibili ad errori umani.
Inoltre, il recente report di IBM Security – evidenzia come, a livello globale, i vettori di attacco più utilizzati nei data breach e che comportano, mediamente, i costi più elevati e i tempi di identificazione e contenimento più lunghi, siano riconducibili allo “human risk”:
- Compromissione di credenziali (spesso conseguenza di complessità debole e riuso delle password);
- Phishing;
- Business Email Compromise.
Questi report mostrano chiaramente quanto sia determinante tenere in alta considerazione il “fattore umano” nello sviluppo di un programma di sicurezza in azienda, senza mai dimenticare, ovviamente, l’importanza della gestione dei rischi tecnologico e organizzativo.
In azienda, per sviluppare un’efficace prevenzione del rischio umano dovremmo promuovere quello che viene definito “ABCs” della Cyber Security: Awareness, Behavior and Culture.
In altri termini, dovremmo stimolare e valorizzare il ruolo decisivo che la conoscenza e le abitudini comportamentali giocano nel processo di trasformazione verso una della sicurezza. Si tratta innanzitutto di “misurare” la cultura attualmente permeata in azienda, per procedere poi alla definizione del livello di maturità al quale la si intenda elevare e, cosa più importante, alla individuazione della roadmap per portarcela.
Sviluppare la cultura Cyber a tutti i livelli aziendali
Il fattore umano non è da ricondursi solo e semplicemente agli “stereotipi” del collaboratore vittima di un attacco di phishing o che riutilizza una password debole per più credenziali ma ha orizzonti decisamente più vasti: l’essere umano è coinvolto in tutti gli ambiti e i processi di un’organizzazione, è al centro di ogni cosa.
Ad esempio, anche chi si occupa della gestione della sicurezza delle informazioni è un essere umano, e il suo comportamento, le sue conoscenze, il suo coinvolgimento, le sue capacità comunicative, il suo consenso, il suo atteggiamento, come quelli di ogni altro collaboratore all’interno dell’organizzazione aziendale, indipendentemente dal ruolo, sono tutti aspetti che possono concorrere alla promozione o all’impoverimento della cultura della sicurezza.
Le persone che occupano un ruolo di leadership però, hanno certamente una responsabilità maggiore e dovrebbero rivestire un ruolo primario nella promozione della cultura della sicurezza perché il loro comportamento potrebbe avere un impatto enorme sulla cultura aziendale.
Le policy e le procedure di sicurezza dovrebbero essere disegnate, introdotte e comunicate in modo appropriato, seguendo quanto più possibile la strada della semplicità, della chiarezza e della sostenibilità, con l’obiettivo primario di incontrare la più ampia adesione del personale aziendale.
La security culture, quindi, non deve essere promossa “contro” ma “con” l’essere umano e la sua natura, tenendo conto di quello che risulta essere l’attuale livello di maturità culturale e le abitudini radicate in azienda.
La promozione della cultura della sicurezza, infine, dovrebbe essere caratterizzata da un’azione incessante, volta a nutrirla e rinvigorirla continuamente.
Non è un’impresa facile, richiede tempo, non la si improvvisa, e gli ostacoli lungo il cammino sono molti e impegnativi ma è evidente che non ci si possa più permettere di ignorare quello che è ormai da considerarsi un dato di fatto: “Security Culture is king”.
