Via XXV Aprile 138 - 25038 ROVATO

4. Il fattore umano, importanza e gestione

why-your-port-based-firewall-is-putting-your-network-at-risk-next-gen-firewall-for-enterprise-wlan

Giorgia Dragoni
Ricercatrice Senior Osservatorio Information Security & Privacy, Politecnico di Milano

Il fattore umano rappresenta una variabile chiave nella progettazione di un sistema di information security. Le tecniche di Social Engineering sono sempre più diffuse e puntano a colpire le persone con modalità sempre più sofisticate. I programmi di formazione e creazione di awareness degli utenti aziendali diventano quindi un aspetto fondamentale

[rd_line margin_top=”10″ margin_bottom=”10″]

L’importanza del fattore umano e della sua gestione
Quando si parla di information security non si può tralasciare il cosiddetto fattore X, l’elemento di incertezza legato al comportamento umano.
Spesso le aziende investono su sistemi di protezione sofisticati in grado di proteggere l’organizzazione da attacchi esterni, ma non valutano il rischio legato al comportamento dei propri utenti, non considerando che l’anello debole della catena potrebbe essere proprio l’uomo. In molti attacchi informatici, infatti, i cybercriminali non utilizzano sistemi tecnologici particolarmente sofisticati, ma sfruttano aspetti del comportamento umano, come la distrazione o la mancanza di consapevolezza, per fare breccia nei sistemi aziendali.
Nell’era in cui il fenomeno del BYOD (Bring Your Own Device) è sempre più diffuso all’interno delle aziende, che permettono ai propri dipendenti di utilizzare i propri device personali all’interno del contesto lavorativo, si sono infatti moltiplicati i casi in cui il furto o lo smarrimento di un dispositivo (dal portatile, al telefono o tablet, alla chiavetta USB) provocano la conseguente esposizione di dati riservati o di informazioni che mettono a rischio la sicurezza dei sistemi aziendali.
Un ulteriore diffusissimo fenomeno riguarda gli attacchi informatici che cercano di trarre in inganno gli utenti aziendali: mail che contengono link malevoli, che rimandano a pagine web donate simili in tutto e per tutto ai siti originali, che spingono l’utente ad inserire le proprie credenziali o che inducono il destinatario a scaricare sul proprio dispositivo un allegato infetto sono ormai all’ordine del giorno.
Si calcola che circa il 95% degli attacchi informatici siano causati dal fattore umano. Per citare alcuni casi eclatanti, il celeberrimo attacco ai danni di Sony Pictures Entertainment del 2014, che ha portato alla perdita di 100 Terabyte di dati progressivamente diffusi online e messo fuori uso i sistemi aziendali per settimane, fu originato da una mail di phishing, che chiedeva ai destinatari di inserire in un sito falso le credenziali dei loro ID Apple per verifica. Stesso scenario nel caso dell’attacco hacker al Pentagono nell’agosto del 2015 in cui, a seguito di una mail di spear phishing, furono trafugati i dati di oltre 4.000 persone tra militari e civili.
Anche il più recente caso “WannaCry”, avvenuto a maggio 2017 e declinatosi in una campagna di attacco massiva che ha infettato i sistemi di centinaia di migliaia di vittime in oltre lso Paesi, ha avuto all’origine il fattore umano. L’attacco, che ha sfruttato. una vulnerabilità di Windows per generare una diffusione di ransomware, ha infatti utilizzato come strumento di ingresso nel perimetro delle organizzazioni alcune email di phishing.

Le minacce: tecniche di Social Engineering
Le motivazioni alla base di un attacco informatico possono essere molteplici: un cybercriminale può essere spinto da motivi economici e quindi attaccare per cercare di estorcere denaro, agire con finalità di spionaggio, trafugando informazioni legate alla proprietà intellettuale o industriale (brevetti, marchi), piuttosto che essere guidato da cause ideologiche o politiche (hacktivism).
Qualsiasi sia la motivazione alla base, ogni organizzazione può essere target di un attacco informatico. Spesso gli utenti aziendali non percepiscono il valore delle informazioni a cui hanno accesso quotidianamente per esigenze lavorative.
In Italia si stima che il costo legato ad un data breach, ovvero ad una violazione di sicurezza che comporta in modo illecito o accidentale la distruzione, la perdita, la modifica oppure la rivelazione non autorizzata di informazioni sensibili, sia pari a 112€ per ogni singolo record perso o rubato, per un costo totale medio per azienda stimato a circa 2,35 milioni di Euro, che si alza a 4 milioni di Euro se si considera la media per organizzazione a livello globale.
Le conseguenze di un data breach, infatti, non si limitano ai costi delle azioni da effettuare in risposta all’attacco, ma comprendono anche i costi legati ad una possibile perdita di produttività per il periodo di tempo necessario al ripristino delle attività e, non da meno, i danni di immagine che possono avere una ricaduta importante sulla reputazione aziendale.
Gli attacchi che sfruttano la vulnerabilità del fattore umano sono spesso progettati secondo logiche di Social Engineering. Per Social Engineering si intende una tecnica basata sullo studio del comportamento individuale di una persona, con l’obiettivo di carpire informazioni utili per l’attaccante. Questo approccio fa leva su elementi psicologici ed emozionali, puntando a generare empatia nella vittima dell’attacco. Il processo ha soprattutto lo scopo di sfruttare le debolezze insite nella natura umana per trarre in inganno la vittima ed ottenere informazioni e strumenti necessari a perpetrare azioni fraudolente. Un attacco di ingegneria sociale combina generalmente manipolazione e persuasione con elementi di tipo tecnologico.
La fase di attacco vera e propria è preceduta da una lunga sessione di studio della personalità, dei contatti sociali e dei modi di relazionarsi con gli altri. Un processo di Social Engineering parte infatti da un’accurata raccolta di informazioni sull’azienda target, reperite da tutte le fonti a disposizione (sito web aziendale, social network, dati societari, documenti disponibili in rete, ecc.) con l’obiettivo di conoscere a fondo l’azienda identificata come vittima e i dipendenti che vi operano. Una volta che il Social Engineer ha ottenuto le informazioni di cui aveva bisogno per architettare l’attacco, ecco che si passa alla fase operativa.
Gli strumenti di ingegneria sociale maggiormente utilizzati sono email, telefono, siti web, social network. I metodi per mettere a segno l’attacco posso essere molteplici: dal phishing al pretexting, dal baiting allo sfruttamento della “spazzatura informatica”. Di seguito vengono raccontate alcune tecniche diffuse che, seppure non in modo esaustivo, danno l’idea di come i cybercriminali utilizzino le metodologie più disparate per assestare i propri attacchi:

  • Phishing: un esempio molto comune di attacco basato sul comportamento umano è il phishing, un tentativo di truffa, realizzato sfruttando la posta elettronica, che ha per scopo il furto di dati personali degli utenti ignari i quali, spinti dalle curiosità o tratti in inganno dal mittente della mail, “abboccano”; cuccando sul link malevolo, inserendo le proprie credenziali oppure scaricando un allegato infetto.
    Generalmente i mittenti delle mail di phishing fingono di essere organizzazioni conosciute, come per esempio banche o servizi web che l’utente potrebbe effettivamente utilizzare, che contattano la vittima segnalando di aver riscontrato un problema oppure richiedendo la verifica e l’inserimento di alcune informazioni personali. Spesso l’attacco può essere studiato e targettizzato (spear phishing), provenire da una mail o da un nominativo familiare al destinatario e contenere link che rimandano a pagine web simili in tutto e per tutto ai siti originali. Solitamente le mail di phishing sono progettate per creare un senso di urgenza e, sebbene contengano elementi sospetti ed insoliti (es. errori di battitura, dominio mail differente da quello utilizzato solitamente dalla stessa organizzazione, ecc.) possono essere molto efficaci. Una volta che la vittima cade nella trappola dell’attaccante: cliccando sul link infetto, inserendo le proprie informazioni personali o salvando l’allegato sul proprio dispositivo, il cybercriminale ottiene accesso ai dati contenuti sul dispositivo per poi penetrare nell’intera rete e prenderne progressivamente il controllo.

Il phishing può avvenire anche tramite strumenti diversi dalla posta elettronica: sono infatti diffusi anche tentativi di frode via SMS (Smishing) o veicolati tramite piattaforme di instant messaging, come WhatsApp o Telegram.

  • Pretexting: nell’ambito dell’ingegneria sociale è di uso frequente anche la tecnica del pretexting, in cui l’attaccante contatta telefonicamente la vittima designata simulando un contesto particolare. Il mittente della telefonata si finge per esempio un dipendente bancario o di un ufficio pubblico e cerca di instaurare un rapporto di fiducia con l’utente, inducendolo a divulgare le informazioni di cui ha bisogno.
  • Baiting: l’adescamento è una metodologia di Social Engineering che fa leva sulla curiosità umana. L’hacker utilizza un’esca, lasciando incustodito e ben in vista un supporto di memorizzazione, come una chiavetta USB, un cd, un hard disk, ecc., contenente al suo interno del codice maligno. Lo scopo dell’attacco è quello di indurre la vittima, spinta dalla curiosità, ad inserire il dispositivo nel proprio computer, accedendo in questo modo all’intera rete aziendale.
  • Trashing: un’ulteriore pratica utilizzata per ottenere l’accesso a informazioni riservate è il trashing, metodo tramite il quale i criminali setacciano la spazzatura alla ricerca di bollette, estratti conto ed altri documenti contenenti dati sensibili. Obiettivo degli hacker possono essere anche i sistemi che vengono dismessi, come ad esempio smartphone, laptop o dispositivi USB guasti, che, se non opportunamente resettati, possono essere fonte di preziose informazioni.
  • Altre tecniche: il metodo del Quid pro quo prevede che il social engineer offra un servizio o un aiuto in cambio di un benefit. Può avvenire per esempio quando l’attaccante, fingendosi un tecnico IT, contatta telefonicamente alcuni dipendenti per offrire loro supporto, in cambio della richiesta di alcune informazioni (es password) oppure chiedendo loro di disattivare momentaneamente l’antivirus e installare un programma contenente malware. Un cybercriminale che punta ad entrare fisicamente in un’area a cui l’accesso è ristretto può infine utilizzare la tecnica del tailgating, semplicemente seguendo un dipendente autorizzato o chiedendo una cortesia fingendo di aver dimenticato il badge di accesso all’area.

In aggiunta alle numerose minacce informatiche provenienti dal mondo esterno, una perdita di dati può essere causata anche da un evento accidentale, come per esempio il comportamento inconsapevole di un utente, la perdita di un dispositivo o la cancellazione involontaria.

I programmi di creazione di awareness
Per mitigare i rischi legati alla sicurezza informatica, le aziende non devono soltanto dotarsi di sistemi tecnologici, ma anche introdurre iniziative volte a educare e rendere consapevoli i propri dipendenti rispetto alle possibili minacce. Benché non sia possibile annullare completamente il rischio informatico, un adeguato programma di sensibilizzazione degli utenti, congiuntamente a policy e soluzioni di sicurezza, può aiutare a minimizzarlo.
Generalmente i programmi di formazione messi in atto dalle aziende si pongono un triplice obiettivo:

  • Ridurre il rischio legato a possibili attacchi informatici, facendo sì che i dipendenti siano maggiormente consapevoli delle possibili minacce e delle tecniche per evitarle;
  • Aumentare l’empowerment delle risorse, rendendo ogni singolo utente responsabile della protezione delle informazioni aziendali;
  • Rinforzare policy e procedure comportamentali definite dall’organizzazione (policy sull’uso dei computer o di Internet, policy sugli accessi, ecc.), informando ed educando i dipendenti.al rispetto delle stesse.

Gli aspetti da trattare vanno dalle linee guida di base, quali per esempio la protezione dei dispositivi mobili con cui l’utente ha a che fare sia per motivi lavorativi sia personali (computer, smartphone, tablet), la robustezza delle password e delle credenziali d’accesso, la protezione dei propri dati personali, l’utilizzo consapevole dei social network e il riconoscimento dei tentativi di attacco informatico (quali per esempio spam, tecniche di social engineering, ecc.), l’aggiornamento sulle normative vigenti in termini di protezione dei dati (es. GDPR), fino a concetti più elevati, come il governo delle politiche di sicurezza, le soluzioni di controllo, le migliori pratiche di prevenzione e di risposta ad eventuali incidenti.
Lo scopo è quello di sviluppare negli utenti le competenze essenziali, le tecniche e i metodi fondamentali per prevenire al massimo i rischi legati alla sicurezza e sapere come reagire e comportarsi di fronte ad eventuali criticità, con il risultato ad alto livello di provocare un cambiamento radicale nella cultura e nell’approccio dei dipendenti dell’azienda rispetto ai temi della sicurezza e della privacy.
Per essere efficace, un programma di sensibilizzazione deve includere al suo interno elementi di training formale e informale. Per training formale si intende un approccio strutturato e controllato, basato su standard ben definiti e generalmente seguito da un momento di valutazione. Le iniziative che possono essere parte di un programma di training formale sono per esempio lezioni in aula o corsi online, erogati tramite slideshow, video, quiz interattivi, ecc.
Il training informale si basa invece su un approccio meno strutturato e più “amichevole”. A differenza del training formale prevede generalmente iniziative non obbligatorie, alle quali i dipendenti aziendali possono scegliere se aderire o meno. Può comprendere attività diverse, come per esempio pranzi, eventi, campagne mail o video interattive, distribuzione di materiale come poster o volantini, ecc.
Solitamente le aziende utilizzano il training informale come rinforzo, per tenere alta l’attenzione su concetti già trasmessi agli utenti mediante attività di tipo formale. In molti casi le iniziative si basano su una logica di gaming o puntano a ottenere un forte impatto emozionale sugli utenti, in modo da risultare maggiormente efficaci. Le azioni mirano ad agire sul comportamento dei dipendenti per aumentarne il livello di awareness sia in ottica preventiva (es. utilizzo consapevole dei device mobili, gestione delle password, buone pratiche per evitare un incidente di sicurezza) sia in logica di risposta alle minacce (es. riconoscimento di un attacco, informatico).
Per ottenere i risultati desiderati, la formazione non dev’essere erogata come un’iniziativa spot, una tantum, ma al contrario prevedere attività periodiche e continuative in logica pluriennale. Vista la rapidità di evoluzione delle tecnologie e delle minacce, infatti, è fondamentale che la popolazione aziendale sia sempre il più possibile aggiornata e consapevole rispetto a dò che la circonda.
Le iniziative di sensibilizzazione devono inoltre essere customizzate rispetto al target di riferimento: è ugualmente importante educare i dipendenti a tutti i livelli dell’organizzazione, qualsiasi sia la loro funzione di appartenenza, ma le attività formative devono essere in linea con le caratteristiche e con le esigenze degli utenti. Dovrebbero per esempio essere previsti programmi di formazione specifici per i nuovi assunti, piuttosto che sessioni più specialistiche per le funzioni aziendali più tecniche, o ancora iniziative dedicate al Top Management o attività indirizzate ai dipendenti che lavorano costantemente a contatto con il pubblico.
La simulazione di attacchi informatici rappresenta un ulteriore strumento di formazione, basato sull’esperienza diretta, e può essere utile da un lato a misurare il livello di consapevolezza dei dipendenti, mettendone alla prova la resistenza agli attacchi informatici, dall’alto a testare l’efficacia delle iniziative già portate avanti.
Un’azienda che vuole utilizzare una finta mail di phishing per effettuare una simulazione deve innanzitutto definire il target di utenti di riferimento all’interno dell’organizzazione che subiranno il finto attacco informatico, selezionare la tipologia di mail da inviare (generica o customizzata) e progettare accuratamente il messaggio in modo che sia credibile. Per far sì che la simulazione sia efficace, la mail ricevuta dagli utenti potrebbe per esempio contenere un link che rimandi ad una pagina di warning, in cui inserire delle raccomandazioni sulle buone prassi comportamentali da rispettare in caso di un attacco simile.
Un altro elemento utile per la creazione di awareness può essere l’istituzione in azienda di un “contact point” per la segnalazione di eventi anomali, che rappresenti un punto di riferimento per gli utenti per la verifica di email sospette o per fornire supporto e chiarimenti rispetto alle buone prassi comportamentali. Tale figura può essere individuata ad esempio nel CISO, o, se presente, nel CERT (Computer Emergency Response Team) dell’organizzazione.
A seguito di un’iniziativa di creazione di awareness portata avanti in azienda, qualsiasi sia la tipologia di attività implementata, è opportuno definire un processo che permetta di tracciare i progressi ottenuti e misurare l’impatto del programma di formazione, mediante la definizione di metriche e indicatori di riferimento.

La situazione delle aziende italiane: i dati della Ricerca
Secondo quanto emerge dalla Ricerca 2016 dell’Osservatorio Information Security & Privacy, il 95% delle grandi organizzazioni intervistate dichiara di aver messo in campo almeno un’iniziativa finalizzata a sensibilizzare gli utenti aziendali.
Le iniziative più diffuse riguardano comunicazioni periodiche inviate ai dipendenti tramite mail (78%) e corsi di formazione (66%), che avvengono attraverso sessioni d’aula o e-learning. Nel 28% dei casi la formazione viene inoltre supportata dalla distribuzione spot di materiale informativo (voucher, booklet, cartellonistica).
Il 28% delle aziende oggetto della Ricerca, inoltre, dichiara di effettuare attività di vulnerability assessment sui dipendenti aziendali, per esempio tramite l’invio di finte mail di phishing o simulazioni di attacchi informatici. Sebbene siano poche le organizzazioni che non si stiano ponendo il problema della gestione del fattore umano, solo per il 28% delle imprese si tratta però di veri e propri progetti strutturali di sensibilizzazione, che vengono messi in atto tramite l’utilizzo di diversi strumenti e coprono un orizzonte pluriennale.

[rd_line margin_top=”10″ margin_bottom=”10″]

LE METODOLOGIE DI LAVORO INTERATTIVO DELL’OSSERVATORIO INFORMATION SECURITY & PRIVACY
L’Osservatorio Information Security & Privacy, nell’ambito della Ricerca, organizza annualmente una serie di incontri a porte chiuse finalizzati ad attivare un tavolo di confronto permanente tra i CISO delle grandi aziende operanti in Italia. Durante gli appuntamenti vengono spesso utilizzate metodologie di lavoro interattivo, sviluppate ad hoc per l’occasione: i partecipanti vengono suddivisi in gruppi, all’interno dei quali viene richiesto ad ognuno di effettuare una mappatura della realtà della propria azienda su un framework di gioco e una successiva discussione all’interno del team di lavoro. Tali metodologie possono essere adattate ed estese all’applicazione in singole realtà aziendali.
In particolare è stata sviluppata una metodologia finalizzata ad approfondire il fenomeno del fattore umano e la sua gestione, con l’obiettivo di analizzare le iniziative di sensibilizzazione e creazione di awareness messe in campo dalle aziende al fine di mitigare il rischio connesso al fattore umano e comprendere la frequenza e la pericolosità degli attacchi che sfruttano il comportamento degli utenti aziendali.
La metodologia prevede i seguenti step, finalizzati a rispondere alle relative domande:

  • Mappatura delle iniziative di sensibilizzazione: quali sono le iniziative di sensibilizzazione messe in campo o che verranno messe in campo in futuro, qual è il loro impatto (misurato o previsto) e a chi sono indirizzate?
  • Classificazione delle minacce: qual è il grado di pericolosità e la frequenza di accadimento dei tentativi di attacco subiti?
  • Descrizione delle tecnologie: Quali sono le soluzioni tecnologiche implementate per mitigare la vulnerabilità del fattore umano?

Ai partecipanti viene consegnato il tavolo da gioco e un set di stickers da posizionare nel framework coerentemente alla propria esperienza aziendale.

[rd_line margin_top=”10″ margin_bottom=”10″]

CASO 1 – BAYER
Bayer è un’azienda globale, con sede a Leverkusen (Germania), che ha competenze chiave nei settori delle Life Sciences, Salute e Agricoltura.
In Italia conta 3 siti produttivi con impianti fra i più avanzati al mondo, circa 2100 collaboratori e un fatturato 2016 di 1.046 minor ni di Euro.
Bayer in Italia attualmente è costituita da società che consentono al Gruppo di essere presente e operare in diversi ambiti strategici e di primaria importanza: da Pharmaceuticals a Consumer Health, a Crop Science ed Animai Health.
All’interno dell’Information Technology è presente la funzione Information Security, guidata dall’Information Security Officer. Le li-nee guida su cui si focalizza la funzione IT Security vengono definite dalla casa madre, che le sviluppa basandosi sulle esigenze di business, trend di mercato e potenziali rischi.
Tra le principali progettualità condotte recentemente dall’Information Security rientrano le iniziative di Information Classification e Awareness Campaign.
Il progetto di Information Classification è stato portato avanti con l’obiettivo di identificare le informazioni sensibili trattate in ognuna delle aree di business aziendali, analizzarne il rischio potenziale e pianificare l’implementazione di adeguate misure di sicurezza, al fine di garantire una gestione sostenibile delle informazioni stesse.
L’attività, messa in opera da un team di progetto di 15 diversi gruppi con esperti IT e di business, ha portato all’identificazione di diversi cluster di informazioni suddivisi in 3 tipologie, ognuno con caratteristiche ben definite, e alla definizione di una roadmap di misure di protezione comportamentali, organizzative e tecniche. All’interno di ogni funzione aziendale coinvolta è stata individuata una figura a cui è stata assegnata la responsabilità di garantire la sostenibilità del processo di Information Classification.
Rispetto al piano Awareness Campaign, nel corso degli anni sono state svolte diverse iniziative con l’obiettivo di sensibilizzare gli utenti e creare consapevolezza sul tema della sicurezza e della protezione dei dati a tutti i livelli aziendali.
Nel 2015 è stato realizzato l’Information Security Awareness Workshop, preceduto dalla distribuzione di flyer informativi sui “Sette principi chiave della sicurezza”, raccomandazioni che invitano i dipendenti ad adottare comportamenti responsabili nelle proprie azioni quotidiane, dalla gestione prudente delle informazioni e dei dispositivi aziendali alla protezione della propria identità digitale. L’attività, svolta con l’obiettivo di trasmettere i principi generali sulla sicurezza, ha seguito un approccio top-down: la formazione è stata inizialmente somministrata ai manager, dapprima ingaggiati come partecipanti ai corsi, che hanno poi assunto il ruolo di moderatori all’interno dei workshop con il proprio team di riferimento, e così via per i progressivi livelli gerarchici. Questo approccio ha permesso di sottolineare come ogni team e ogni singola persona all’interno di essi abbia un ruolo fondamentale nel garantire la sicurezza delle informazioni.
È stata successivamente promossa una Campagna AntiPhishing, che ha previsto, previo annuncio, la simulazione di un attacco rivolto agli utenti. Il finto attacco è avvenuto tramite una mail customizzata, con richiamo al flyer informativo divulgato già in fase di annuncio della campagna, contenente una checklist di elementi utili per individuare e-mail di phishing e la procedura corretta da seguire per gestire comunicazioni sospette. A questo proposito è stato implementato il servizio “CheckMail”, che permette ai dipendenti di segnalare in automatico e-mail di dubbia provenienza perché possano essere esaminate e verificate.
Un’ulteriore iniziativa facente parte del piano Awareness Campaign è il Cyber Security Day, una sessione a partecipazione libera organizzata per la prima volta a marzo 2017. Durante l’evento sono stati toccati argomenti relativi a Phishing e Social Engineering, ma anche tematiche di attualità che hanno messo in relazione sicurezza aziendale e protezione dei dati personali nella vita quotidiana, quali per esempio cyberbullismo, legalità digitale, utilizzo consapevole di Internet e dei socia) network. l’ vari interventi che si sono susseguiti hanno visto la partecipazione di esperti esterni all’organizzazione e di figure aziendali di riferimento sul tema della sicurezza, sia a livello di Corporate Security sia di Information Security, che hanno raccontato alcuni casi concreti di tentativi di attacco informatico subiti dall’organizzazione.
Le attività di sensibilizzazione vengono portate avanti con logica continuativa e pluriennale, poiché sono considerate da Bayer un fattore fondamentale per assicurare la corretta protezione dei dati: oltre all’adozione di difese tecnologiche, alla pubblicazione di regolamenti, alla definizione di processi, l’azienda ritiene infatti che non sia possibile raggiungere un adeguato livello di sicurezza senza considerare anche l’elemento umano. Lo scopo delle iniziative è quello di educare i dipendenti, affinché ogni singolo collaboratore abbia un comportamento sicuro sia in azienda sia nella vita quotidiana, dando ad ognuno la responsabilità di salvaguardare il successo dell’organizzazione.

[rd_line margin_top=”10″ margin_bottom=”10″]

CASO 2 – CARREFOUR ITALIA
Carrefour è una delle maggiori catene della grande distribuzione a livello mondiale. Fondata nel 1958, è presente in Europa, America, Asia e Africa, per un totale di circa 30 Paesi. La casa madre si trova in Francia, nei pressi di Parigi. Il Gruppo è presente in Italia con 1.073 punti vendita dislocati in 18 regioni e oltre 20.000 collaboratori. Nel 2015 Carrefour Italia ha ottenuto un fatturato di circa 5 miliardi di Euro.
In tema di cybersecurity, le strutture dei singoli Paesi sono misurate rispetto a una serie di indicatori, stabiliti dalla casa madre principalmente in base allo standard ISO/IEC 27001, che hanno la funzione di valutare il livello di performance e il raggiungimento degli obiettivi anno per anno. Tali indicatori costituiscono intrinsecamente una linea guida, in quanto indirizzano le attività delle varie unità operative nazionali, sebbene non sia formalmente imposto il loro rispetto.
Anche l’Italia ha nominato formalmente un Chief Information Security Office. (CISO) al quale sono state attribuite le responsabilità di indirizzo e definizione dei temi di cybersecurity, di analisi e valutazione del cyber risk, di definizione dei piani di awareness e, non meno importante, la definizione del corpo documentale della sicurezza. Il CISO è collocato nella Direzione Sistemi Inforrlitivi, che riporta alla Divisione Amministrazione, Finanza e Controllo. Gli aspetti di sicurezza fisica sono invece gestiti da una direzione diversa a riporto del CEO (Direzione Risk & Compliance).
Carrefour Italia è attiva sul tema del fattore umano, poiché ritiene che sia necessario non solo dotarsi di sistemi tecnologici avanzati, ma anche introdurre iniziative volte ad educare, sensibilizzare e rendere consapevoli i propri dipendenti rispetto ai temi di cybersecurity, con un focus particolare sulle possibili minacce informatiche. Per questo motivo l’azienda ha intrapreso, a partire dal 2010, un programma pluriennale di formazione in materia di cybersecurity, optando per un modello “a chiocciola”, concentrandosi inizialmente sulla Direzione Sistemi Informativi per poi estendere progressivamente le attività formative, opportunamente adattate, alle altre funzioni e alle altre sedi.
Il training, svolto sia in aula che online e supportato da comunicazioni periodiche effettuate via e-mail o sfruttando il periodico interno, viene annualmente rilanciato ed arricchito.
Il programma rivolto alla Direzione Sistemi Informativi prende il nome di “Security Week”: le varie attività formative vengono concentrare nell’arco di una settimana, interamente dedicata al tema della protezione delle informazioni.
La Security Week viene organizzata come un convegno a sessioni parallele in cui ogni persona si può costruire il proprio percorso formativo. La settimana inizia con una sessione introduttiva di inquadramento del problema e termina con una seduta finale in cui si raccolgono le impressioni ed i commenti di tutti i partecipanti. Quest’anno è stato aggiunto un ulteriore elemento che riguarda la valutazione dell’efficacia della formazione: a tutti i partecipanti viene proposto un questionario online a risposta chiusa per la valutazione delle competenze prima della formazione; lo stesso questionario viene quindi riproposto dopo la fine della Security Week L’incrementò del numero di risposte esatte dirà in modo concreto ed immediato quanto l’attività formativa sia stata utile.
A completamento e supporto della formazione precedente, Carrefour Italia effettua periodicamente dei test sui dipendenti, con Io scopo sia di valutare la capacità di reazione a possibili minacce, sia di creare un’ulteriore forma di apprendimento. Per garantire la credibilità e l’efficacia di tali iniziative vengono utilizzate tecniche di social engineering e attività di assessment di volta in volta diversificate: sono state ad esempio effettuate simulazioni di attacchi di phishing, tramite l’invio ai dipendenti di e-mail contenenti link sospetti, oppure sono stati realizzati finti attacchi con la tecnica del baiting, avvenuti disseminando alcune chiavette USB incustodite in zone frequentate dagli utenti dell’organizzazione.
Le attività di sensibilizzazione vengono proposte anche al Top Management, tramite l’elaborazione di percorsi formativi specifici per Direzione. Carrefour Italia è infatti consapevole che la necessità di creare attenzione rispetto ai temi della cybersecurity deve coinvolgere tutti i livelli dell’organizzazione e che l’esempio del management aziendale è di fondamentale importanza per creare comportamenti virtuosi in azienda.

[rd_line margin_top=”10″ margin_bottom=”10″]

CASO 3 – EDISON
Edison S.p.A. è un’azienda italiana attiva nei settori dell’approvvigionamento, produzione e vendita di energia elettrica, gas e olio grezzo con oltre un milione di clienti. È la più antica società europea nel settore dell’energia e oggi opera, attraverso i suoi oltre 3.000 dipendenti, in più di 10 Paesi nel mondo, con una potenza installata di 6,5 GW. Il Gruppo è composto da 74 aziende, 14 del-le quali sono localizzate fuori dall’Italia: le società estere sono prevalentemente petrolifere e dedite alla produzione di gas naturale. L’azienda ha ottenuto nel 2016 un fatturato di oltre 11 miliardi di Euro.
La funzione di Information Security dell’azienda ha portato avanti negli ultimi anni diversi progetti sul tema del “fattore umano”, volti a sensibilizzare il personale sui rischi e sulle minacce informatiche. In particolare, Edison ha sviluppato tre tipologie di iniziative:

  • > Hacker lunch: in primo luogo sono stati organizzati degli incontri informali, aventi ad oggetto i comportamenti da tenere al fine di evitare incidenti di sicurezza. In sede di programmazione si è deciso di trattare non solo tematiche attinenti alle policy e alle procedure lavorative, ma anche relative alle consuetudini nei comportamenti degli utenti nella vita quotidiana, come per esempio l’utilizzo consapevole degli smartphone e la gestione delle password.

Nel corso del 2016 la formazione è stata impartita attraverso una decina di sessioni. Una serie di queste è stata organizzata in for-ma di hacker lunch, tramite il coinvolgimento di un giornalista esperto di informatica che, attraverso “provocazioni” e filmati incentrati ad esempio sui furti di identità, ha tentato di stimolare i dipendenti anche da un punto di vista emotivo, al fine di far loro comprendere l’importanza della cybersecurity nella vita di tutti i giorni. Tali incontri, sebbene limitati alla sola sede principale dell’azienda, che ospita circa il 60% del personale, hanno registrato una buona partecipazione.

  • In secondo luogo, allo scopo di raggiungere l’intera popolazione aziendale, Edison ha puntato sul tradizionale corso di e-learning. Nel 2016 il corso, sviluppato in logica tradizionale, si è focalizzato sull’importanza di gestire in maniera ottimale le password e sulle modalità di segnalazione di incidenti informatici e di riconoscimento delle e-mail di phishing.

A partire dal 2017, invece, per aumentare il livello di engagement dei dipendenti, l’azienda ha fatto ricorso ad una logica di gamification, impostando la formazione su un corso on-line imperniato su una serie di nozioni a difficoltà crescenti (ad esempio come riconoscere i virus e quali sono le azioni da compiere per rimuoverli), con l’obiettivo di verificare l’effettivo apprendimento dei concetti trasmessi e poter incrementare così il livello di gioco sino a potersi cimentare con Pivello Hacker Professional.

  • Infine, sempre nel 2016, la società ha distribuito un libro sulla sicurezza, sviluppato da un esperto esterno all’azienda con il coinvolgimento di CISO di alcune società fra cui Edison, che è stato successivamente consegnato a circa 600 dipendenti.

Le iniziative sono state proposte dalla funzione Security, in collaborazione con la funzione Human Resources. Le attività hanno poi coinvolto anche la Comunicazione, che si è occupata degli aspetti relativi all’organizzazione degli eventi, dello sviluppo delle locandine, dell’invio delle e-mail e dell’aggiornamento della Intranet aziendale.
Per verificare l’efficacia delle iniziative messe in atto e l’effettivo livello di apprendimento dei dipendenti, sono stati successivamente effettuati dei test. Per quanto riguarda il corso di e-learning basato sul modello “gamification”, ad esempio, sono stati previsti degli appositi momenti di verifica, in cui sono stati accuratamente analizzati i punteggi ottenuti dagli utenti durante lo svolgimento dei giochi online.
L’identificazione e la definizione delle azioni in tema di sicurezza si basa sulla revisione annuale dei rischi. Edison ha sviluppato ne-gli anni un apposito strumento, un framework di valutazione dei rischi strutturato in riferimento ai dati della lista dei controlli della 15027001, da cui è emerso in particolare che il rischio connesso al fattore umano era sopra la soglia consentita, suggerendo la necessità di un intervento in tal senso.
Dall’assessment sui rischi scaturiscono anche le scelte relative alle soluzioni tecnologiche da implementare: la società ha recente-mente adottato una nuova piattaforma anti APT e anti malware, poiché nel processo di analisi del rischio era stata riscontrata l’esistenza di un problema in tale ambito.

Fonte: Gruppo Sole 24 Ore

Leave a comment

You must be logged in to post a comment.