La cybersecurity e il comportamento umano: il punto di vista di Microsoft

La cybersecurity è ormai una vera e propria emergenza per aziende e imprese italiane, secondo i dati del CLUSIT (2021) c’è stato un aumento del 78% degli attacchi informatici in soli quattro anni.

Quali sono quindi le soluzioni chele aziende possono mettere in atto per proteggersi? Quali i rischi, le sfide e le opportunità in termini di sicurezza informatica? Ed infine, che ruolo hanno le persone in questo processo?
Ne abbiamo parlato con Tamara Zancan Sr Product Marketing Manager Modern Work, Cybersecurity e Compliance di Microsoft.

Ciao Tamara, puoi darci una overview sul tema della sicurezza informatica per le imprese? Com’è la situazione in Italia e in Europa?

Proteggere un'organizzazione non è mai stato semplice. Ma nel 2021 abbiamo assistito a dei cambiamenti significativi nel panorama delle minacce informatiche che stanno avendo un impatto importante sulle organizzazioni di ogni dimensione e di  ogni settore, il crimine informatico è diventato più sofisticato, diffuso e implacabile. La frequenza degli attacchi è aumentata in modo significativo; infatti, ogni giorno sui giornali leggiamo di aziende coinvolte in attacchi di phishing e/o ransomware, persino organizzazioni sanitarie o infrastrutture critiche, una volta considerate “off-limits”, sono prese di mira sempre di più.

Ad ottobre abbiamo pubblicato il Microsoft Digital Defense Report (MDDR) 2021.Attingendo ad oltre 24 trilioni di segnali di sicurezza giornalieri, abbiamo analizzato e studiato le minacce, con l’obiettivo di aiutare le organizzazioni a comprendere i modi in cui i criminali informatici cambiano continuamente le loro modalità di attacco e a determinare i modi migliori per combattere tali attacchi.

Giusto per dare una dimensione di quanto sta accadendo: gli hacker lanciano una media di 50 milioni di tentativi di attacchi ogni giorno, 579 al secondo!

Abbiamo visto il crimine informatico evolversi come una minaccia alla sicurezza nazionale guidata in gran parte dal guadagno finanziario, gli aggressori informatici non discriminano: le piccole imprese sono altrettanto sensibili delle grandi imprese. Sulla base delle nostre ricerche, quasi il 60% delle piccole e medie imprese ha dichiarato di non sentirsi attrezzato per mantenere la gestione della sicurezza informatica, questo a causa della mancanza di risorse e di personale con competenze specializzate.

Tuttavia, ci sono anche delle tendenze positive: le vittime del crimine informatico si fanno avanti per condividere le loro storie,  ciò porta ad una maggiore consapevolezza e trasparenza. I governi stanno anche approvando nuove leggi e allocando più risorse in quanto riconoscono il crimine informatico come una minaccia alla sicurezza nazionale.  

 Questo quadro non cambia a livello europeo e italiano, infatti secondo il rapporto Clusit 2021 sulla Sicurezza ICT in Italia, nel primo semestre del 2021 gli at­tacchi verso realtà con sede in Europa sono aumentati sensibilmente: dal 15% al 25%.

Nel primo semestre 2021 è stato individuato a livello globale (Italia inclusa) un incremento degli attacchi cyber gravi del 24% in più rispetto all'anno precedente (con impatto su diversi aspetti della società, della politica, dell’economia e della geopolitica),inoltre le attività con effetti “molto importanti” e “critici” sono il 74% del totale (nel 2020 era del 49%). Salgono all’88% quelle mirate all’estorsione di denaro.

Inoltre, è stato appena pubblicato dalla Polizia Postale e delle Comunicazioni il resoconto delle attività di security 2021: nell’ultimo anno si sono registrati infatti 126 attacchi informatici ai sistemi finanziari di grandi e medie imprese, per un ammontare complessivo di oltre 36 milioni di euro sottratti illecitamente mediante complesse frodi telematiche.

‍

Secondo te, qual è la sensibilità delle aziende italiane sul tema cyber security? Come si stanno muovendo i professionisti e manager italiani per affrontare al meglio le sfide che la cyber security propone quotidianamente?

Da una ricerca di IDC il 46% delle aziende italiane ha pianificato una crescita del budget dedicato alle tecnologie di security per il 2021 rispetto a quanto previsto nel 2020, ma non è sufficiente, nel nostro Paese comunque spendiamo meno rispetto agli altri paesi economicamente avanzati.

I responsabili IT hanno timore nel presentare apertamente ai vertici aziendali quali sono i rischi, come dimostra anche un recente studio di Trend Micro.  

In un recente sondaggio condotto da EY emerge che solo il 20% degli esperti italiani di sicurezza informatica si sente molto o estremamente fiducioso nelle strategie di cybersecurity e di mitigazione del rischio adottate dalla propria organizzazione.

 Vediamo che le aziende Italiane non hanno ancora la completa percezione di quale sia il rischio, spesso la spesa relativa alla sicurezza viene vista come un puro costo “ingiustificato” e secondario rispetto ad altri investimenti. Tuttavia, non investire nella sicurezza spesso porta a incidenti e perdita di dati, con conseguenti costi enormi e impatti sulla reputazione aziendale. Investire nella sicurezza significa investire nel futuro.

Infatti, con le organizzazioni che perseguono sempre di più la trasformazione digitale, manager e dirigenti aziendali devono affrontare nuovi tipi sfide, tra cui la sicurezza informatica: per esempio ogni processo di business deve essere “sicuro by design”.

Costruire la fiducia attraverso investimenti in tecnologie sulla sicurezza può aiutare i Consigli di Amministrazione a elevare il valore del marchio della propria organizzazione, la fedeltà degli stakeholder e la fiducia degli investitori. Ora è il momento per le organizzazioni di prepararsi per il futuro e sviluppare la cultura della consapevolezza in tema di sicurezza informatica.

Speriamo che il PNRR (Piano nazionale di ripresa e resilienza), che complessivamente alloca circa 45 miliardi di euro per la “transizione digitale”, possa rappresentare per l’Italia l’occasione di mettersi al passo e colmare le proprie lacune anche in ambito di sicurezza informatica.

Quali sono le priorità in termini di sicurezza informatica per le imprese?

Stiamo vivendo una crescita senza precedenti delle interazioni digitali. In questo ecosistema digitale senza confini, la fiducia tra le parti deve essere stabilita in tempo reale. Eppure la fiducia è una merce rara su Internet. In questo nuovo mondo in cui le "strette di mano" digitali sono più comuni dell'analogico, l'identità degli utenti è il primo elemento da proteggere.

La stragrande maggioranza delle violazioni riguarda il furto di credenziali, la compromissione delle password: queste sono l’anello più debole nella maggior parte delle strategie di sicurezza; perciò, proteggere l’identità è più importante che mai, proteggere l’identità degli utenti significa proteggere i dati e le risorse aziendali. Abbiamo assistito a un aumento del 300% degli attacchi alle identità nell'ultimo anno, per questo è fondamentale adottare per esempio il principio di autenticazione avanzata: una delle nostre ricerche dimostra che la richiesta di autenticazione a due fattori (Multi Factor Authentication) può proteggere dal 99% degli attacchi. 

Inoltre, è fondamentale proteggere non solo gli utenti, ma anche i dispositivi e assicurarsi che ogni dispositivo che accede alle risorse aziendali sia ben gestito. Serve un approccio proattivo alla sicurezza completo e moderno per gestire la complessità dell'organizzazione di oggi. Per questo oggi suggeriamo il modello “Zero Trust”: invece di credere che tutto ciò che sta dietro il firewall aziendale sia sicuro, si assume che ci possa essere una violazione (breach) e quindi ogni richiesta viene verificata come se provenisse da una rete non controllata. Indipendentemente da dove proviene la richiesta o dalla risorsa a cui accede, Zero Trust ci insegna a non fidarci mai, verificare sempre: verificare e proteggere ogni identità, convalidare l'integrità dei dispositivi, applicare la crittografia end-to-end, applicare i privilegi minimi cioè limitare l'accesso con criteri JIT/JEA (just-in-time e just-enough-access) e acquisire e analizzare la telemetria per comprendere e proteggere meglio l'ambiente digitale.

In tutto questo le aziende non devono dimenticare di adottare “le regole di base” di una politica di sicurezza come l'applicazione di patch e che l'infrastruttura e le applicazioni siano aggiornati e configurati correttamente: la Basic security hygiene protegge ancora dal 98% degli attacchi.

Spesso le organizzazioni non sanno che possono fare un primo passo verso questo approccio semplicemente implementando tecnologie senza password come Windows Hello per desktop o l'app Microsoft Authenticator per dispositivi mobili. In aggiunta molti clienti possono già adottare alcune componenti di protezione e sicurezza integrata come Microsoft Defender per Office 365 già incluse nella soluzione Microsoft 365 che hanno acquistato.

Microsoft sta investendo molto per semplificare la gestione dei dispositvi e creare funzionalità che migliorino la produttività IT e mitighino il rischio delle minacce alla sicurezza informatica, ad oggi Microsoft impiega 3.700 esperti di sicurezza e spende più di $ 1 miliardo di dollari all'anno sulla sicurezza, ma per il futuro c’è un ulteriore impegno:  Microsoft investirà 20 miliardi di dollari nei prossimi cinque anni per accelerare gli sforzi per integrare la sicurezza informatica fin dalla progettazione e per fornire soluzioni di sicurezza avanzate. Ciò include 150 milioni di dollari in servizi tecnici per aiutare i governi federali, statali e locali a migliorare la protezione e contribuire a garantire che implementino gli strumenti di sicurezza migliori e più aggiornati. La nostra tecnologia è stata riconosciuta come best-in-class da molti analisti influenti: nell'ultimo anno Microsoft figura come leader in 5 Gartner Magic Quadrant™ ed è stata riconosciuta da Forrester come leader in 8 Forrester Wave e New Wave report

‍

Risorse utili:  

Assess your maturity stage with our Zero Trust Maturity Assessment: Microsoft Zero Trust Maturity Assessment Quiz | Microsoft Security

For a repository of technical resources, check out the Zero Trust Guidance Center: Zero Trust Guidance Center | Microsoft Docs

Andando oltre la tecnologia: quanto è rilevante la "componente umana" in tema di sicurezza informatica?  Quanto possono contribuire secondo te i comportamenti e le abitudini dei singoli alla maggiore sicurezza di un'azienda? Possiamo dire che il cambiamento comportamentale sia la sfida principale da vincere?

Quando è iniziata la pandemia, le aziende hanno dovuto diventare digitali da un giorno all'altro con i dipendenti che hanno utilizzato anche i dispositivi personali per portare a termine il proprio lavoro. Nel prossimo futuro  l’Hybrid work rappresenterà una normalità per molte aziende di tutti i settori. Questo porterà ad un aumento esponenziale delle “superfici di attacco digitali” a disposizione dei criminali informatici.

L'85% delle violazioni dei dati coinvolge “il comportamento umano” (Verizon Data Breach Investigations Report 2021), spesso il rischio di un attacco o del furto di dati deriva dai comportamenti poco consapevoli degli stessi dipendenti.

Da una ricerca di IDC emerge che oggi le nuove priorità di security delle aziende si stanno concentrando sulle competenze e sulla formazione dei dipendenti che sono un elemento cruciale della catena del valore digitale di qualsiasi organizzazione, perciò serve una maggiore competenza ed è importante formare e responsabilizzare gli utenti a tutti i livelli dell'organizzazione: abbiamo assistito a una riduzione del 50% anno su anno della suscettibilità dei dipendenti al phishing dopo la corretta formazione. Anche Microsoft mette a disposizione una serie di corsi gratuiti e di programmi per le organizzazioni grazie ai quali le persone IT possono incrementare e ampliare le proprie competenze.

In questo panorama non dimentichiamo però che non basta solo la pura formazione. Infatti, c'è spesso l'idea che sia sufficiente raccogliere metriche o dati, tutto ciò però ci dice cosa stanno facendo le persone, non perché lo stanno facendo. Capire il "perché" è assolutamente cruciale, è il punto fondamentale per cambiare il comportamento! Il "perché" aiuta a comprendere i presupposti sottostanti e a determinare cosa si può fare, se ci sono lacune tra ciò che il team di sicurezza vuole e ciò che le persone stanno facendo.

Infatti, ci sono tante sfide intorno alla cultura della sicurezza: la rapida trasformazione digitale e la crescita potrebbero incoraggiare le persone a comportarsi in modi meno sicuri dando priorità alla produttività oppure, a volte, manca una corretta comunicazione sul motivo per cui sono in atto determinati controlli di sicurezza, aiutare il team di sicurezza a comunicare meglio il "perché" aiuta ad affrontare questi temi.

È anche molto difficile cambiare comportamento se la leadership della sicurezza o il team di leadership organizzativa non sono a bordo. Un'altra considerazione è la percezione di una cultura giusta. Se qualcuno fa clic su un link dannoso o commette un errore, sente di poter alzare la mano e segnalarlo senza essere indebitamente incolpato? Se le persone hanno la percezione che la cultura riguardi la punizione e il "puntare il dito", ciò è dannoso per la cultura della sicurezza.

Inoltre, l'errore più grande che le organizzazioni commettono quando cercano di costruire e promuovere una cultura della sicurezza è che non sia allineata con quella aziendale. Per esempio, se un'organizzazione è molto positiva e incentrata sulle persone e cerca sempre di dire "Sì" nella più ampia cultura organizzativa, ma il team di sicurezza spinge verso una cultura che dice molto spesso "No", potrebbe essere un problema, perché se provi a imbullonare una cultura della sicurezza che va contro l'organizzazione più ampia, non funzionerà. Il cambiamento richiede pazienza.

Quindi, la prima fase è comprendere la cultura organizzativa, la missione e i valori e rivedere i simboli culturali nell'organizzazione, inclusi il branding e la formazione. Quindi è importante eseguire sondaggi, focus group e interviste individuali per incoraggiare la conversazione, facilitare la discussione e capire cosa sta succedendo quotidianamente e, soprattutto, perché.

Ci vuole un livello di maturità e spesso ci vogliono organizzazioni che aspirano ad essere incentrate sulle persone, per aiutare la loro forza lavoro a essere più consapevole della sicurezza.

Anche questo tema è di fatto un tema di change management …tema che Digital Attitude conosce benissimo 😊 

In Microsoft, crediamo che ciò si traduca in qualcosa di più di semplici soluzioni end-to-end; si tratta di innovare costantemente per soddisfare al meglio le esigenze dei nostri clienti e le sfide che tutti affrontiamo. Si tratta di offrire un'esperienza integrata e semplificata, di consentire alle persone e alle organizzazioni di fare di più, in modo sicuro. Scopri di più su come sfruttare la protezione completa di Microsoft Microsoft Security’s comprehensive protection..

Insomma, la cultura della sicurezza deve diventare una priorità per i leader aziendali, deve raggiungere i primi posti dell’agenda dei consigli di amministrazione.

La sicurezza informatica è una missione di grande importanza e vera urgenza. Lo scenario odierno richiede un approccio completo che includa sicurezza, gestione della compliance, delle identità e della privacy. Ma forse, e soprattutto, un approccio più umano, incentrato sulle abitudini dei singoli e sul cambiamento di mindset dell’intera organizzazione!