La scorsa settimana abbiamo iniziato a esaminare insieme il rapporto tra elemento umano, cybersecurity e intelligenza artificiale. Abbiamo parlato del social engineering e di come la preparazione degli utenti (o la sua mancanza) sia essenziale in un’ottima strategia di cybersecurity, passando altresì attraverso il cambiamento di mentalità che mette l’uomo al centro di tutto. Proseguiamo con la seconda “puntata” della rubrica e vediamo oggi come mettere alla prova la formazione degli utenti e costruire una formazione efficace attraverso l’esecuzione intelligente (si parla di intelligenza umana, non artificiale) di vulnerability assessment e penetration test.
Come abbiamo detto, il social engineering, che si basa sullo sfruttamento dell’errore e delle debolezze umane, anche di natura psicologica, per sferrare attacchi cybercriminali ai danni di enti e organizzazioni, è ormai da tempo la migliore strategia a disposizione di chi voglia entrare in un sistema e fare danni, per qualsiasi scopo. Attraverso attacchi mirati di social engineering si possono veicolare ransomware e malware di qualsiasi tipo, che sono per l’appunto il tipo di attacco più comune ed allo stesso tempo quello che risulta di maggior impatto negativo. Per contrastare questa crescente tendenza è quindi necessario ripensare tutto l’impianto di protezione che, non in sostituzione, ma in affiancamento alle misure classiche, basate su supporti tecnologici (firewall, software di protezione, configurazioni di rete, eccetera) si concentri sul fattore H: l’elemento umano nella sua qualità di soggetto a presidio dei sistemi di difesa dell’ente.
Ma, e lo accennavamo nello scorso articolo, il comportamento umano è per sua natura mutevole con il tempo, così come non tutti i soggetti sono uguali; pertanto, ciò che può andare bene per un ente non è detto che possa andare bene per un altro e le competenze coinvolte sono più umanistiche che tecniche (ecco perché il ruolo del Cyberavvocato è così fondamentale). Secondo recenti studi condotti dal Politecnico di Milano, uno degli elementi fondamentali per ripensare le cybersecurity “umanocentrica” consiste nell’effettuare Vulnerability Assessment e Penetration Test dell’elemento umano.
Che cosa significa? In buona sostanza, significa misurare il livello di rischio (da un punto di vista cyber) che le persone che lavorano nell’ente rappresentano per quell’ente e, una volta capito, strutturare azioni concrete per porvi rimedio. Il termine “vulnerability assessment della componente umana” si riferisce a un’analisi delle vulnerabilità legate agli aspetti umani all’interno di un contesto specifico, nel nostro caso l’Ente locale di riferimento.
Come testare il livello di rischio della componente umana
Questo tipo di valutazione si concentra sulle potenziali minacce e vulnerabilità derivanti dal comportamento, dalle azioni o dagli errori umani che potrebbero compromettere la sicurezza o l’integrità di un sistema, di dati sensibili o di processi. Giova ripetere che, trattandosi di errori “umani” non sarà possibile applicare gli automatismi che invece ci sono concessi quando parliamo di test sui sistemi: se un sistema viene testato dal punto di vista tecnico e qualcosa va storto, sarà sufficiente correggere la debolezza: implementare la sicurezza, cambiare il firewall, modificare la struttura della rete, aggiornare il sistema, il backup, e così via.
Quando invece si effettuano test sulle “debolezze” del personale, oltre alle competenze tecniche ed ai livelli di preparazione, che già di per sé possono cambiare non solo da un dipendente a un altro, ma anche nella stessa persona possono essere diverse in un periodo dell’anno e in un altro, è necessario tenere in debito conto gli aspetti umani e psicologici legati a quella persona, oltre che quelli legislativi (tanto per fare un esempio: se un sistema non funziona, si può cambiare; se un dipendente non è adeguatamente formato non è possibile solo per questo che l’ente lo “cambi” come farebbe con un software).
L’obiettivo di un vulnerability assessment della componente umana è identificare e comprendere le potenziali debolezze nelle pratiche, nei processi o nell’adempimento delle responsabilità da parte delle persone coinvolte in un determinato contesto.
Ciò deve includere l’analisi delle politiche di sicurezza, la formazione del personale, la consapevolezza sulla sicurezza, la gestione delle password e altri aspetti che coinvolgono l’interazione umana con i sistemi e le informazioni.
Questo tipo di valutazione va inserito nella più ampia strategia di sicurezza informatica, per garantire che non solo gli aspetti tecnici, ma anche quelli umani, siano adeguatamente considerati nella gestione del rischio. La formazione degli utenti, la consapevolezza sulla sicurezza e le politiche di gestione delle informazioni sono spesso aree focali in questo tipo di valutazione.
Come suddividere per punti una valutazione del rischio della componente umana
Chiariti (almeno si spera di averli chiariti) i principi e gli aspetti teorici, proviamo a scendere nel concreto ed entrare nel merito di una valutazione di questo tipo, suddividendo un potenziale assessment in dieci punti fondamentali, che ciascun ente potrà poi adattare alle proprie specifiche esigenze.
1. Conoscenza Tecnica. Analisi delle Competenze Tecniche. Valutazione delle competenze tecniche dei dipendenti in relazione alle tecnologie utilizzate e alle minacce di sicurezza cibernetiche. Ciò può includere la conoscenza di protocolli di rete, sistemi operativi, applicazioni e strumenti di sicurezza.
2. Sensibilizzazione alla Sicurezza. Valutazione della Consapevolezza sulle Minacce. Analisi della consapevolezza degli utenti riguardo alle minacce cibernetiche, come phishing, malware e attacchi social engineering. Valutazione della capacità di riconoscere e segnalare potenziali minacce.
3. Gestione delle Password e delle Credenziali. Esame delle Politiche di Password. Analisi delle politiche e delle procedure relative alla gestione delle password. Valutazione della complessità delle password, delle pratiche di cambio periodico e dell’uso di autenticazione a più fattori.
4. Formazione sulla Sicurezza. Valutazione dei Programmi di Formazione. Analisi dei programmi di formazione sulla sicurezza cibernetica forniti ai dipendenti. Esame della copertura di argomenti critici come le best practice di sicurezza, la gestione delle informazioni riservate e le policy aziendali sulla sicurezza.
5. Analisi dell’Uso di Dispositivi e Applicazioni Personali (BYOD). Valutazione dell’Uso di Dispositivi Personali. Esame delle politiche aziendali relative all’uso di dispositivi personali e applicazioni sul luogo di lavoro. Identificazione di potenziali rischi associati all’uso non sicuro di dispositivi personali e applicazioni e predisposizione di adeguate procedure in merito (Bring Your Own Device)
6. Sicurezza delle Comunicazioni e delle Transazioni. Esame delle Pratiche di Comunicazione Sicura. Valutazione delle pratiche di sicurezza nelle comunicazioni interne ed esterne. Analisi dell’uso di canali sicuri per la trasmissione di informazioni sensibili e della consapevolezza delle minacce di intercettazione.
7. Risposta agli Incidenti e Segnalazione. Valutazione della Risposta agli Incidenti. Analisi della prontezza dell’organizzazione nella gestione degli incidenti di sicurezza cibernetica. Verifica della capacità di rilevare, rispondere e segnalare incidenti in modo tempestivo.
8. Consapevolezza della Politica di Sicurezza. Esame della Conoscenza delle Politiche di Sicurezza. Valutazione della consapevolezza degli utenti sulle politiche di sicurezza aziendali. Identificazione di potenziali divari tra le politiche stabilite e la comprensione da parte dei dipendenti.
9. Formazione Continua e Aggiornamenti. Pianificazione di Programmi di Formazione Continua. Implementazione di programmi di formazione continuativa per mantenere aggiornate le competenze degli utenti in relazione alle nuove minacce cibernetiche e alle best practice di sicurezza.
10. Simulazioni e Penetration Test. Esecuzione di Simulazioni di attacchi e penetration test. Conduzione di simulazioni di attacchi (ad esempio phishing) per valutare la capacità degli utenti di riconoscere e resistere agli attacchi di ingegneria sociale.
>> L’ARCHIVIO INTEGRALE DELLA RUBRICA DELL’AVV. LUISA DI GIACOMO.
* Luisa Di Giacomo è avvocato da oltre quindici anni, dal 2012 è consulente privacy presso diverse aziende nel nord Italia e dal 2018 ricopre l’incarico di DPO presso diverse Pubbliche Amministrazioni (Comuni, Enti di ricerca, Enti socio assistenziali) e società private. Dal 2022 fa parte del pool di consulenti esperti in Data Protection Law istituito presso l’European Data Protection Board.
Formata nell’ambito del diritto civile e commerciale, negli ultimi dieci anni si è dedicata in via esclusiva al diritto di internet, delle nuove tecnologie, della protezione dei dati personali e della cybersecurity.
Ha svolto periodi di studio e di lavoro all’estero, è docente e formatore per Maggioli spa, responsabile della sezione cybersecurity del portale diritto.it, redattrice per la Gazzetta degli Enti Locali.
Parla inglese e francese a livello madrelingua, ed ha una discreta conoscenza dello spagnolo e del portoghese.
Ama scrivere narrativa e dedicarsi all’attività di formazione in aula e online, già autrice per La Gazzetta degli Enti Locali della rubrica I martedì della cybersecurity.
Le piace definirsi Cyberavvocato.
Scrivi un commento
Accedi per poter inserire un commento