usecure Blog

Il ruolo dell'errore umano nelle violazioni di sicurezza informatica

Scritto da Daniela Castelli | 16 agosto 2021 16:33

Non c'è una sola persona al mondo che non faccia mai errori. In effetti, commettere errori è una parte fondamentale dell'esperienza umana - è così che cresciamo e impariamo. Eppure, nella sicurezza informatica, gli errori umani sono troppo spesso trascurati.

Secondo uno studio di IBM, l'errore umano è la causa principale del 95% delle violazioni della sicurezza informatica. In altre parole, se l'errore umano fosse in qualche modo eliminato del tutto, 19 violazioni informatiche su 20 potrebbero non verificarsi affatto!

Quindi, perché l'errore umano è la causa di così tante violazioni e perché le soluzioni esistenti non sono riuscite ad affrontarlo? Diamo un'occhiata a quello che si trova alla base dell'errore umano - e cosa si può fare per migliorare il comportamento informatico dei dipendenti nella vostra azienda.

Cos'è l'errore umano nella sicurezza informatica?

Quando si parla di errore umano nella sicurezza informatica, ciò che si intende con il termine è leggermente diverso dal suo uso in termini più generali.

In un contesto di sicurezza, l'errore umano significa azioni non intenzionali - o mancanza di azione - da parte di dipendenti e utenti che causano, diffondono o permettono che una violazione della sicurezza accada. 

Questo comprendere diverse azioni - dal download di un allegato infetto da malware al mancato utilizzo di una password forte - che è parte della ragione per cui la soluzione al problema è così difficile da trovare.

Grazie ai nostri ambienti di lavoro sempre più avanzati, utilizziamo un maggior numero di strumenti e servizi - e abbiamo nomi utente e password da ricordare per ognuno di essi. Tutto questo si aggiunge, e quando non vengono fornite soluzioni alternative e sicure, i dipendenti iniziano a prendere scorciatoie per semplificarsi la vita.

Come se questo non fosse abbastanza, gli utenti finali devono anche affrontare la minaccia costante dei criminali informatici che influenzano il loro processo decisionale. L'ingegneria sociale ha un ruolo crescente in tutti i tipi di violazioni della sicurezza, e viene utilizzata per sfruttare la capacità dei dipendenti di consegnare dati o credenziali proprio nelle mani dei malintenzionati senza che questi debbano scrivere una sola riga di un programma malware o un exploit software.

Tipi di errore umano

Mentre le opportunità che portano all'errore umano sono quasi infinite, possono essere ampiamente classificate in due tipi diversi: errori basati sulle competenze e errori basati sulle decisioni. La differenza tra questi due si riduce essenzialmente a se la persona avesse o meno le conoscenze necessarie per eseguire l'azione corretta.

Errori basati sulle competenze

L'errore umano basato sulle conoscenze consiste in lapsus e dimenticanze: piccoli errori che si verificano quando si eseguono compiti e attività abituali. In questi scenari, l'utente finale sa come comportarsi, ma non lo fa a causa di un lapsus temporaneo, un errore o una negligenza. Questi possono accadere perché il dipendente è stanco, non presta attenzione, è distratto o ha un breve vuoto di memoria.

Errori basati sulle decisioni

Gli errori basati sulla decisione sono quando un utente prende una decisione sbagliata. Ci possono essere una serie di fattori diversi che contribuiscono a questo: spesso si tratta di utenti che non hanno il livello di conoscenza necessario, non hanno abbastanza informazioni sulla circostanza specifica, o non si rendono nemmeno conto che stanno prendendo una decisione attraverso la loro assenza di azione.

Riduci l'errore umano con una formazione efficace sulla sensibilizzazione alla sicurezza.
Scopri come usecure aiuta le aziende a promuovere un comportamento sicuro con una formazione sulla sensibilizzazione alla sicurezza informatica automatizzata in modo intelligente, che i tuoi dipendenti ameranno.
 

Esempi di errore umano

L'errore umano può compromettere la sicurezza della vostra azienda in un numero quasi infinito di modi diversi, ma alcuni tipi di errore sono più frequenti di tutti gli altri. Diamo un'occhiata ad alcuni dei più comuni.

 

Consegna errata

La consegna errata - l'invio di qualcosa a un destinatario sbagliato - è una minaccia comune alla sicurezza dei dati aziendali. Secondo il report sulle violazioni di Verizon del 2018, la consegna errata è stata la quinta causa più comune di tutte le violazioni della sicurezza informatica. Con molte persone che si affidano a funzioni come l'auto-suggest nei loro client di posta elettronica, è facile per qualsiasi utente inviare per errore informazioni riservate alla persona sbagliata se non sta attento. 

Una delle più gravi violazioni di dati causate da un errore umano è stata quando una clinica NHS ha rivelato gli indirizzi e-mail (e quindi i nomi) di oltre 800 pazienti che avevano visitato le cliniche HIV. Come è successo l'errore? L'impiegato che inviava una notifica via email ai pazienti affetti da HIV ha accidentalmente inserito i loro indirizzi email nel campo "cc", piuttosto che nel campo "ccn", esponendo i loro dettagli agli altri. Questo è un classico esempio di errore basato sulle competenze, in quanto il dipendente conosceva la corretta linea d'azione, ma semplicemente non ha prestato abbastanza attenzione per assicurarsi che stesse facendo ciò che intendeva fare.

Problemi di Password 

Le persone e le password semplicemente non vanno d'accordo. I dati del report 2019 del National Centre for Cyber Security proiettano una brutta immagine: 123456 rimane la password più diffusa nel mondo, e il 45% delle persone riutilizza la password del proprio account email principale su altri servizi. Oltre a non creare password forti e uniche, gli utenti non preparati commettono molti altri errori di password, tra cui scrivere le password sui post-it o condividerle con i colleghi.

Patching

I criminali informatici sono costantemente alla ricerca di nuovi exploit nel software. Quando gli exploit vengono scoperti, gli sviluppatori di software si affrettano per correggere la vulnerabilità e inviare la patch a tutti gli utenti prima che i criminali informatici possano comprometterli. Questo è il motivo per cui è essenziale che gli utenti installino gli aggiornamenti di sicurezza sui loro computer non appena sono disponibili. Purtroppo, il più delle volte gli utenti finali ritardano l'installazione degli aggiornamenti - e con risultati disastrosi.

L'attacco ransomware WannaCry del 2017 ha colpito centinaia di migliaia di computer in tutto il mondo, costando alle aziende e alle organizzazioni milioni di dollari di danni. Eppure l'exploit utilizzato dall'attacco, soprannominato 'EternalBlue', è stato patchato da Microsoft mesi prima che gli attacchi avessero luogo. Se i computer colpiti avessero semplicemente scaricato e installato l'aggiornamento di sicurezza, non sarebbero mai stati compromessi.

 

Errori di sicurezza fisica

Mentre le violazioni dei dati sono più spesso attribuite ad attacchi informatici, le aziende sono anche soggette a minacce fisiche. Le informazioni e le credenziali riservate possono essere rubate o visualizzate da persone non autorizzate se riescono ad accedere a luoghi sicuri.

Gli errori di sicurezza fisica si presentano in molte forme diverse, ma uno dei più comuni è lasciare documenti sensibili incustoditi sulle scrivanie, nelle sale riunioni o anche presso le stampanti. Chiunque riesca ad accedere agli uffici potrà prendere il documento senza che nessuno si accorga che è sparito.

Un altro errore di sicurezza fisica molto comune è quello di consentire il tailgating. Si parla di tailgating quando una persona non autorizzata segue qualcuno attraverso una porta o una barriera sicura - di solito semplicemente camminandole vicino. Molti dipendenti riterranno scortese contestare chiunque li segua, garantendo un'alta percentuale di successo nei tentativi di tailgating.

Quali fattori causano l'errore umano?

Ci sono tanti fattori che contribuiscono all'errore umano, ma la maggior parte di essi si riduce a questi tre: opportunità, ambiente e mancanza di consapevolezza.

Opportunità

L'errore umano può verificarsi solo dove c'è l'opportunità di farlo. Questo può sembrare ovvio, ma il punto è che più opportunità ci sono che qualcosa vada storto, più alta è la possibilità che un errore venga commesso.

Ambiente

Ci sono molti fattori ambientali che possono aumentare la probabilità che si verifichino errori.

L'ambiente fisico di un posto di lavoro può contribuire significativamente al numero di errori che si verificano. Mentre un qualsiasi lavoratore di un cantiere sarà in grado di dirvi che gli errori sono più comuni nei giorni di caldo bollente o di freddo glaciale - queste considerazioni si applicano anche agli uffici. Mentre avere la giusta temperatura nell'ufficio è una considerazione importante, la privacy, il livello di rumore e la postura sono tutte cose che possono contribuire a un ambiente più incline all'errore.

Anche la cultura gioca un ruolo importante nelle considerazioni ambientali. Spesso gli utenti finali sanno come comportarsi in modo adeguato, ma non lo fanno perché trovano una scorcatoia o semplicemente non pensano che sia importante. Avere una cultura in cui la sicurezza è sempre messa in secondo piano porterà a far sempre più errori.

La mancanza di consapevolezza

Gran parte degli errori umani deriva dal fatto che gli utenti finali semplicemente non sanno quale sia la cosa giusta da fare. Per esempio, gli utenti che non sono consapevoli del rischio di phishing sono molto più propensi a cadere in queste trappole, e qualcuno che non conosce i rischi delle reti Wi-Fi pubbliche avrà rapidamente le sue credenziali intercettate. Una mancanza di conoscenza non è quasi mai colpa dell'utente - ma dovrebbe essere affrontata da parte delle aziende al fine di garantire che i loro utenti finali abbiano le conoscenze e le competenze necessarie per mantenere se stessi e l'azienda al sicuro.

Come prevenire l'errore umano nel lavoro?

L'errore umano può verificarsi solo dove c'è l'opportunità di farlo, e come tale è essenziale eliminare il più possibile le opportunità di errore. Allo stesso tempo, gli utenti finali continueranno a commettere errori se non sanno quali sono le corrette procedure e quali sono i rischi. Per colmare questa lacuna, è essenziale affrontare l'errore umano da entrambi i lati per creare una difesa completa per la vostra azienda.

Riduci le opportunità

Cambiare le abitudini, le routine e le tecnologie per ridurre sistematicamente le opportunità di errore è il modo migliore per iniziare i vostri sforzi di mitigazione. Mentre il modo in cui si ottiene dipenderà dalle attività e dagli ambienti specifici della vostra azienda, ci sono alcune linee guida comuni per mitigare le opportunità di errore umano.

Controllo dei privilegi: assicuratevi che i vostri utenti abbiano accesso solo ai dati e alle funzionalità di cui hanno bisogno per svolgere i loro ruoli. Questo riduce la quantità di informazioni che saranno esposte anche se l'utente commette un errore che potrebbe portare a una violazione. 

Password management: dato che gli errori legati alle password sono uno dei principali fattori di rischio, allontanare i vostri utenti dalle password può aiutare a ridurre i rischi. Le applicazioni di gestione delle password permettono ai vostri utenti di creare e memorizzare password forti senza doverle ricordare o rischiare di scriverle su post-it. Dovreste anche imporre l'uso dell'autenticazione a due fattori in tutta la vostra azienda per aggiungere un ulteriore livello di protezione ai vostri account.

 

Cambiate la vostra cultura

Una cultura focalizzata sulla sicurezza è fondamentale per ridurre l'errore umano. In una cultura basata sulla sicurezza, quest'ultima viene presa in considerazione in ogni decisione e azione, e gli utenti finali cercheranno e discuteranno attivamente i problemi di sicurezza quando li incontrano.

Ci sono diverse cose che potete fare per aiutare a costruire una cultura basata sulla sicurezza nella vostra azienda.

Incoraggiate la conversazione. Uno dei modi migliori per assicurarsi che la sicurezza rimanga in primo piano è far sì che la gente ne parli. Iniziate dei dibattiti sulla sicurezza e assicuratevi che siano rilevanti per le attività lavorative quotidiane dei vostri utenti finali, in modo che sia più probabile che si interessino. Questo li aiuterà a rendersi conto di ciò che ognuno di loro può fare personalmente per aiutare a mantenere la sicurezza della vostra azienda.

Rendete facile fare domande. Come parte del processo di apprendimento, i vostri utenti finali probabilmente si troveranno in molte situazioni in cui non sono sicuri sul come comportarsi. In queste situazioni, preferite che chiedano a voi o a qualcun altro con delle conoscenze anziché tirare a indovinare e rischiare di fare la scelta sbagliata da soli. Assicuratevi che qualcuno sia sempre disponibile per rispondere a qualsiasi domanda degli utenti finali in modo amichevole, e incoraggiate gli utenti a fare domande.

Usare poster e promemoria. I poster e i consigli sulla sicurezza servono come piccoli promemoria per aiutare a garantire che gli utenti finali pensino alla sicurezza durante la loro giornata lavorativa. Un poster con informazioni sulle password forti, per esempio, permetterà agli utenti di vedere facilmente quali sono i requisiti per mantenere sicuri gli account aziendali.

Affrontate la mancanza di conoscenza con la formazione

Mentre diminuire le opportunità dove gli utenti possono commettere errori è essenziale, bisogna anche affrontare le cause degli errori da un punto di vista umano. Istruire i vostri dipendenti sulle basi della sicurezza e sulle best practice gli permette di prendere decisioni migliori, di mantenere la sicurezza a mente e di chiedere consigli quando non sono sicuri delle conseguenze di una certa azione.

Formate i dipendenti su tutti i principali aspetti della sicurezza: poiché l'errore umano può manifestarsi in moltissimi modi, è essenziale formare i dipendenti su tutti gli aspetti della sicurezza in merito alle attività lavorative quotidiane. L'uso della posta elettronica, di internet, dei social, così come la formazione su phishing e malware sono solo alcuni degli argomenti che la formazione dovrebbe trattare.

La formazione deve essere coinvolgente e rilevante: i vostri dipendenti hanno un arco di concentrazione limitato e dovete assicurarvi che la loro formazione non li faccia solo addormentare. I corsi di formazione interattivi che usano immagini e contenuti video sono molto più efficaci delle sessioni di PowerPoint di un'ora. La formazione non dovrebbe nemmeno essere distribuita in sessioni annuali che i vostri dipendenti dimenticheranno una settimana dopo, ma ripetersi regolarmente durante la loro vita lavorativa in un formato breve e facilmente comprensibile.

Il vostro personale non deve essere per forza l'anello più debole

Abbiamo iniziato questo articolo con una statistica spaventosa su quante violazioni sono causate da errori umani - ma c'è un altro modo in cui potremmo guardare a questa statistica. Se il 95% delle violazioni sono causate dall'errore umano, fare anche i più piccoli passi per ridurlo può creare enormi guadagni nella sicurezza.

La riduzione dell'errore umano deve provenire da due direzioni: ridurre le opportunità ed educare gli utenti. Meno opportunità ci sono di commettere errori, meno i vostri utenti saranno messi alla prova per la loro conoscenza - e più conoscenza hanno i vostri utenti, meno probabilità hanno di commettere un errore anche quando si ritrovano in un'occasione per farlo. 

Qui a usecure percepiamo il rischio umano sotto una luce diversa. Mentre gli utenti finali non istruiti possono essere l'anello più debole nella catena, con gli strumenti giusti e la formazione, potrete trasformarli nella vostra prima linea di difesa contro qualsiasi attacco o violazione, salvaguardando il vostro business a lungo termine. 

Per saperne di più sui nostri programmi di formazione sulla sensibilizzazione alla sicurezza, automatizzati e incentrati sull'utente, clicca sul link qui sotto.

Riduci l'errore umano con una formazione efficace sulla sensibilizzazione alla sicurezza.
Scopri come usecure aiuta le aziende a promuovere un comportamento sicuro con una formazione sulla sensibilizzazione alla sicurezza informatica automatizzata in modo intelligente, che i tuoi dipendenti ameranno.