Non c'è una sola persona al mondo che non faccia mai errori. In effetti, commettere errori è una parte fondamentale dell'esperienza umana - è così che cresciamo e impariamo. Eppure, nella sicurezza informatica, gli errori umani sono troppo spesso trascurati.
Secondo uno studio di IBM, l'errore umano è la causa principale del 95% delle violazioni della sicurezza informatica. In altre parole, se l'errore umano fosse in qualche modo eliminato del tutto, 19 violazioni informatiche su 20 potrebbero non verificarsi affatto!
Quindi, perché l'errore umano è la causa di così tante violazioni e perché le soluzioni esistenti non sono riuscite ad affrontarlo? Diamo un'occhiata a quello che si trova alla base dell'errore umano - e cosa si può fare per migliorare il comportamento informatico dei dipendenti nella vostra azienda.
Quando si parla di errore umano nella sicurezza informatica, ciò che si intende con il termine è leggermente diverso dal suo uso in termini più generali.
In un contesto di sicurezza, l'errore umano significa azioni non intenzionali - o mancanza di azione - da parte di dipendenti e utenti che causano, diffondono o permettono che una violazione della sicurezza accada.
Questo comprendere diverse azioni - dal download di un allegato infetto da malware al mancato utilizzo di una password forte - che è parte della ragione per cui la soluzione al problema è così difficile da trovare.
Grazie ai nostri ambienti di lavoro sempre più avanzati, utilizziamo un maggior numero di strumenti e servizi - e abbiamo nomi utente e password da ricordare per ognuno di essi. Tutto questo si aggiunge, e quando non vengono fornite soluzioni alternative e sicure, i dipendenti iniziano a prendere scorciatoie per semplificarsi la vita.
Come se questo non fosse abbastanza, gli utenti finali devono anche affrontare la minaccia costante dei criminali informatici che influenzano il loro processo decisionale. L'ingegneria sociale ha un ruolo crescente in tutti i tipi di violazioni della sicurezza, e viene utilizzata per sfruttare la capacità dei dipendenti di consegnare dati o credenziali proprio nelle mani dei malintenzionati senza che questi debbano scrivere una sola riga di un programma malware o un exploit software.
Mentre le opportunità che portano all'errore umano sono quasi infinite, possono essere ampiamente classificate in due tipi diversi: errori basati sulle competenze e errori basati sulle decisioni. La differenza tra questi due si riduce essenzialmente a se la persona avesse o meno le conoscenze necessarie per eseguire l'azione corretta.
L'errore umano basato sulle conoscenze consiste in lapsus e dimenticanze: piccoli errori che si verificano quando si eseguono compiti e attività abituali. In questi scenari, l'utente finale sa come comportarsi, ma non lo fa a causa di un lapsus temporaneo, un errore o una negligenza. Questi possono accadere perché il dipendente è stanco, non presta attenzione, è distratto o ha un breve vuoto di memoria.
Gli errori basati sulla decisione sono quando un utente prende una decisione sbagliata. Ci possono essere una serie di fattori diversi che contribuiscono a questo: spesso si tratta di utenti che non hanno il livello di conoscenza necessario, non hanno abbastanza informazioni sulla circostanza specifica, o non si rendono nemmeno conto che stanno prendendo una decisione attraverso la loro assenza di azione.
La consegna errata - l'invio di qualcosa a un destinatario sbagliato - è una minaccia comune alla sicurezza dei dati aziendali. Secondo il report sulle violazioni di Verizon del 2018, la consegna errata è stata la quinta causa più comune di tutte le violazioni della sicurezza informatica. Con molte persone che si affidano a funzioni come l'auto-suggest nei loro client di posta elettronica, è facile per qualsiasi utente inviare per errore informazioni riservate alla persona sbagliata se non sta attento.
Le persone e le password semplicemente non vanno d'accordo. I dati del report 2019 del National Centre for Cyber Security proiettano una brutta immagine: 123456 rimane la password più diffusa nel mondo, e il 45% delle persone riutilizza la password del proprio account email principale su altri servizi. Oltre a non creare password forti e uniche, gli utenti non preparati commettono molti altri errori di password, tra cui scrivere le password sui post-it o condividerle con i colleghi.
I criminali informatici sono costantemente alla ricerca di nuovi exploit nel software. Quando gli exploit vengono scoperti, gli sviluppatori di software si affrettano per correggere la vulnerabilità e inviare la patch a tutti gli utenti prima che i criminali informatici possano comprometterli. Questo è il motivo per cui è essenziale che gli utenti installino gli aggiornamenti di sicurezza sui loro computer non appena sono disponibili. Purtroppo, il più delle volte gli utenti finali ritardano l'installazione degli aggiornamenti - e con risultati disastrosi.
Mentre le violazioni dei dati sono più spesso attribuite ad attacchi informatici, le aziende sono anche soggette a minacce fisiche. Le informazioni e le credenziali riservate possono essere rubate o visualizzate da persone non autorizzate se riescono ad accedere a luoghi sicuri.
Gli errori di sicurezza fisica si presentano in molte forme diverse, ma uno dei più comuni è lasciare documenti sensibili incustoditi sulle scrivanie, nelle sale riunioni o anche presso le stampanti. Chiunque riesca ad accedere agli uffici potrà prendere il documento senza che nessuno si accorga che è sparito.
Un altro errore di sicurezza fisica molto comune è quello di consentire il tailgating. Si parla di tailgating quando una persona non autorizzata segue qualcuno attraverso una porta o una barriera sicura - di solito semplicemente camminandole vicino. Molti dipendenti riterranno scortese contestare chiunque li segua, garantendo un'alta percentuale di successo nei tentativi di tailgating.
Ci sono tanti fattori che contribuiscono all'errore umano, ma la maggior parte di essi si riduce a questi tre: opportunità, ambiente e mancanza di consapevolezza.
L'errore umano può verificarsi solo dove c'è l'opportunità di farlo. Questo può sembrare ovvio, ma il punto è che più opportunità ci sono che qualcosa vada storto, più alta è la possibilità che un errore venga commesso.
Ci sono molti fattori ambientali che possono aumentare la probabilità che si verifichino errori.
L'ambiente fisico di un posto di lavoro può contribuire significativamente al numero di errori che si verificano. Mentre un qualsiasi lavoratore di un cantiere sarà in grado di dirvi che gli errori sono più comuni nei giorni di caldo bollente o di freddo glaciale - queste considerazioni si applicano anche agli uffici. Mentre avere la giusta temperatura nell'ufficio è una considerazione importante, la privacy, il livello di rumore e la postura sono tutte cose che possono contribuire a un ambiente più incline all'errore.
Gran parte degli errori umani deriva dal fatto che gli utenti finali semplicemente non sanno quale sia la cosa giusta da fare. Per esempio, gli utenti che non sono consapevoli del rischio di phishing sono molto più propensi a cadere in queste trappole, e qualcuno che non conosce i rischi delle reti Wi-Fi pubbliche avrà rapidamente le sue credenziali intercettate. Una mancanza di conoscenza non è quasi mai colpa dell'utente - ma dovrebbe essere affrontata da parte delle aziende al fine di garantire che i loro utenti finali abbiano le conoscenze e le competenze necessarie per mantenere se stessi e l'azienda al sicuro.
L'errore umano può verificarsi solo dove c'è l'opportunità di farlo, e come tale è essenziale eliminare il più possibile le opportunità di errore. Allo stesso tempo, gli utenti finali continueranno a commettere errori se non sanno quali sono le corrette procedure e quali sono i rischi. Per colmare questa lacuna, è essenziale affrontare l'errore umano da entrambi i lati per creare una difesa completa per la vostra azienda.
Cambiare le abitudini, le routine e le tecnologie per ridurre sistematicamente le opportunità di errore è il modo migliore per iniziare i vostri sforzi di mitigazione. Mentre il modo in cui si ottiene dipenderà dalle attività e dagli ambienti specifici della vostra azienda, ci sono alcune linee guida comuni per mitigare le opportunità di errore umano.
Controllo dei privilegi: assicuratevi che i vostri utenti abbiano accesso solo ai dati e alle funzionalità di cui hanno bisogno per svolgere i loro ruoli. Questo riduce la quantità di informazioni che saranno esposte anche se l'utente commette un errore che potrebbe portare a una violazione.
Password management: dato che gli errori legati alle password sono uno dei principali fattori di rischio, allontanare i vostri utenti dalle password può aiutare a ridurre i rischi. Le applicazioni di gestione delle password permettono ai vostri utenti di creare e memorizzare password forti senza doverle ricordare o rischiare di scriverle su post-it. Dovreste anche imporre l'uso dell'autenticazione a due fattori in tutta la vostra azienda per aggiungere un ulteriore livello di protezione ai vostri account.
Una cultura focalizzata sulla sicurezza è fondamentale per ridurre l'errore umano. In una cultura basata sulla sicurezza, quest'ultima viene presa in considerazione in ogni decisione e azione, e gli utenti finali cercheranno e discuteranno attivamente i problemi di sicurezza quando li incontrano.
Ci sono diverse cose che potete fare per aiutare a costruire una cultura basata sulla sicurezza nella vostra azienda.
Incoraggiate la conversazione. Uno dei modi migliori per assicurarsi che la sicurezza rimanga in primo piano è far sì che la gente ne parli. Iniziate dei dibattiti sulla sicurezza e assicuratevi che siano rilevanti per le attività lavorative quotidiane dei vostri utenti finali, in modo che sia più probabile che si interessino. Questo li aiuterà a rendersi conto di ciò che ognuno di loro può fare personalmente per aiutare a mantenere la sicurezza della vostra azienda.
Rendete facile fare domande. Come parte del processo di apprendimento, i vostri utenti finali probabilmente si troveranno in molte situazioni in cui non sono sicuri sul come comportarsi. In queste situazioni, preferite che chiedano a voi o a qualcun altro con delle conoscenze anziché tirare a indovinare e rischiare di fare la scelta sbagliata da soli. Assicuratevi che qualcuno sia sempre disponibile per rispondere a qualsiasi domanda degli utenti finali in modo amichevole, e incoraggiate gli utenti a fare domande.
Usare poster e promemoria. I poster e i consigli sulla sicurezza servono come piccoli promemoria per aiutare a garantire che gli utenti finali pensino alla sicurezza durante la loro giornata lavorativa. Un poster con informazioni sulle password forti, per esempio, permetterà agli utenti di vedere facilmente quali sono i requisiti per mantenere sicuri gli account aziendali.
Mentre diminuire le opportunità dove gli utenti possono commettere errori è essenziale, bisogna anche affrontare le cause degli errori da un punto di vista umano. Istruire i vostri dipendenti sulle basi della sicurezza e sulle best practice gli permette di prendere decisioni migliori, di mantenere la sicurezza a mente e di chiedere consigli quando non sono sicuri delle conseguenze di una certa azione.
Formate i dipendenti su tutti i principali aspetti della sicurezza: poiché l'errore umano può manifestarsi in moltissimi modi, è essenziale formare i dipendenti su tutti gli aspetti della sicurezza in merito alle attività lavorative quotidiane. L'uso della posta elettronica, di internet, dei social, così come la formazione su phishing e malware sono solo alcuni degli argomenti che la formazione dovrebbe trattare.
Abbiamo iniziato questo articolo con una statistica spaventosa su quante violazioni sono causate da errori umani - ma c'è un altro modo in cui potremmo guardare a questa statistica. Se il 95% delle violazioni sono causate dall'errore umano, fare anche i più piccoli passi per ridurlo può creare enormi guadagni nella sicurezza.
La riduzione dell'errore umano deve provenire da due direzioni: ridurre le opportunità ed educare gli utenti. Meno opportunità ci sono di commettere errori, meno i vostri utenti saranno messi alla prova per la loro conoscenza - e più conoscenza hanno i vostri utenti, meno probabilità hanno di commettere un errore anche quando si ritrovano in un'occasione per farlo.
Qui a usecure percepiamo il rischio umano sotto una luce diversa. Mentre gli utenti finali non istruiti possono essere l'anello più debole nella catena, con gli strumenti giusti e la formazione, potrete trasformarli nella vostra prima linea di difesa contro qualsiasi attacco o violazione, salvaguardando il vostro business a lungo termine.
Per saperne di più sui nostri programmi di formazione sulla sensibilizzazione alla sicurezza, automatizzati e incentrati sull'utente, clicca sul link qui sotto.