LA GUIDA PRATICA

Lo human firewall: cos’è e perché è importante per la sicurezza aziendale

Lo human firewall è un dipendente opportunamente educato, istruito e formato per riconoscere gli attacchi che sfruttano le persone e le loro lacune in ambito cyber security prima ancora che le falle tecnologiche dei sistemi informatici. Ecco perché una tale formazione è importante per tutte le aziende

03 Set 2019
S
Luca Sepe

Security Consultant

Al giorno d’oggi uno dei termini che spesso si usano all’interno di un’azienda nell’ambito della sicurezza informatica è “human firewall”: ma di preciso, che cosa s’intende con tale espressione?

Con questa terminologia si intende un essere umano che viene opportunamente educato, istruito e formato al fine di riconoscere gli attacchi che sfruttano, prima ancora che le falle tecnologiche di un sistema informatico, la persona e le sue lacune in ambito di security, così da poter evitare di cadere nelle trappole dei malintenzionati e non compromettere il proprio perimetro aziendale.

Ci si potrebbe chiedere: ma una tale formazione, essendo ad ogni modo una forma d’investimento, è una spesa necessaria da inserire all’interno del budget? La risposta è decisamente sì e i motivi sono lampanti.

Human firewall: un valido investimento per le aziende

Una ditta che investe non solo sull’infrastruttura, ma anche sulle conoscenze dei propri dipendenti in merito, diminuisce sensibilmente le possibilità di vedere i propri dati finire in mano ai criminali che intendono sfruttarli per i loro scopi.

Digital event
Torna il Cybersecurity 360 Summit strategia nazionale di cybersicurezza. Online, 27 ottobre
Sicurezza
Sicurezza dei dati

Un dipendente formato a riguardo si sentirà più sicuro e meno soggetto a sbagli potenzialmente fatali, aumentando quindi la produttività intesa sia come qualità che come quantità.

L’investimento iniziale si rivela prezioso sul lungo termine: un dipendente formato e opportunamente aggiornato sulle tecniche di human firewalling renderà costantemente maggiore il livello di sicurezza generale dell’infrastruttura e della ditta alla quale appartiene.

La domanda che sorge spontanea a questo punto è: come si diventa human firewall? Per rispondere occorre precisare che ci sono due elementi da considerare: l’insegnante e il processo.

Diventare uno human firewall: struttura formativa

Parlando dell’insegnante, esistono svariati professionisti del settore che tra i loro servizi offrono corsi ad hoc per istruire i dipendenti delle ditte sul tema dello human firewall; proprio perché il problema è di notevole importanza, ci si è subito allineati per offrire alle aziende servizi di formazione adeguati.

L’importante è rivolgersi a professionisti seri e di comprovata qualità, non a persone che s’improvvisano esperti del settore senza averne una concreta e reale conoscenza. Tale punto sembra scontato e banale ma sottolinearlo su un tema così delicato è essenziale.

Relativamente al processo, s’intende invece delineare i passi che vanno seguiti al fine di fornire un servizio efficace ai dipendenti e mantenerli costantemente aggiornati nel tempo. In linea di massima possiamo definire tale prassi composta da 7 punti, e cioè:

  1. policy dettagliate, chiare ma senza sovraccarico: quando i dipendenti vengono istruiti sul tema dello human firewall, hanno bisogno di istruzioni chiare, dettagliate, che coprano tutti i punti del tema specifico che si sta affrontando. Occorre ricordare però che i dipendenti hanno anche altri temi su cui formarsi ed altre informazioni da immagazzinare durante la loro giornata lavorativa: bombardarli di concetti senza sosta non è il modo migliore per aiutarli. La fretta non deve essere cattiva consigliera ma anzi i tempi di apprendimento delle persone vanno rispettati e tenuti in considerazione;
  2. la continuità è importante: spesso, con prodotti specifici o affini, si considera di effettuare l’aggiornamento dei dipendenti una o due volte l’anno. Con lo human firewall non è così: i pirati informatici sono sempre all’opera per sperimentare nuovi modi per ingannare le loro vittime, pertanto è importante stare al passo ed aggiornare costantemente i propri dipendenti;
  3. motivare i dipendenti: riuscire a far sentire apprezzati ed importanti i propri collaboratori è un passo fondamentale per riuscire a sviluppare uno human firewalling. Ad esempio, premiare un dipendente con un encomio visibile a tutti i suoi colleghi per aver riconosciuto una mail di phishing motiverà ancor di più l’autore dell’opera e sarà di sprono per gli altri ed emularlo in impegno e dedizione all’opera;
  4. nessuna esclusione: bisogna esortare tutti i membri dell’azienda ad istruirsi sul tema e diventare human firewall. Occorre valutare le paure dei dipendenti, aiutarli a superarle ma al contempo non pensare che vi siano persone che possono restare escluse; anzi, spesso cono i cosiddetti “intoccabili” ad essere il bersaglio preferito dei pirati, come i C level, poiché rubando le loro credenziali si da inizio a campagne di spear phishing;
  5. condivisione: coloro che vengono formati sul tema dovrebbero condividere cosa hanno appreso con i collegi e mostrarsi disponibili ad aiutarli in caso di dubbi o domande. Lavorare in comparti stagni, quando si formano gli human firewall, non è produttivo ma anzi ampiamente dannoso;
  6. continua sorveglianza: non basta formare i propri dipendenti. Non si può attendere un reale attacco e pagarne le conseguenze in caso di persone non formate/che non hanno compreso pienamente i concetti trasmessi. Può essere utile simulare un attacco e vederne i risultati: ad esempio, mettere in piedi una campagna di phishing gestito dalla ditta stessa ed inviare un membro esperto in human firewalling a parlare con un dipendente che è caduto nella trappola ed ha cliccato sui link delle mail, per spiegargli dove ha sbagliato e perché;
  7. proattività: tutti devono essere formati sullo human firewalling, ma è bene che esista un team dedicato specificatamente a questo e che sviluppi costantemente le proprie competenze in maniera come attività primaria. Tale team dovrebbe costantemente cercare le nuove minacce, proporre una soluzione e portare entrambi gli aspetti all’attenzione dei piani decisionali.

Gli effetti di tale formazione sono evidenti e riconosciuti dai dati registrati dalle aziende: secondo il rapporto State of the Pish di Proofpoint, le ditte che hanno provveduto a formare i propri dipendenti in tale arte hanno registrato sensibili miglioramenti nel riconoscimento delle minacce.

In particolare, circa il 60% degli intervistati ha dimostrato una migliorata capacità nel riconoscere gli attacchi in questione e di essere in grado di evitarli.

Human firewall: le conoscenze di base

Un’ultima domanda che potrebbe sorgere è: quanto è complicato formare degli human firewall?

Le conoscenze di base, in realtà, constano di punti molto semplici che non sono particolarmente complicati da seguire. A dimostrazione di ciò, sono di seguito illustrate alcune tecniche fondamentali con tre dei principali attacchi diretti oggi alle ditte: phishing, social engineering, malware.

  • Phishing: il principale mezzo per veicolare tale attacco è la mail. L’attaccante si affida a varie componenti: un utente ansioso, che si spaventa quando vede una comunicazione dalla sua banca o da un qualsiasi istituto di credito è portato a cliccare frettolosamente sul link fornito e a commettere l’errore su cui il pirata fa affidamento.

Anzitutto occorre mantenere la calma e non farsi prendere dal panico. Poi occorre esaminare per bene la mail: spesso vi sono errori che provano come questa sia un falso.

Ad esempio, l’italiano è corretto? Frequentemente vi sono attacchi da parte di stranieri che non curano la lingua e/o si affidano alle traduzioni automatiche di alcuni traduttori online. Questo è già un primo indizio della falsità della mail.

Altro possibile indizio: il logo dell’ente. Molte volte non è riprodotto fedelmente, vi sono delle diversità nel colore, nella forma o anche nella posizione rispetto a dove viene comunemente collocato dall’ente di credito vero e proprio.

Ancora: l’ente stesso. Più di quanto non si pensi, gli utente che non hanno un conto con una data banca ricevono una mail apparentemente a nome di questa e cliccano sul link. Se non si è clienti di un istituto di credito, perché se ne dovrebbero ricevere comunicazioni?

Se tutti questi controlli sono “superati”, perché il pirata ha fatto un lavoro molto curato e preciso, ricordiamo sempre che un istituto di credito serio non chiede ai suoi utenti di cliccare su link inviati via mail con la precisa istruzione di inserire le proprie credenziali. La maggior parte delle volte invitano a visitare il proprio sito inserendo il link manualmente nel browser web e, solo se necessario, una volta giunti sul sito autentico, allora si possono inserire le credenziali. C’è da aggiungere che tutti gli istituti di credito installano sui propri siti dei certificati di sicurezza che ne attestano l’autenticità: per visualizzarli, è sufficiente cliccare sul lucchetto in alto a sinistra all’inizio della barra degli indirizzi.

Se nonostante questo dovessero ancora persistere dei dubbi, si potrebbe sempre chiamare il call center della propria banca e chiedere delucidazioni riguardo alle mail ricevute, per accertarne l’autenticità o smentirla.

  • Social Engineering: diffidare da chi invita ad introdurre nei nostri sistemi lavorativi determinati strumenti non meglio specificati.

Un normale processo di selezione del software e dei modi di veicolarlo avvengono attraverso procedimenti ben precisi e strutturati: in maniera molto semplificata possiamo dire che in primis sono i commerciali a valutare l’acquisto di una risorsa o meno. Successivamente gli strumenti vengono testati da team appositamente predisposti, in ambienti sicuri ed isolati rispetto a quelli di produzione, per verificarne genuinità e funzionamento.

Solo dopo queste fasi parte il processo di installazione sui PC dei dipendenti, tra l’altro opportunamente annunciato con i vari strumenti a disposizione della ditta. Se qualcuno viene da noi per convincerci ad installare una qualsiasi risorsa sul PC e noi non abbiamo alcun ruolo nella decisione degli strumenti da impiegare, allora è bene non fidarsi.

  • Malware: una minaccia spesso veicolata come un file eseguibile che chiede di installare un software sul nostro PC. Le accortezze sono le seguenti: se non siamo sicuri dell’origine del file, non facciamo partire l’installazione; se, peggio ancora, non sappiamo cosa stiamo installando, non installiamo! I vari eseguibili hanno inoltre vari meccanismi di verifica, che svolgono funzioni simili ai certificati per i siti web, come l’MDA5.

Conclusioni

Possiamo quindi affermare che il tempo speso per formarci e imparare quali siano le minacce che cercano di sfruttare le nostre scarse conoscenze in ambito i sicurezza informatica è sicuramente un investimento importate da effettuare, che ci aiuta a proteggerci ulteriormente dai rischi presenti sulla rete.

WHITEPAPER
GUIDA PRATICA contro il Phishing: scopri come tutelare la tua azienda!
CIO
Sicurezza
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr