Le persone sono il pericolo numero uno quando si tratta di rischio sistemico, per questo serve formazione alla security awareness.

rischio-sistemico

Lucia Milică, Global Resident CISO di Proofpoint invita i CISO a non sottovalutare il rischio sistemico, in qualunque settore essi operino. Le ripercussioni potrebbero essere estremamente negative.

Negli ultimi anni il rischio sistemico è diventato un tema ricorrente negli ambienti della cybersecurity. Nonostante molti conoscano questo termine, la sua definizione e portata possono variare in modo significativo.

In ambito finanziario, il rischio sistemico misura la probabilità che una situazione di tensione di una singola banca possa innescare instabilità nell’intero sistema finanziario, con un meccanismo che vale in realtà anche per settori differenti. Un report del Carnegie Endowment for International Peace e dell’Aspen Institute, ad esempio, definisce il concetto come “la possibilità che un singolo evento o sviluppo possa innescare guasti diffusi ed effetti negativi che interessano più organizzazioni, settori o nazioni”.

Naturalmente, più un sistema è complesso, maggiore è il rischio che un singolo evento possa avere un effetto domino, che si propaghi in lungo e in largo attraverso organizzazioni, catene di approvvigionamento e infrastrutture.

Purtroppo, i sistemi complessi sono la regola, non l’eccezione. La maggior parte delle aziende e istituzioni, comprese quelle critiche per le infrastrutture nazionali, operano con un mosaico di nuove tecnologie e sistemi preesistenti, che prevede configurazioni interne, cloud e di terzi. Pertanto, la sfida di proteggere questi ecosistemi tentacolari è quasi insormontabile, che i CISO devono superare rapidamente, perché il problema del rischio sistemico è sotto i riflettori. Le conseguenze sono molteplici, dall’interruzione del servizio, alla perdita di dati, danni al brand fino a multe multimilionarie. Un solo anello della catena spezzato può esporre l’azienda a queste ripercussioni e molto altro ancora.

L’impatto crescente del rischio sistemico

Il concetto di rischio sistemico non è nuovo ma, con la crescente dipendenza da sistemi digitali, connessi e a più livelli, la sua portata sta aumentando drasticamente. Di conseguenza, sono numerosi gli esempi di un singolo errore che mette in pericolo aziende, servizi e persino vite umane.

Un esempio di rilievo è stato il caso SolarWinds, iniziato come un’iniezione di codice maligno all’interno di un’organizzazione privata che si è poi rapidamente diffuso fino ad avere un impatto sui servizi di dipartimenti governativi e aziende Fortune 500. Poco dopo, è diventato un vero e proprio incidente internazionale, con il governo statunitense che ha imposto sanzioni alla Russia. Inoltre, i membri del consiglio di amministrazione – attuali e passati – dell’azienda accusata di non aver compreso appieno il proprio livello di esposizione al rischio sistemico – stanno ancora oggi affrontando conseguenze legali e normative.

Questo incidente evidenzia il ruolo centrale delle persone come rischio sistemico. Con oltre il 90% degli eventi informatici che richiedono un’interazione umana, può bastare un solo clic per scatenare problemi che superano di gran lunga la portata di un’organizzazione. Quando la posta in gioco è così alta, è essenziale che gli utenti siano preparati per gestire una tale responsabilità.

Il principale fattore di rischio: le persone

Le persone sono il fattore di pericolo numero uno quando si parla di rischio sistemico, che si trovino all’interno dell’organizzazione o presso terzi nella catena di fornitura. Basta un insider malintenzionato o altra minaccia interna, un clic errato o una password riutilizzata per dare il via all’effetto domino. Perciò, prima di tutto, è necessaria visibilità totale su chi accede ai dati, quando, dove e come.

Meglio si conoscono le persone e le loro attività, maggiori sono le protezioni che si possono mettere in atto per aiutarle a difendere l’organizzazione. Sebbene limitazioni perimetrali e sistemi di filtering siano fondamentali, le difese devono andare oltre. Spetta ai team di sicurezza educare i dipendenti sul loro ruolo nella protezione dei dati aziendali e sul rischio più ampio della loro esposizione

Creando una cultura della consapevolezza informatica in tutta la supply chain, è possibile modificare i comportamenti che aprono la porta agli attori delle minacce, da ovunque provengano. Ciò significa fornire una formazione alla security awareness adattabile, continua e completa, mirata agli utenti che ne hanno più bisogno.

Non si tratta più di una questione che riguarda solo il team IT. Le organizzazioni hanno ora il dovere civico, e forse anche morale, di minimizzare e ridurre i pericoli dove possibile, valutando in modo proattivo al rischio sistemico.  Chi non lo facesse, potrebbe presto andare incontro a conseguenze che vanno ben oltre i limiti della sala riunioni.

di Lucia Milică, Global Resident CISO, Proofpoint