La cybersecurity è frequentemente percepita come un dominio riservato agli esperti tecnici; tuttavia, il vero punto critico si trova nelle persone stesse. In Italia, il 64% degli incidenti informatici è attribuibile a errori umani, quali phishing o configurazioni inadeguate. Inoltre, il 72% dei Chief Information Security Officer (CISO) riconosce l’errore umano come il principale rischio da affrontare. La soluzione immediata consiste nell’adottare un approccio human-centric, caratterizzato dalla formazione continua, dalla priorizzazione degli alert e dall’uso di strumenti basati sull’intelligenza artificiale (AI) per attenuare il burnout e filtrare le minacce reali. Tale approccio consente di trasmutare una debolezza umana in un punto di forza, garantendo la protezione dei dati e delle infrastrutture senza sovraccaricare i team di lavoro.
Le organizzazioni italiane sono sottoposte a un assedio digitale costante: il cybercrime rappresenta il 93% degli attacchi e ha visto un incremento del 150% dal 2021, con una media di 1214 attacchi settimanali per azienda. Il settore manifatturiero è tra i più colpiti (oltre il 19%), mentre il 77% delle imprese ha subito perdite significative di dati. Oltre ai malware (53%) e ai ransomware (38%), un fattore preponderante è rappresentato dalle distrazioni quotidiane: password deboli, il click su link malevoli e ex-dipendenti contribuiscono a circa il 94% delle fughe di informazioni.
I CISO italiani vivono una pressione extrema: il 61%</strong di essi deve affrontare aspettative irrealistiche, mentre il 55% ha riportato esperienze di burnout nell’ultimo anno. È chiaro che la tecnologia, a sé stante, non è sufficiente; è necessaria una cultura della sicurezza che metta al centro le persone, con strumenti di Data Loss Prevention (DLP) e gestione del rischio insider, per colmare il divario tra le regole stabilite e i comportamenti effettivi.
Sfide quotidiane nei centri di sicurezza
Un SOC (Security Operations Center) di una grande azienda può presentare un’apparecchiatura in cui decine di strumenti monitorano reti, dispositivi e identità, generando migliaia di alert giornalieri. In teoria, tali strumenti assistono nell’intercettare attacchi precoci; in pratica, sovraccaricano gli analisti, rendendo difficile distinguere le minacce vere dai falsi positivi. Questo sovraccarico contribuisce ad aumentare lo stress e a ridurre l’efficacia operativa: un alert critico trascurato può portare a escalation di privilegi, movimenti laterali o interruzioni infrastrutturali.
La priorizzazione dei segnali diventa quindi fondamentale. Team sofferenti da sovraccarico perdono la capacità di concentrazione, con ripercussioni negative sulla salute mentale e sulle prestazioni lavorative. In Italia, il 67% delle grandi imprese ha subito un numero maggiore di attacchi rispetto all’anno precedente, e il 14% di esse ha vissuto conseguenze dirette. L’ingegneria sociale sfrutta emozioni come urgenza e paura, causando errori, e il phishing benefica notevolmente dell’assenza di consapevolezza.
Un numero crescente di aziende sta adottando sistemi moderni in grado di contestualizzare le minacce: anziché limitarsi a generare alert grezzi, questi sistemi forniscono analisi supportate dall’AI, identificando i rischi più elevati e suggerendo piani per la remediation. L’intelligenza artificiale è in grado di processare enormi volumi di dati e identificare schemi, mentre il giudizio umano rimane cruciale per prese di decisioni tempestive durante situazioni di crisi.
L’impatto sul benessere e la produttività
Il fattore umano si configura non solo come una vulnerabilità tecnica, ma anche come un’emergenza nell’ambito della salute pubblica. CISO e analisti affrontano un stress cronico, con conseguenze che possono compromettere l’intera difesa informatica. Interventi come la formazione (oggetto di investimento da parte del 49% dei CISO, in crescita), patching regolare e politiche anti-phishing sono misure efficaci, sebbene richiedano un impegno costante.
Un approccio human-centric prevede:
- Formazione coinvolgente: pratiche e simulate, non banali.
- Strumenti intuitivi: concepiti per proteggere senza ostacolare le operazioni lavorative.
- Monitoraggio insider: per tracciare comportamenti anomali di dipendenti o ex-dipendenti.
- Automazione intelligente: utilizzo dell’AI per filtrare il 95% dei falsi alert, riservando le situazioni complesse agli operatori umani.
In Italia, con l’accelerazione della digitalizzazione post-pandemica, le piccole e medie imprese (PMI) risultano particolarmente vulnerabili e necessitano dell’implementazione di programmi di sicurezza per tutelare il loro patrimonio informativo. Statistiche indicano che il 95% dei problemi a livello globale è riconducibile a errori umani, confermando che la cultura della sicurezza rappresenta un elemento chiave nella strategia di difesa.
La cybersecurity, nel contesto attuale, implica abilitare le persone in un ambiente di rumore digitale: priorizzare, contestualizzare e agire. Riducendo l’errore umano da un range del 64% al 90%, si rafforza la resilienza generale delle organizzazioni.
Approfondimento tecnico per esperti
Analisi degli alert nei SOC
Nella pratica dei SOC moderni, il volume di dati di sicurezza cresce esponenzialmente: strumenti come i SIEM (Security Information and Event Management) integrano log provenienti da endpoint, reti e cloud. Il problema principale è rappresentato dalla fatigue da alert: migliaia di eventi al giorno, con tassi di falsi positivi raggiungibili fino al 90%. Le metriche chiave includono:
- MTTD (Mean Time To Detect): ridurre sotto 1 ora, tramite l’uso di modelli di ML per la priorizzazione.
- MTTR (Mean Time To Respond): mantenere sotto le 4 ore con playbook automatizzati.
Un esempio di configurazione implica l’uso di UEBA (User and Entity Behavior Analytics) per stabilire comportamenti normali, attivando alert prioritari in caso di anomalie, ad esempio login non comuni su Active Directory (AD). Per attacchi basati su AD (sia on-prem che cloud), una difesa stratificata copre il ciclo di vita: prevenzione (policy enforcement), rilevamento (anomaly scoring), risposta (isolamento) e recupero (ripristino da backup).
Ruolo dell’AI nella mitigazione del rischio umano
L’AI/ML è capace di analizzare schemi su enormi volumi di dati, utilizzando il supervised learning per la classificazione del phishing (con un’accuratezza superiore al 95%) e l’unsupervised per le vulnerabilità zero-day. Tra i casi studio italiani, Proofpoint utilizza l’AI per bloccare minacce centrata sull’uomo, riducendo l’errore dal 48% (2023) al 72% percepito nel 2024 come priorità.
Tecniche avanzate includono:
- NLP per phishing: analisi semantica delle email, evidenziando parole chiave di urgenza.
- Graph analytics per movimenti laterali: creazione di mappe dei privilegi su AD.
- DLP rules: integrazione di regex e ML per l’esfiltrazione di dati sensibili.
Configurazione pratica di un esempio:
# Esempio SIEM rule per alert prioritization
rule "high_priority_ad_attack":
meta:
severity: "critical"
events:
- filter:
source: "Active Directory"
anomaly_score: >0.8
actions:
- notify: "soc_team"
- automate: "isolate_endpoint"
Statistiche italiane e best practices
Secondo dati CLUSIT, il 93% degli attacchi è riconducibile al cybercrime, con 175 attacchi all’anno rispetto ai 70 nel 2021. Il settore manifatturiero rappresenta il 19% dei casi. Le best practices suggerite comprendono:
- Zero Trust: attivazione dell’autenticazione multifattore (MFA) ovunque, implementazione del principio del minimo privilegio.
- Patch management: automazione attraverso strumenti come WSUS o Intune.
- Insider Threat: utilizzo di CASB (Cloud Access Security Broker) combinato con DLP.
Per i CISO, è vitale monitorare KPI come il burnout index (attraverso sondaggi mensili) e integrare il human risk scoring nei dashboard. La transizione a una security human-centric può ridurre gli incidenti tra il 30% e il 50%, con un ritorno sugli investimenti per formazione e AI previsto tra i 6 e i 12 mesi.
In conclusione, l’integrazione di SOAR (Security Orchestration, Automation and Response) per l’orchestrazione delle attività può diminuire il carico di lavoro manuale fino al 70%, liberando risorse per la caccia alle minacce avanzate.
Fonte: https://forbes.co.il/e/cybersecuritys-hidden-human-problem/
