Me, the cyberthreat

 Me, the cyberthreat
cyberthreat-2
[dropcap]L’[/dropcap]alternanza, e spesso fusione, tra lavoro e sfera personale porta ad un equilibrio precario tra attività lavorativa e corrispondenza privata di email, chiamate personali ed uso di social networks (es. Facebook, Twitter, etc.), sopratutto con una proliferazione di device personali ad uso lavorativo e device aziendali anche ad uso personale.
In questo scenario è ormai appurato che la maggior parte delle minacce alla sicurezza che occorrono nelle aziende sono dovuti a incaute azioni e pratiche degli utenti: errore umano e mancanza di consapevolezza sono i fattori chiave che si sommano alle carenze tecniche.
Le organizzazioni, anche quando hanno policy esplicitamente dedicate alla sicurezza informatica, fanno fatica a vedere accettate dal loro personale le misure di sicurezza messe in atto per protezione. Così la gestione delle password, l’aggiornamento degli antivirus ed una regolamentazione efficace e sostenibile nell’uso dei device personali ed aziendali occupano l’ultima delle preoccupazioni dell’azienda.
Test sul campo, svolti sulla base della metodologia SDVA (“Social-Driven Vulnerability Assessment”) sviluppata da CEFRIEL ed applicata dal 2011 a oggi, su importanti realtà di primaria rilevanza nazionale (e non solo), mostrano come l’attuale percezione da parte dei decisori tipici in azienda, a cui compete la definizione delle iniziative a contrasto delle vulnerabilità legate al fattore umano, in primis il phishing, sia insufficiente. Il test, in estrema sintesi, prevede l’invio di email contestualizzate (più o meno precisamente a seconda dei test), realizzate sulla base di informazioni pubblicamente disponibili, ad un campione selezionato del personale aziendale, e la verifica dell’effettiva reazione1. In tali email si invita l’utente a visitare uno specifico sito, ed a cedere le proprie credenziali aziendali.
Tali attività dimostrano che il livello di esposizione delle aziende a questo tipo di attacchi, che mette a rischio l’integrità del perimetro di protezione tecnologica esterno, può superare il 40% in termini di propensione a cedere le credenziali di accesso (“spendibili” ad esempio su webmail esterne).  Tale esposizione sale al 60% dei PC aziendali che potenzialmente espongono vulnerabilità sfruttabili dall’attaccante. Si tratta di un rischio che è quantomeno opportuno misurare (ed in taluni settori potrebbe insistere una necessità normativa in tal senso, alla luce delle ultime evoluzioni in materia di valutazione del rischio).
BSD ha maturato, in recenti attività di ricerca, una competenza di analisi dei fattori umani, delle procedure e dei comportamenti legati alla cybersecurity e è in procinto di iniziare uno studio strutturato sul ruolo dei fattori umani nella cybersecurity in azienda in collaborazione con CEFRIEL, l’Istituto ICT del Politecnico di Milano (www.cefriel.com), DeepBlue, società di ricerca e consulenza su fattori umani e safety (www.dblue.it) e il ISTC-CNR, l’Istituto di Scienze e Tecnologie della Cognizione del CNR (http://www.istc.cnr.it).
Lo studio prevede le seguenti attività:
– Analisi documentale relativa a procedure e policy aziendali
– n. 1 Focus Group (di circa 5 persone con ruoli da definire)
– n. 3 Interviste di approfondimento (per la durata di 45min)
– Analisi esperta su metodologia di Social Driven Vulnerability Assessment
– Produzione di un report dei risultati dell’analisi e revisione con l’azienda
L’attività di studio iniziale è finanziata su fondi di ricerca per un totale di 3 giornate e non prevede costi per l’azienda destinataria dell’intervento.
A tali attività possono seguire ulteriori approfondimenti (es. attuazione campagna SDVA, assessment tecnologici) e/o il design e l’attuazione di contromisure in particolare sul fattore umano (awareness, campagne di sensibilizzazione, ecc.).
Per saperne di più contatta: info@bsdesign.eu o alessandro.pollini@bsdesign.eu

Alessandro Pollini

Partecipa alla discussione

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.