14 Mar L’awareness e il ruolo dell’HR nel contrasto alle minacce di social engineering

La cybersecurity rappresenta senza dubbio una delle più grandi problematiche dei nostri giorni.

La società contemporanea può infatti considerarsi del tutto immersa all’interno di un ecosistema digitale, in cui si sviluppa una larghissima fetta dell’economia mondiale, con evidenti riflessi sull’andamento del business delle imprese e sugli interessi dei consumatori.

Risulta chiara, dunque, l’esigenza di garantire una solida protezione dell’infrastruttura materiale e immateriale di ciascuna organizzazione, con particolare riferimento all’implementazione di un sistema di gestione della sicurezza delle informazioni che consenta di assicurare il rispetto degli standard di riservatezza, integrità e disponibilità dei dati che quotidianamente coinvolgono le attività delle imprese, a tutela dei diritti e libertà degli interessati e, in ultima analisi, degli interessi di business delle organizzazioni medesime.

Invero, un approccio alla cybersecurity sbilanciato verso l’attenzione alle sole minacce esterne risulterebbe indubbiamente limitato ed insufficiente. Va infatti considerato, anche se ciò può sembrare contro intuitivo, che molto spesso le minacce alla sicurezza informatica sono riconducibili a soggetti interni alle aziende.

L’incidenza del fattore umano

Come sottolineato, tra gli altri, da un recente rapporto pubblicato da Verizon[1], una cospicua fetta di incidenti legati alla cybersecurity – quasi un caso ogni cinque – nasce dall’imprudenza e/o imperizia del dipendente, dettata spesso da distrazione, scarsa motivazione e impreparazione, fino a giungere alle ipotesi di comportamenti scorretti causati da c.d. burnout, cioè da un vero e proprio esaurimento del lavoratore dovuto all’eccessivo carico di lavoro da svolgere.

Ancora, secondo quanto emerge dalla Ricerca condotta nel 2018 dall’Osservatorio Information Security & Privacy del Politecnico di Milano[2] tra le diverse tipologie di vulnerabilità che hanno aumentato l’esposizione al rischio delle organizzazioni intervistate, la distrazione e la scarsa consapevolezza dei dipendenti rappresentano la criticità prevalente per l’82% delle aziende.

Il social engineering

Con specifico riferimento al contesto interno di un’azienda, la principale fonte di rischio è costituita dalla c.d. social engineering, una forma di attacco particolarmente sofisticata che punta a colpire direttamente il dipendente dell’organizzazione. Essa può essere considerata una vera e propria tecnica di “manipolazione” delle persone, la quale – a differenza di altre minacce cyber – non sfrutta le weakness dei sistemi informatici, bensì le debolezze ed ingenuità umane, riuscendo a superare in tal modo il perimetro di sicurezza infrastrutturale posto in essere – sia a livello fisico che logico – dall’organizzazione.

Nell’ambito dell’ingegneria sociale, la fase di attacco vera e propria è preceduta da una fase di information gathering, in cui viene effettuato un approfondito studio della vittima, analizzandone la personalità, le abitudini ed i comportamenti abitualmente tenuti nell’ambiente digitale. Parimenti, quando l’attacco di ingegneria sociale ha come obiettivo non la singola persona ma un’intera organizzazione, oggetto dello studio dei criminali sarà la raccolta del maggior numero possibile di informazioni, reperibili da varie fonti (sito web aziendale, social network, dati societari, documenti disponibili in rete, ecc.) e funzionali a conoscere a fondo l’azienda target e i comportamenti dei suoi dipendenti.

Una volta ultimata la fase di studio, l’attacco di social engineering può essere realizzato attraverso diverse modalità (phishing, baiting, pretexting, trashing, ecc.), tutte realizzabili attraverso lo sfruttamento di debolezze insite nella componente “umana” dell’organizzazione di lavoro di una azienda.

Il ruolo delle Risorse Umane per la Security Awareness

Da queste brevi considerazioni emerge il ruolo chiave che, in un contesto aziendale sufficientemente maturo e sensibile dal punto di vista della gestione del rischio, può e deve assumere la funzione HR (risorse umane) nel garantire, di concerto con la funzione IT e con gli altri dipartimenti, la sicurezza dell’azienda contro le minacce provenienti dal cyberspazio.

In generale, l’importanza e la centralità del dipartimento risorse umane, all’interno di un’impresa che possa considerarsi “di successo”, è di facile intuizione. Esso, infatti, contribuisce alla crescita e all’evoluzione culturale di un’azienda in molti modi: basti pensare, a titolo esemplificativo, all’attività di reclutamento dei lavoratori (che consente all’azienda di farsi conoscere sul mercato), o ancora all’attività di definizione delle retribuzioni, funzionale a trasmettere ai dipendenti la percezione di quanto sia apprezzato il loro contributo. Le risorse umane svolgono, insomma, un ruolo di “presenza” all’interno dell’organizzazione, proponendosi di interpretare i bisogni e le aspettative dell’azienda, accompagnandola in un percorso di crescita costante.

In quest’ottica, si comprende il ruolo cardine giocato dall’HR anche nella efficace ed efficiente implementazione di una Information Security Strategy: ruolo che si sostanzia principalmente in un compito di diffusione, all’interno del “tessuto umano” dell’azienda, del concetto di awareness.

Security awareness, si badi bene, non è sinonimo di “formazione dei dipendenti”, ponendosi tali concetti in un rapporto di species e genus tra loro. In altri termini, l’attuazione di una strategy awareness di successo (o campagna di sensibilizzazione”, che dir si voglia) comprende ma non si limita all’attività di formazione in azienda, proponendosi di individuare e sfruttare, più in generale, tutti gli strumenti e le strategie funzionali alla creazione di una “intelligenza collettiva” aziendale, fatta di expertise, sensibilità, competenze e innalzando, di conseguenza, il livello di sicurezza dell’organizzazione con riferimento alla protezione dei dati personali.

La security awareness è pertanto un processo lungo e complesso, fatto di diverse fasi ed ampiamente scalabile e modulabile a seconda della realtà aziendale di riferimento. In particolare, sarà innanzitutto indispensabile comprendere lo stato dell’arte della sicurezza all’interno di un’organizzazione, al fine di individuare le aree di miglioramento.

Il passo successivo sarà poi quello di lavorare sulla “motivazione” delle persone: molto spesso i temi legati alla sicurezza informatica vengono percepiti come troppo impegnativi e, addirittura, come un ostacolo alla produttività aziendale. Sarà pertanto necessario mettere in campo strategie funzionali ad un maggiore coinvolgimento dei dipendenti, come ad esempio l’utilizzo di tecniche di c.d. gamification, utilizzo di materiale multimediale, così come la programmazione di momenti di incontro, seminari di approfondimento, giornate di studio, mostre tematiche, iniziative di coinvolgimento di soggetti esterni, ecc.

Non bisogna tuttavia sminuire il ruolo fondamentale giocato dalla formazione. È indubbio, infatti, che tra le ragioni principali del successo della social engineering vi sia la mancata formazione del personale relativamente alle minacce di cyber sicurezza. Occorre pertanto una formazione continua e adeguata, in modo da fornire ai dipendenti maggiore consapevolezza dei rischi potenziali, nonché mirata a fornire le opportune conoscenze e strumenti non solo per prevenire gli attacchi, ma anche per una pronta reazione al cospetto di casi di criticità.

In conclusione, si può affermare che un programma di formazione di tutti i dipendenti, unitamente ad una politica di awareness cybersecurity-oriented può certamente garantire alle organizzazioni, quella resilienza necessaria per “sopravvivere” nell’attuale contesto digitale.

[1] Verizon, Data Breach Investigations Report (DBIR), 2019

[2] Politecnico di Milano, Osservatorio Information Security & Privacy, edizione 2018.