Molto si è detto sugli investimenti di formazione e sensibilizzazione per trattare le vulnerabilità di sicurezza lato operatori. Uno dei maggiori investimenti sull’elemento del fattore umano consiste nell’empowerment, ma cosa significa?
Con tale termine si intende un intervento aggiuntivo rispetto alla sensibilizzazione e formazione, orientato a trattare in modo stabile talune vulnerabilità lato operatore che per loro natura sono intrinsecamente legate a stati emotivi e comportamentali.
Poiché gli attacchi basati su tecniche di ingegneria sociale sono attentamente progettati per forzare alcuni comportamenti automatici impiegando leve quali ad esempio l’autorità, il desiderio o la paura, migliorare la consapevolezza di sé e soprattutto delle conseguenze delle proprie azioni costituisce una delle principali difese di fronte a questi veri e propri tentativi di human hacking.
La stessa ENISA, l’Agenzia dell’Unione europea per la cybersecurity, rilevato l’aumento di queste tipologie di attacchi ha raccomandato alle organizzazioni di implementare politiche di sicurezza che coinvolgano, ove necessario, anche misure tecnologiche. Viene ricordato però che il buon senso – la cui definizione è tutt’altro che oggettiva – è e rimane la più efficace contromisura per fronteggiare gli attacchi basati su tecniche di ingegneria sociale. Al di là della definizione di buon senso, vengono fornite delle misure per promuoverlo: campagne di sensibilizzazione continua, addestramento ed esercitazione del personale, svolgimento di penetration test specifici per verificare la suscettibilità dell’organizzazione a questa tipologia di attacchi e aver così modo di implementare misure correttive.
La crescita dell’individuo e del gruppo a cui appartiene, che è la conseguenza delle azioni di empowerment, apporta un giovamento sensibile al generale livello di sicurezza. Ma in che modo è possibile? Certamente, valorizzare le risorse già disponibili e a migliorare la comunicazione interna dell’organizzazione sono obiettivi fondamentali. Prendendo come riferimento il NIST Cybersecurity Framework, ovverosia il modello di sicurezza informatica statunitense che ha definito uno standard adottato a livello internazionale, il coinvolgimento degli operatori è considerato sia come destinatari delle azioni di awareness and training che come soggetti coinvolti nei flussi informativi.
Un esempio su tutti: contribuire a fornire la consapevolezza in modo chiaro e certo dei ruoli all’interno dell’organizzazione secondo un’attribuzione di responsabilità e non di colpa è un modo efficace per promuovere comportamenti proattivi ed efficaci. E ancora: migliorare la capacità di resistere a situazioni di stress, quale può essere la gestione di un incident, comporta maggiore capacità reattiva e migliora tanto l’azione di reporting quanto quella di predisporre gli interventi tecnici per le azioni di contenimento e di ripristino.
