L’analisi delle nuove strategie di attacco, nonché i recenti fatti di cronaca, mostrano come i criminali informatici tendano sempre più spesso a sfruttare vulnerabilità introdotte dal fattore umano per infiltrarsi all’interno delle reti aziendali. Da lì, possono estendere il perimetro di controllo su altri sistemi contenenti informazioni critiche, o semplicemente procedere a un’infezione su larga scala. La prima fase dell’attacco si basa spesso sullo sfruttamento di comportamenti incauti e inconsapevoli da parte del personale aziendale, ingannato con tecniche di social engineering. Anche in molti casi recenti di “data breach” o di attacchi “ransomware”, la diffusione del malware all’interno delle aziende è stata veicolata tramite attacchi di spear phishing rivolti ai dipendenti, che hanno permesso ai cyber criminali di compromettere i PC delle vittime, ottenendone il controllo da remoto.

Dato che gli attaccanti fanno sempre più affidamento sulla debolezza dell’elemento umano, è fondamentale estendere la governance della sicurezza e includere le persone tra i fattori di rischio, con la finalità di identificare opportune strategie di mitigazione: come è possibile, però, ampliare e far evolvere il processo di vulnerability assessment per coinvolgere anche l’elemento umano?

Effettuare un vulnerability assessment sulle persone è un processo complesso e delicato, che richiede di tenere in considerazione anche aspetti di natura etica e legale – commenta Raoul Brenna, Information Security & Infrastructures Practice Manager presso CEFRIEL – Politecnico di Milano – Un’adeguata strategia di mitigazione del rischio legato ai comportamenti delle persone necessita di percorsi di training e awareness mirati. Il problema è distinguere quali tra questi programmi di awareness siano veramente efficaci, abbiano un reale impatto sulle attitudini delle persone e determinino un effettivo aumento del livello di sicurezza. Distinguerei in questo senso tra la reale creazione di consapevolezza, come valore aggiunto spendibile in uno scenario di attacco così mutevole, rispetto alla semplice elencazione di regole, tanto frequente negli approcci aziendali al training degli anni passati.

Bisogna abilitare le persone a riconoscere i potenziali attacchi e limitarne i comportamenti impulsivi: per farlo, il primo passo è quello di analizzare i comportamenti tramite un “Risk Assessment” realistico sulle persone, contestualizzato alla specifica realtà aziendale. Da questo, si può procedere a costruire “nei giusti modi” la strategia più efficace, anche basata su elementi multimediali o di “gamification”, per stimolare maggiormente l’attenzione delle persone.

 

Le tematiche affrontate nel Webinar saranno:

  • L’evoluzione delle minacce mirate (APT) e il ruolo del “phishing” negli attacchi moderni.
  • Come impostare una misurazione del rischio abilitato da tecniche di social engineering.
  • Quali sono le possibili conseguenze legate alla sottovalutazione della sicurezza del fattore umano.
  • Come utilizzare i risultati di un “Risk Assessment” sulle persone per creare percorsi di Security Awareness efficaci.
  • I possibili benefici rispetto alla formulazione di una strategia di governo della sicurezza informatica che unifichi gli aspetti tecnologici e quelli legati alle persone.