Lo studio della variabile “fattore umano” nel campo della sicurezza cibernetica, seppur tra quelle più temute dalle imprese e tra quelle più utilizzate dagli attori malevoli, rimane a tutt’oggi una tematica sicuramente complessa, spesse volte sottovalutata e soprattutto di non facile gestione operativa, come si è avuto modo di sottolineare in un precedente articolo.
Non esiste, infatti, una sola risposta organizzativa oppure una facile soluzione a tale annoso quesito. L’elenco dei fattori che possono influenzare la sicurezza informatica, in relazione alle prestazioni lavorative dei dipendenti, è molto ampio: comprende una vasta gamma di situazioni che influenzano le persone in modo molto diverso, poiché gli esseri umani non hanno tutti le stesse capacità, forze, debolezze o limitazioni.
Violazioni di dati, se la minaccia viene dall’interno: come limitare i danni
L’importanza del fattore umano nei contesti organizzativi
Come diretto antecedente si può citare, nelle scienze sociali, l’effetto Hawthorne, un esperimento condotto da George Elton Mayo, che durò dal 1928 al 1932, in cui vennero esaminati gli effetti dell’illuminazione sulla produttività dei lavoratori. In questo senso, tale effetto ipotizza che i fattori motivazionali possono influenzare significativamente le prestazioni umane. Da quel momento in poi, la consapevolezza che il fattore umano può portare a una migliore qualità dell’attività produttiva, a un ambiente lavorativo che assicura una maggiore sicurezza nonché a una forza lavoro più coinvolta e responsabile sono divenuti tutti aspetti che hanno avuto larghissima diffusione nella letteratura manageriale e organizzativa.
Il primo passo da compiere è riconoscere, tuttavia, l’importanza che il fattore umano può svolgere nei più svariati contesti organizzativi. Ciò sembra essere avvenuto negli ultimi anni, in quanto tale termine è divenuto sempre più popolare man mano che l’industria della sicurezza cibernetica si è resa conto che la variabile umana, piuttosto che una falla nella tecnologia o nel software è alla base di moltissime compromissioni cibernetiche. Questa situazione generale ha pure dato luogo a un iniziale approccio scientifico, imperniato sull’information security, con contributi multidisciplinari i quali cercano di incorporare in modelli analitici, peraltro di difficile elaborazione, contributi di vari campi disciplinari quali la psicologia, l’ingegneria, la statistica, la ricerca operativa, l’intelligenza artificiale e l’antropometria. In questo modo si cerca di ricomprendere, all’interno di tali modelli, le tecniche di machine learning, i test psicometrici, il dispiegamento di strumenti statistici quali la regressione, le tecniche di simulazione e modellizzazione, ecc.
Nonostante tali sforzi di modellizzazione, a tutt’oggi, il considerare il fattore umano, alla stregua di un elemento critico delle strategie aziendali, costituisce ancora più un’arte che una vera e propria scienza. Del resto, lo stesso Kevin David Mitnick, uno dei primi e più conosciuti hacker, affermava nel suo libro del 2002, non a caso intitolato The Art of Deception, di aver compromesso i computer esclusivamente utilizzando password e codici acquisiti mediante tecniche di ingegneria sociale, la quale consiste nella “manipolazione” delle persone per farle compiere azioni o divulgare informazioni altrimenti riservate. Per dirla con i suoi termini, “the human side of computer security is easily exploited and constantly overlooked. Companies spend millions of dollars on firewalls, encryption and secure access devices, and it’s money wasted, because none of these measures address the weakest link in the security chain” [people]. Anche Bruce Schneier, uno degli esperti più rinomati a livello globale, ha sottolineato più volte “Only amateurs hack systems, professionals hack people” e “Security solutions have a technological component, but security is fundamentally a people problem” (Schneier, Secrets & Lies).
Affrontare la minaccia interna con la tassonomia
Da quanto sin qui sostenuto appare chiaro che ci si deve concentrare anche sulle risorse umane e su quelle organizzative piuttosto che solo su quelle informatiche. Questo perché nonostante i progressi sostanziali compiuti nella sicurezza perimetrale, nel rilevamento delle intrusioni, nella crittografia, nel controllo degli accessi e così via, i quali hanno aiutato senz’altro a respingere gli attacchi esterni, pochi progressi si sono fatti nell’affrontare la minaccia interna derivante dal fattore umano. Al fine di facilitare l’identificazione di tali minacce può essere di qualche utilità mettere a punto una minimale tassonomia. La riflessione sull’utilizzo delle tassonomie potrebbe fornire, ad esempio, un primo mezzo per classificare e ordinare i problemi che tali minacce pongono all’intero sistema organizzativo.
Una volta individuate le tassonomie principali queste servono sia per differenziare i tipi di minacce interne sia per rendere esplicite le dimensioni chiave. Identificando le dimensioni chiave si possono iniziare a elaborare le strategie di prevenzione, risposta e mitigazione. Detto in altre parole, siccome il fattore umano non è del tutto eliminabile si deve, nondimeno, cercare di gestirlo al meglio. Un esempio di tale processo può essere quello di ipotizzare chi possa essere l’attore di tali minacce interne. Quest’ultima può essere costituita da un individuo profondamente inserito in un’organizzazione, come, ad esempio, un dirigente di alto livello, un amministratore di sistema, oppure può essere un semplice dipendente. Le tecniche di rilevamento di questi diversi tipi di minacce interne variano allora in maniera sostanziale. Tra le varie situazioni classificabili come effettuate da dei naive insiders si possono indicare le seguenti, a solo titolo esemplificativo:
- violazioni delle politiche aziendali di cybersicurezza;
- apertura dei link di phishing inviate tramite e-mail;
- accesso a reti pubbliche non sicure;
- utilizzo di dispositivi personali durante il lavoro da remoto;
- installazione di software non approvati;
- condivisione delle password con i colleghi, ecc..
Diversa la situazione se riguarda degli amministratori di sistema oppure un dirigente di alto livello, vanno ipotizzati altri comportamenti al fine di approntare delle contromisure adeguate.
Motivazione e consapevolezza dei dipendenti
Un altro aspetto significativo riguarda la motivazione e la consapevolezza dei dipendenti, i quali dovrebbero essere la prima linea di difesa delle risorse digitali di un’organizzazione. Bisogna sempre distinguere, infatti, il livello di motivazione e la consapevolezza degli attori. Anche tale fattore dovrebbe trovar posto in una tassonomia aziendale. Gli atti malevoli possono essere equivalenti ad atti dovuti a incidenti non voluti oppure a mere ingenuità: gli insider possono legittimamente usare i domini in modi inaspettati che potrebbero far scattare falsi allarmi. Outsider, insider che agiscono con intenti malevoli, insider che agiscono senza intenti malevoli e comportamenti accidentali possono tutti provocare effetti simili sull’impresa. I primi due sono intenzionali mentre gli ultimi due sono non intenzionali.
Nonostante tutte le contromisure ipotizzabili, in generale, tuttavia, ci saranno sempre aree grigie nel modo in cui le policy di sicurezza aziendale riescono a definire sia l’uso improprio che il comportamento corretto dei propri dipendenti. Un altro aspetto da prendere in considerazione è, infatti, quello relativo alle policy aziendali le quali giocano un ruolo significativo per quanto riguarda il fattore umano, in quanto definiscono i confini tra il comportamento ammissibile e quello non ammissibile, sia a livello tecnico che non tecnico. Le policy non solo definiscono il comportamento corretto, ma implicitamente definiscono anche la nozione di minaccia interna. In ultimo, siccome le azioni malevoli o inavvertite sono legate al contesto aziendale la maggior parte delle policy riesce a catturare, in maniera solo inadeguata, le sfumature del contesto organizzativo.
L’attività di monitoraggio e sorveglianza
Anche un altro aspetto rilevante, delle misure organizzative da implementare, è l’attività di monitoraggio e sorveglianza, la quale non sempre riesce a dirimere tali situazioni dando luogo a moltissimi falsi positivi. Del resto, l’attaccante malevolo interno conosce bene il sistema di monitoraggio ed è in grado di bypassarlo mediante comportamenti sostanzialmente non dissimili da quelli regolari.
Per fare ciò così come viene applicato nel mondo anglosassone, è necessario sviluppare una strategia di cyber awareness (la cd. cyber awareness strategy) che consta di alcuni step come garantire il supporto esecutivo; stabilire delle linee guida (nello specifico le guidelines n° 1/2021 approvate dall’EDB (European Data Protection Board) e adottate il 14-01-2021); definire e misurare il successo e adottare un approccio ibrido alla cybersecurity.
In conclusione, il fattore umano rappresenta una delle minacce più importanti e di difficile gestione da parte delle imprese, al di là di tutti i modelli di rischio implementati. Nonostante i tentativi di dar vita a software molto sofisticati, nonché di sviluppare un corpus di conoscenze teoriche su tali aspetti, essa rimane, a tutt’oggi, sostanzialmente ancora un’arte, ovvero una tecnica pratica, da intendersi in senso aristotelico, i cui aspetti precipui sono ancora ben lungi da poter essere sistematizzati e incorporati in una prassi di reale successo organizzativo.
_____________________________________________________________
- Le opinioni degli autori non rappresentano necessariamente quelle degli Enti di appartenenza. ↑
