La sicurezza digitale è sempre più importante per ogni impresa pubblica o privata di qualsiasi settore merceologico, dimensione (come numero di dipendenti) e fatturato-giro d’affari: da un lato l’informatica è ormai un imprescindibile supporto per qualsiasi attività lavorativa ed è quindi pervasiva sia in ambito lavorativo che personale; dall’altro gli attacchi digitali sono sempre più diffusi e critici, e rappresentano un elemento essenziale e determinante nelle guerre informatiche ed ibride, anch’esse fortemente crescenti date le attuali tensioni geopolitiche e le guerre già in atto.
Come anche evidenziato dagli ultimi Rapporti OAD[1] di AIPSI[2], in questi ultimi anni siamo, a livello mondiale e non solo in Italia, in una “era” di insicurezza digitale sistemica: le misure di sicurezza tecniche ed organizzative implementate, per quanto sofisticate e allo stato dell’arte, non sono sufficienti a bloccare le diverse tipologie di attacco, sempre più sofisticate e pericolose. A livello italiano, come i rispondenti all’indagine OAD 2024 indicano, gli attacchi digitali subiti hanno avuto forti impatti sia a livello tecnico, in termini di disservizio[3], sia a livello economico, dato che hanno comportano in molti casi un aggravio delle spese informatiche e in alcuni casi sul bilancio dell’intera azienda/ente[4].
L’essere umano è al centro anche per chi attacca, e pertanto è importante, in logica preventiva-predittiva, comprendere chi possono essere gli attaccanti, interni ed esterni all’azienda/ente, e quali le loro motivazioni.
Il fattore umano e le conseguenti vulnerabilità
Varie le cause di questa grave situazione di insicurezza digitale sistemica, molte trattate nel citato Rapporto OAD 2024 [in questo periodo è online il Questionario OAD 2025, assolutamente anonimo, e si pregano i lettori di compilarlo e/o di farlo compilare: https://www.aipsi.org/aree-tematiche/osservatorio-attacchi-digitali/oad-2025/questionario-oad-2025.html], e tra queste sono determinanti la scarsa preparazione in materia, la difficoltà a trovare specialisti, la scarsa attenzione al fenomeno della sicurezza digitale da parte di molti decisori, sia pubblici che privati.
La tecnologia è fondamentale per la sicurezza digitale, ma non è sufficiente: il fattore umano rappresenta un asset strategico inestimabile. È fondamentale il ruolo dell’essere umano nella sicurezza digitale, non solo a livello di utente, finale o privilegiato, ma anche, e in taluni casi soprattutto, dei responsabili decisionali di vertice che decidono su budget ed interventi sulla sicurezza digitale. Il termine “fattore umano” in questo contesto si riferisce allo spettro di azioni e azioni mancate dall’essere umano che possono causare vulnerabilità, sfruttabili per attacchi digitali intenzionali, o fungere da solida linea di difesa contro di essi.
Il comportamento umano nell’uso e nella gestione dei sistemi ICT è la più diffusa vulnerabilità, con differenti livelli di severità da parte di utente finale e di utente privilegiato[5]: per quest’ultimo ben più critici perché ha i più alti diritti di accesso ai sistemi ICT ed ai dati da questi trattati; può quindi spegnere o accendere vari sistemi, modificare le loro configurazioni (ad esempio disattivando moduli di sicurezza digitale o cambiando i diritti d’accesso di utenti) ma soprattutto gestire a suo piacimento i dati, che sono il vero asset dell’organizzazione, privata o pubblica; può copiarli, modificarli, cancellarli e questo può farlo anche un attaccante che si appropria del suo account. Le azioni o le inazioni dei singoli individui possono creare punti deboli che gli aggressori possono sfruttare pure nell’ambito dei sistemi di sicurezza digitali più avanzati in esercizio. Ad esempio, un clic apparentemente innocuo su un collegamento contenuto in una e-mail di phishing o la divulgazione involontaria di informazioni riservate possono compromettere un’intera organizzazione.
Lo spostamento della terminologia da “errore umano” a “fattore umano” riflette un’evoluzione significativa nella comprensione dei rischi legati alla sicurezza digitale. Questo cambiamento riconosce che concentrarsi esclusivamente sulla colpa individuale è meno produttivo che esaminare i problemi sistemici all’interno della cultura informatica e della sicurezza di un’organizzazione che potrebbero facilitare numerose cause di vulnerabilità.
Le difese tecnologiche sono cruciali, ma possono essere facilmente indebolite da un singolo errore da parte di un utente che potrebbe essere disinformato o semplicemente negligente. Di conseguenza, trascurare il fattore umano nelle strategie di sicurezza digitale può portare a notevoli perdite finanziarie, danni irreparabili alla reputazione e alla conseguente significativa erosione della fiducia dei clienti dei vari interlocutori.
Una delle vulnerabilità più diffuse è, ad esempio, la suscettibilità ad attacchi di phishing, in cui gli utenti vengono indotti con l’inganno a interagire con link malevoli incorporati in e-mail o a divulgare credenziali su siti web contraffatti. Analogamente, i dipendenti utenti potrebbero inavvertitamente esfiltrare informazioni riservate a soggetti non autorizzati, tramite comunicazione diretta o mancata protezione di dati riservati. La scarsa igiene delle credenziali di accesso (l’account di un utente) rimane una problematica persistente, con numerosi utenti che utilizzano password deboli facilmente decifrabili o che riutilizzano le medesime password su molteplici account online. Il dato che milioni di utenti utilizzino ancora la password “123456”[6], o simili, evidenzia la pervasività di tale comportamento rischioso. Inoltre, la mancata adozione o l’omissione della autenticazione a più fattori (MFA, Multi-Factor Authentication)[7] in particolare per account critici, ad esempio per le utenze privilegiate, espone a possibili tentativi di accesso non autorizzato.
Un’ulteriore categoria rilevante di vulnerabilità umana concerne la negligenza nella manutenzione basilare della sicurezza, come il differimento o la completa omissione degli aggiornamenti software e delle patch di sicurezza. Tali aggiornamenti spesso includono correzioni critiche per vulnerabilità note e la mancata installazione tempestiva può costituire un facile punto di ingresso per i cybercriminali. Inoltre, alcuni utenti potrebbero ignorare gli avvisi di sicurezza dei propri browser o persino disabilitare il software antivirus per superare presunte limitazioni operative, esponendo così i propri sistemi e potenzialmente l’intera organizzazione a minacce.
L’utilizzo di canali di comunicazione non sicuri per scambiare informazioni aziendali riservate e la divulgazione involontaria di dati critici e sensibili relativi all’attività lavorativa su piattaforme di social media possono fornire agli aggressori informazioni preziose per attacchi mirati. Anche l’impiego di applicazioni o hardware non autorizzati (spesso definito “shadow IT”), può introdurre vulnerabilità impreviste.
Ulteriori fattori moltiplicativi delle vulnerabilità dell’utente sono costituiti dall’uso dello stesso smartphone e/o PC sia per attività lavorative sia per attività personali, dal “lavoro da remoto” e dalla gravissima carenza di competenze e di specialisti ICT.
Sempre più spesso lo stesso dispositivo d’utente è usato in maniera ibrida, per lavoro e per divertimento, ma se non è dotato di specifici ed aggiornati strumenti di sicurezza può essere l’entry point di attacchi intenzionali: è questo spesso il caso di logiche BYOD[8].
Il lavoro da remoto, durante e dopo la pandemia del COVID, è diventato assai diffuso, e così rimarrà. Ma il dispositivo d’utente e i collegamenti da remoto devono essere veramente sicuri, cosa che il più delle volte non è, soprattutto se il dispositivo d’utente è di proprietà dello stesso (BYOD) ed è quest’ultimo che sceglie e paga le modalità di connessione.
Le vulnerabilità umane vengono specificamente prese di mira mediante la manipolazione del comportamento. Tale manipolazione spesso implica lo sfruttamento di principi psicologici per indurre gli individui a compiere azioni che compromettono la sicurezza digitale. Inoltre, le vulnerabilità umane sono intrinsecamente difficili da prevedere e prevenire a causa della natura imprevedibile del comportamento umano e della vasta gamma di caratteristiche individuali. L’elemento umano è complesso e non tutti gli individui condividono le stesse suscettibilità; alcuni potrebbero essere più vulnerabili agli attacchi di phishing, mentre altri potrebbero essere persuasi più facilmente attraverso altre tecniche di ingegneria sociale.
La psicologia dello sfruttamento: ingegneria sociale in azione
L’ingegneria sociale, sovente chiamata con il termine inglese di “social engineering”, rappresenta una minaccia significativa, poiché mira direttamente al capitale umano sfruttando le vulnerabilità psicologiche della persona: essa manipola gli individui attraverso l’inganno, la persuasione o persino la coercizione per ottenere le informazioni volute, garantire accessi non autorizzati o indurre azioni che compromettono la sicurezza. Questa tecnica sfrutta vulnerabilità cognitive intrinseche come la fiducia, la predisposizione all’aiuto, la curiosità, la paura e il senso di urgenza per eludere le contromisure di sicurezza convenzionali. Attraverso la comprensione e lo sfruttamento di questi principi psicologici, i cybercriminali possono spesso accedere a sistemi e dati senza dover superare le misure tecniche di protezione, dai sistemi di autenticazione ai firewall e agli anti-malware.
Varie le tecniche di social engineering, e tra queste le più usate:
· Il phishing: utilizzo di e-mail, siti web e messaggi di testo fraudolenti progettati per indurre le vittime a rivelare informazioni personali o aziendali. Questa categoria include forme più mirate quali:
o lo spear phishing, che si concentra su individui o organizzazioni specifiche utilizzando informazioni personalizzate e mirate; tipici i messaggi che emulano perfettamente, soprattutto a livello grafico, quelle della banca di cui l’attaccato è cliente;
o il whaling, che si rivolge specificamente a figure di alto profilo come CEO o CFO
o il vishing, che utilizza chiamate telefoniche ingannevoli
o lo smishing, che utilizza SMS fraudolenti
o il baiting, che utilizza offerte allettanti, come software gratuiti o supporti fisici infetti come unità USB; è sovente usato in ambiti di supporto tecnico (ovviamente malevole)
o il watering hole che compromette specifici siti web frequentemente visitati da un gruppo specifico, con l’obiettivo poi di infettare i sistemi informativi delle persone appartenenti al gruppo target
o il tailgating, che, a livello fisico, comporta che individuo non autorizzato segue una persona autorizzata in un’area protetta
o sempre a livello fisico, la raccolta e l’esame di documenti buttati via (tipicamente nei cestini della spazzatura degli uffici)
o l’impersonificazione, in cui gli aggressori fingono di essere persone fidate e/o autorevoli come propri superiori, colleghi, fornitori o personale IT. Questa tattica può articolarsi in vari modi, tra cui
§ la Business Email Compromise (BEC), in cui gli aggressori inviano con email precisi ordini, spacciandosi per superiori/dirigenti;
§ il deep fake, una delle più recenti basata su tecniche di Intelligenza Artificiale, che crea filmati con audio sincronizzato, o anche solo comunicazioni orali, con l’immagine in movimento della persona e con la sua voce … ma che dice ciò che l’attaccante vuole.
Il successo del social engineering si basa sullo sfruttamento di principi psicologici fondamentali. Gli aggressori spesso sfruttano la fiducia, tentando di instaurare rapporti o impersonare entità affidabili per abbassare la guardia delle vittime. Frequentemente creano un senso di urgenza o paura, spingendo gli individui ad agire rapidamente senza un’analisi critica. Anche la curiosità può essere sfruttata, inducendo le vittime a cliccare su link allettanti ma dannosi o ad aprire allegati infetti. Il desiderio di essere empatici può portare gli individui a bypassare i protocolli di sicurezza, mentre la naturale inclinazione all’aiuto può essere manipolata da aggressori che si spacciano per persone in difficoltà.
Per ridurre e gestire le vulnerabilità umane
Un approccio equilibrato e olistico che consideri sia le salvaguardie tecnologiche ed organizzative, sia il ruolo critico del comportamento umano, e l’ambito organizzativo e culturale in cui si opera, è fondamentale per costruire una posizione di sicurezza digitale veramente resiliente.
Fattori chiave sono la consapevolezza degli aspetti della sicurezza digitale e la conseguente formazione. Proteggere il sistema informativo anche dalle vulnerabilità umane richiede la formazione continua di tutti gli utenti, finali e privilegiati, oltre all’automazione dei controlli e dei processi riguardanti la sicurezza digitale.
La formazione continua
Educando il personale sui molteplici rischi e fornendo le conoscenze e le competenze necessarie, le organizzazioni possono rafforzare la propria postura di sicurezza complessiva, trasformando di fatto la forza lavoro in un “firewall umano” che funge da prima linea di difesa contro tattiche di social engineering e attacchi informatici sofisticati. Programmi di formazione efficaci mirano a promuovere la consapevolezza ed una cultura della sicurezza digitale, assicurando che tutti gli interlocutori/stakeholder siano edotti sui potenziali rischi associati alla connettività digitale e all’uso della informatica, e siano preparati ad agire responsabilmente per salvaguardare reti, dispositivi ICT e dati.
La formazione, effettuata soprattutto da aziende ed enti pubblici medio-grandi, almeno in Italia non ha finora dato i risultati attesi: l’attenzione continua nell’uso delle risorse informatiche viene presto a scemare, e per i vertici aziendali, pur di aziende con fatturati significati in Italia, la sicurezza digitale non è una priorità, soprattutto se non hanno ancora subito significativi attacchi. Fare formazione e sensibilizzazione “continua” è necessario, ma è difficile e costoso. Agevolazioni fiscali più diffuse e più facili da ottenere potrebbero aiutare, così come la formazione/sensibilizzazione (awareness) dei decisori di vertice tramite, ad esempio, “tabletop exercises”[9].
Gli aspetti organizzativi e le procedure organizzative per la sicurezza digitale
In primo luogo, in qualsiasi organizzazione dovrebbe essere definito chi si deve occupare di sicurezza digitale e ne è il responsabile. Il ruolo specifico è normalmente denominato CISO, Chief Information Security Officer, ben definito dal documento di ENISA[10]. Ma tale ruolo è definito prevalentemente in grandi organizzazioni, in altre, tipicamente di medio-grandi dimensioni, questo ruolo può essere svolto o dal CIO, Chief Information Officer, il responsabile dei sistemi informativi, o dal CTO, Chief Technologies Officer, il responsabile delle tecnologie, oppure dal CSO, Chief Security Officer, il responsabile della sicurezza “fisica” dell’organizzazione, dalle persone fisiche agli edifici, dai mezzi di trasporto agli impianti di produzione. E in maniera crescente, la figura del CISO è terziarizzata.
In Italia il 95% delle organizzazioni, private o pubbliche, sono al di sotto di 10 dipendenti, e salvo rare eccezioni, in questi ambienti non esiste né CIO né tantomeno il CSO o il CISO. In questi contesti, le decisioni in merito all’informatica, quindi alla sua sicurezza, sono del responsabile di vertice: il proprietario/ amministratore unico/delegato, o a chi svolge il ruolo di direttore generale (COO, Chief Operating Officer). E quelli più seri ed evoluti terziarizzano tali ruoli a società o a professionisti specializzati, con tutti i problemi che derivano nella scelta del “giusto” fornitore, che dovrebbe essere realmente esperto della materia e fare in primis gli interessi del suo cliente.
Molte procedure organizzative e molti strumenti operativi di sicurezza digitale non sono facili da seguire/utilizzare, non sono “user friendly”: per diffonderli e farli seguire/usare correttamente, occorre semplificarli, oltre che automatizzarli quanto più possibile; e questo dovrebbe anche essere un criterio per scegliere un prodotto o un servizio ICT da un altro.
Sull’utente finale viene quasi sempre fatta ricadere la responsabilità di malfunzionamenti e/o di non aver contrastato attacchi intenzionali. Siamo ancora ben lungi da sistemi ICT sicuri by default, a prova di imbecille, il così detto “utonto”. Una buona formazione e l’uso (ed il controllo della loro attuazione) di intelligenti procedure organizzative può fortemente limitare l’occorrenza di malfunzionamenti, attacchi e disastri. Su questo fronte si può contare anche su innovative applicazioni basate sull’IA che “accompagnano” l’utente nelle sue attività fornendo indicazioni sulle precauzioni di sicurezza corrette da tenere.
Le organizzazioni dovrebbero stabilire e applicare in modo coerente policy di sicurezza chiare che coprano tutti gli aspetti della cybersecurity, che siano facilmente comprensibili e che vengano regolarmente riviste e aggiornate. Aderire al principio del minor privilegio, limitando i diritti di accesso degli utenti solo a ciò che è necessario per il loro ruolo lavorativo, può ridurre significativamente il potenziale impatto di errori umani o attività malevole. Stabilire un meccanismo di segnalazione chiaro e semplice che incoraggi i dipendenti a segnalare attività sospette senza timore di ritorsioni è fondamentale per il rilevamento e la risposta tempestiva. Le piccole e le micro-organizzazioni ben difficilmente definiscono, diffondono e seguono policy e procedure organizzative, considerandole inutile burocrazia o al più strumenti per le grandissime organizzazione. Sono invece utili e significative anche per le piccole realtà, perché definiscono chi è responsabile e di che cosa, come dovrebbe operare e soprattutto cosa dovrebbe fare in caso di criticità; servono anche per meglio regolare le interazioni con le terze parti.
L’automazione della gestione della sicurezza digitale
Per avere una sicurezza digitale idonea alle esigenze del business e delle attività dell’azienda, oltre che flessibile, dato che tali esigenze possono cambiare, e resiliente, dato che si può essere sempre oggetto di attacchi digitali, occorre in primo luogo avere un insieme di misure, tecniche ed organizzative, ben bilanciate tra loro e possibilmente inquadrate in una “architettura” della sicurezza ICT, a sua volta che dovrebbe essere parte della più generale architettura per l’intero sistema informativo.
Ogni software o dispositivo per le misure tecniche di sicurezza digitale ha un proprio sistema di monitoraggio e dashboard delle sue funzionalità, che sovente non è centralizzato, ed è quindi monitorabile e controllabile solo localmente. Sarebbe opportuno che tutti questi diversi sistemi fossero integrati e centralizzati.
L’enorme complessità attuale per gestire i vari aspetti della sicurezza digitale, anche per piccole realtà, non può più essere manuale, deve essere automatizzata. I vari componenti di un sistema di sicurezza digitale, dal controllo degli accessi fisici all’identificazione e autenticazione degli utenti, dalla gestione dei loro diritti d’accesso ai vari applicativi fino ai sistemi di controllo delle reti ed ai sistemi IPS/IDS (Intrusion Prevention System /Intrusion Detection System), DMZ (Demilitarized Zone), NDR (Network Detection and Response), dai firewall perimetrali/di rete a quelli applicativi, dalla analisi degli eventi del sistema informativo alla gestione dei log, dalle procedure di backup a quelle di Disaster Recovery fino all’analisi delle vulnerabilità e dei rischi dovrebbero essere tra loro interoperanti e in qualche misura integrate e gestibili in modalità omogenee. L’attuale disponibilità di cloud e di piattaforme di Intelligenza Artificiale consente e in qualche misura facilita tale approccio, comunque non semplice.
La sicurezza digitale incentrata sull’essere umano
Il futuro della cybersecurity incentrata sull’elemento umano vedrà una maggiore enfasi sul Human Risk Management (HRM), che implica l’identificazione dei profili di rischio dei singoli utenti e l’implementazione di interventi mirati per mitigare tali rischi. Le organizzazioni si orienteranno verosimilmente verso il monitoraggio in tempo reale dei profili di rischio cyber dei dipendenti, acquisendo una comprensione più dinamica della loro security posture. L’analisi comportamentale rivestirà un ruolo crescente nella comprensione e nell’influenzamento del comportamento umano correlato alla sicurezza digitale. Possiamo inoltre prevedere lo sviluppo e l’adozione di programmi di security awareness iperpersonalizzati basati sull’intelligenza artificiale, che si adatteranno agli stili di apprendimento individuali e ai livelli di rischio specifici. Si assisterà a una maggiore enfasi sulla costruzione di programmi globali di comportamento e cultura della sicurezza, con metriche data-driven chiaramente definite per misurarne l’efficacia. La tendenza si sposterà probabilmente da un modello di formazione tradizionale e sporadico verso un approccio più continuo di formazione e sensibilizzazione del personale, integrato nei flussi di lavoro quotidiani. Alcune organizzazioni potrebbero esplorare la decentralizzazione dei diritti decisionali in materia di cybersecurity, consentendo ai dipendenti di effettuare scelte di sicurezza più informate nel loro contesto operativo. Infine, si registrerà una crescente attenzione allo sviluppo di strategie specifiche di gestione del rischio della forza lavoro, volte a mitigare i rischi di cybersecurity associati ai dipendenti.
Una formazione completa e continuativa sulla security awareness, personalizzata, coinvolgente e pertinente, è essenziale per dotare i dipendenti delle conoscenze e delle competenze necessarie per identificare ed eludere le minacce. La coltivazione di una cultura della sicurezza positiva, in cui la cybersecurity è prioritaria, discussa apertamente e considerata una responsabilità condivisa, crea un ambiente in cui i comportamenti sicuri divengono la norma. L’implementazione di solidi controlli tecnici, come l’autenticazione multi-fattore e il principio del minimo privilegio, fornisce livelli alti di protezione. Inoltre, riconoscere e affrontare l’impatto dello stress e dell’affaticamento sulle capacità decisionali del personale è vitale per mantenere una forza lavoro vigile.
Poiché il panorama della cybersecurity continua a evolvere con l’emergere di nuove tecnologie e la diffusione del lavoro da remoto, un approccio proattivo e adattivo alla gestione del rischio umano è fondamentale. Adottando strategie incentrate sulla comprensione del comportamento umano, sulla promozione di una cultura orientata alla sicurezza e sull’empowerment dei dipendenti attraverso formazione e strumenti adeguati, le organizzazioni possono ridurre significativamente la propria superficie di attacco e, in definitiva, trasformare il proprio personale nella più solida linea di difesa nella costante lotta contro il cybercrime.
Autori: Yvette Agostini (Socia AIPSI, Segretario CSA Italia, consulente e formatrice sulla sicurezza digitale) Marco R. A. Bozzetti (Presidente onorario AIPSI, Founder e CEO Malabo Srl)
[1] OAD, Osservatorio Attacchi Digitali in Italia, è l’unica iniziativa in Italia realizzata con una indagine indirizzata a tutte le aziende, di ogni settore merceologico e dimensione, e alle Pubbliche Amministrazioni tramite un questionario on line anonimo con risposte preimpostate. Il questionario è rivolto tipicamente ai Responsabili dei Sistemi Informatici (CIO), agli Amministratori di sistema, ai Responsabili della Sicurezza Informatica (CISO), ai responsabili-gestori della privacy (DPO), alle Terze Parti che gestiscono la sicurezza digitale di loro clienti, e per le piccole e piccolissime organizzazioni ai responsabili di vertice che decidono sul sistema informativo e la sua sicurezza. Tutti i rapporti OAI/OAD pubblicati sono scaricabili gratuitamente dallo specifico sito creato per questa iniziativa, https://www.oadweb.it/.
[2] AIPSI, Associazione Italiana Professionisti Sicurezza Informatica (https://www.aipsi.org/), è l’associazione costituita da sole persone fisiche interessate e/o operanti a qualsiasi livello e ruolo nell’ambito della sicurezza digitale; è no profit e capitolo italiano della mondiale ISSA (https://issa.org/). Obiettivo primario di AIPSI è la crescita professionale e delle competenze dei propri Soci e la promozione e diffusione in Italia della cultura della sicurezza digitale. In tale ottica, oltre ai servizi ed eventi forniti da ISSA, AIPSI fornisce servizi specifici per il contesto italiano: alcuni riservati ai soli Soci, quali mentorship gratuita per la crescita professionale, gruppi di lavoro di approfondimento, network nazionale tra i Soci, sconti su corsi e certificazioni individuali in Italia, altri aperti a tutti gli interessati: convegni e webinar, formazione nelle scuole, oltre all’indagine annuale OAD. AIPSI è Socio di FIDAInform (https://fidainform.it/).
[3] Dal Rapporto OAD 2024: per il più grave attacco rilevato ai propri sistemi web, il 43,1% dei rispondenti ha avuto una interruzione del loro funzionamento tra i 2-3 giorni, e per il 42,2% una interruzione superiore ai 3 giorni. per il più grave attacco ai sistemi ot, il 48,1% dei rispondenti (che utilizza tali sistemi) ha avuto una interruzione del loro funzionamento in locale tra i 2-3 giorni, e per il 33,3% una interruzione in locale superiore ai 3 giorni.
[4] Dal Rapporto OAD 2024: per il più grave attacco ai sistemi web, il 66,3% dei rispondenti ha avuto un impatto significato sul budget e sui costi del sistema informativo, ed il 24,0% sul complessivo bilancio aziendale. per il più grave attacco ai sistemi OT il 64,1% dei rispondenti (che utilizza tali sistemi) ha avuto un impatto significato sul budget e sui costi del sistema informativo, ed il 3,7% sul complessivo bilancio aziendale.
[5] L’utente “privilegiato” è quello con elevati diritti (chiamati anche “privilegi”) per l’accesso e la gestione delle risorse ICT: tipicamente è il CIO (Chief Information Officer), il CISO ((Chief Information Security Officer), l’amministratore di sistemi ICT, il sistemista, il DB Administrator, lo sviluppatore/integratore di software, etc.
[7] L’autenticazione a più fattori è un metodo di sicurezza che richiede agli utenti di fornire più di un fattore di autenticazione per accedere a un account o sistema. Invece di utilizzare solo una password, l’MFA aggiunge un ulteriore livello di protezione richiedendo, ad esempio, un codice inviato tramite SMS, un’impronta digitale o una scansione del volto. Questo rende molto più difficile per gli hacker ottenere l’accesso non autorizzato, anche se riescono a ottenere la password di un utente.
[8] BYOD, Bring Your Own Device. Si veda https://www.ncsc.gov.uk/collection/device-security-guidance/bring-your-own-device
[9] CISA Cybersecurity Table top exercise tips: https://www.cisa.gov/sites/default/files/publications/Cybersecurity-Tabletop-Exercise-Tips_508c.pdf