Le aziende, sempre più spinte dal mercato ad investire in soluzioni tecnologiche per salvaguardare la sicurezza delle informazioni, tendono a trascurare il vero anello debole della catena: l’utente finale.
Gli hacker continuano imperterriti a violare i sistemi aziendali puntando soprattutto all’utente finale, attraverso l’uso di attacchi come il phishing. Nonostante le tecnologie di sicurezza stiano diventando sempre più efficienti ed intelligenti, gli hacker puntano all’unica cosa che non ha ancora subito miglioramenti: la consapevolezza dell’utente finale sulla sicurezza delle informazioni. Gli importanti attacchi a Apple, Facebook e Twitter del mese scorso, ad esempio, sono avvenuti grazie all’errore umano. Gli hacker hanno individuato gli utenti-chiave e li hanno attaccati con scaltrezza adottando efficaci tecniche di social engineering.
Non importa quanto siano validi ed efficienti gli strumenti di sicurezza informatica, una carenza degli utenti finali nella formazione ed educazione di sicurezza significa che gli attacchi non saranno mai debellati. Gli attacchi informatici esisteranno sempre, ma un’educazione e una consapevolezza migliori sulla sicurezza delle informazioni renderanno quantomeno difficile il compito agli attaccanti.
Nel corso della RSA Conference 2013, i ricercatori nel settore della sicurezza hanno più volte definito gli hacker come “pigri”, per indicare come, oggi, essi utilizzino metodi più semplici ed efficaci per ottenere ciò che vogliono, principalmente il furto di informazioni critiche. Nel caso delle aziende, il metodo più semplice per ottenere ciò che vogliono è un attacco di social engineering verso l’utente finale, di conseguenza l’unico modo per rallentare quantomeno questi hacker “pigri” è quello di investire sulla formazione dell’utente finale sulla sicurezza e sui giusti comportamenti da adottare.
Un recente studio di IDC sponsorizzato da Microsoft, intitolato “The Dangerous World of Counterfeit and Pirated Software”, ha evidenziato il problema del download di software privato o non autorizzato sui computer aziendali da parte del 57% degli utenti finali. Ciò accade perché essi non dispongono della giusta formazione sui temi di sicurezza, pertanto diventano certamente maggiori le probabilità che essi adottino comportamenti scorretti, come scaricare software dannoso per l’azienda, un’eventualità che accade nel 21% dei casi, stando ai dati illustrati.
Questo è certamente un dato allarmante, non solo per l’introduzione di software dannoso in azienda, ma anche per la scarsa consapevolezza degli utenti sulle possibili ripercussioni delle loro azioni. Ormai il concetto che il firewall e l’aggiornamento frequente dei sistemi, da soli, consentano di salvaguardare efficacemente la sicurezza aziendale è morto da tempo. Gli hacker sono persone estremamente furbe ed intelligenti, che investono costantemente nell’evoluzione delle proprie conoscenze, mentre gli utenti finali restano fermi nella loro ignoranza di sicurezza.
È giunto il momento per le aziende di investire finalmente nella consapevolezza, nella formazione e nell’educazione di sicurezza per i propri dipendenti e utenti finali. Attenzione: qui non si tratta di manuali e qualche corso didattico, ma di formare per bene gli utenti sui temi-chiave della sicurezza delle informazioni. Le aziende devono mettersi in gioco al più presto, organizzare sessioni di formazione periodiche, definire ed attuare un programma comprensivo di security awareness che consenta di mantenere gli utenti costantemente aggiornati e consapevoli delle minacce che sono chiamati a fronteggiare, ed eventualmente, ad eludere.
Una persona istruita sulla sicurezza dovrebbe essere perfettamente in grado di riconoscere ed eludere un attacco di phishing, così come di discernere fra un software innocuo e consentito e un software dannoso o, meglio, fra un comportamento adeguato ed uno potenzialmente pericoloso. Purtroppo gli utenti aziendali di oggi non sono minimamente educati in tema di sicurezza delle informazioni, perciò è ora che le imprese smettano di concentrarsi sugli attacchi informatici e sugli strumenti di sicurezza di ultima generazione: per vincere la propria battaglia contro gli hacker, le aziende devono mettere in sicurezza i propri sistemi informatici partendo dall’educazione e la formazione dei propri utenti.
Un programma di consapevolezza, educazione e formazione sulla sicurezza delle informazioni non consente solo di contrastare molto più efficacemente gli attacchi più subdoli ed elaborati, ma apporta anche una serie di vantaggi per l’azienda, infatti:
- Consente di risparmiare sugli investimenti in costosi e complessi sistemi di sicurezza informatica che si renderebbero necessari per sopperire alla carenza di formazione degli utenti;
- Consente di aumentare sensibilmente la disponibilità e l’accettazione degli utenti finali verso l’adozione di restrizioni d’uso in nome della sicurezza, con particolare riguardo alla protezione dei dati critici e al controllo accessi;
- Consente un migliore e più efficiente sfruttamento degli strumenti di sicurezza informatica (firewall, IDS, IPS, antivirus, ecc.) e una migliore configurazione delle tecnologie (sistemi, comunicazioni, ecc.) grazie alla maggiore consapevolezza degli utenti sulle possibili ripercussioni di errate o carenti configurazioni sulla sicurezza delle informazioni aziendali.
- Consente un maggiore controllo incrociato fra utenti e verso terze parti, grazie alla riconoscibilità di comportamenti ed azioni potenzialmente fraudolente o dannose per la sicurezza aziendale.
Se da una parte i vendor del settore insistono sulla pericolosità degli Advanced Persistent Threat (APT) per spingere le aziende ad investire, ottusamente, su firewall di nuova generazione o sull’ultima costosissima soluzione di Data Loss Prevention (DLP), dall’altro si tende ad ignorare la soluzione più economica ed estremamente efficace su cui investire per abbattere notevolmente i livelli di rischio per la sicurezza aziendale: la cultura di sicurezza delle informazioni in azienda.
Liberamente tratto da: “The weak link in the cyber security battle is the end user” di V3.co.uk
Ettore Guarnaccia
Trackback / Ping