Mimecast Logo
Richiedi un preventivo
    Approfondimenti sulla Cyber Resilience
    Tutti gli argomenti
    Email and Collaboration Threat Protection
    Insider Risk Management
    Security Awareness Training
    Data Compliance and Governance
    Threat Intelligence
    Security Awareness Training

    Come misurare l'Human Risk: 7 metriche chiave

    Scopra le 7 metriche essenziali che i CISO utilizzano per misurare e quantificare il rischio umano. Ottenga dei quadri operativi per valutare le minacce informatiche e ridurre l'esposizione con strategie di misurazione comprovate.

    by Andrew Williams

    Key Points

    • Il rischio umano rappresenta il 95%+ delle violazioni della sicurezza, rendendo la misurazione fondamentale per la protezione delle organizzazioni.
    • I CISO hanno bisogno di una chiara visibilità dei livelli di esposizione al rischio e dell'efficacia della difesa prima di implementare le soluzioni.
    • Sette metriche chiave forniscono una visione completa dei rischi informatici legati ai dipendenti in tutta la sua organizzazione.
    • La piattaforma di Mimecast offre visibilità in tempo reale, approfondimenti comportamentali e interventi adattivi per ridurre il rischio umano.

    Comprendere l'Human Risk nella cybersecurity

    Il rischio umano nella cybersecurity si riferisce al potenziale dei comportamenti dei dipendenti di aumentare la probabilità di una violazione della sicurezza o di un fallimento della compliance. Mentre le organizzazioni investono molto nei controlli tecnici di sicurezza, l'elemento umano rimane il componente più imprevedibile e vulnerabile di qualsiasi strategia di sicurezza.

    Le ricerche dimostrano costantemente che l'errore umano è coinvolto in oltre il 95% dei cyberattacchi riusciti. Che si tratti di cliccare su un link dannoso, di cadere vittima del social engineering o di condividere inavvertitamente informazioni sensibili, le azioni dei dipendenti spesso forniscono il punto di ingresso di cui i criminali informatici hanno bisogno per compromettere i sistemi e i dati dell'organizzazione.

    La sfida della misurazione per i CISO

    Prima di implementare qualsiasi programma di gestione del rischio umano, i CISO devono innanzitutto valutare l'esposizione complessiva al rischio informatico della loro organizzazione. Ciò significa capire non solo quali minacce esistono, ma anche se le difese attuali coprono adeguatamente l'esposizione. Soprattutto, i leader della sicurezza devono stabilire in che modo sanno che il rischio umano viene gestito in modo efficace.

    La formazione tradizionale di sensibilizzazione alla sicurezza spesso fornisce solo metriche di completamento, lasciando i CISO incapaci di quantificare la riduzione del rischio che otterrebbero aumentando gli investimenti nei programmi di sensibilizzazione. Senza un adeguato quadro di misurazione, è impossibile dimostrare il valore aziendale delle iniziative sui rischi umani o identificare i punti in cui gli interventi sono più necessari.

    La piattaforma completa di Mimecast affronta questa sfida fornendo una visibilità in tempo reale del comportamento umano, metriche di rischio quantificabili e una formazione adattiva che risponde alle reali esigenze degli utenti. Correlando i dati comportamentali attraverso i canali di comunicazione e collegandoli all'intelligence sulle minacce, le organizzazioni possono finalmente misurare e gestire in modo efficace la loro superficie di rischio umano.

    Rapporto sull'intelligence globale delle minacce 2025

    Esplori le ultime minacce informatiche globali, scopra i principali eventi che influenzeranno la cybersecurity nel 2025 e acquisisca informazioni utili per rafforzare le sue difese.
    Ottieni il report

    1. Comportamenti a rischio osservabili e loro schemi

    La base della misurazione del rischio umano consiste nell'identificare e tracciare i comportamenti rischiosi osservabili all'interno della sua organizzazione. Andando oltre i test di phishing simulati, le organizzazioni hanno bisogno di visibilità sulle azioni reali che le espongono alle minacce informatiche.

    I comportamenti chiave da monitorare includono:

    • Interazioni con le e-mail di phishing: Monitorare i tentativi di phishing reali e simulati, tracciando non solo i clic, ma anche il modo in cui gli utenti interagiscono con i messaggi sospetti.
    • Utilizzo dello Shadow IT: Identificare le applicazioni e i servizi non autorizzati che i dipendenti utilizzano senza l'approvazione dell'IT.
    • Pratiche di gestione dei dati: Traccia comportamenti come l'inoltro di e-mail sensibili ad account personali o il caricamento di file riservati su servizi cloud non autorizzati.
    • Azioni rischiose ripetute: Si concentri su piccole coorti di utenti che si impegnano costantemente in comportamenti ad alto rischio su più canali.

    Lo schema più preoccupante emerge spesso quando gli stessi dipendenti assumono ripetutamente comportamenti a rischio. Le ricerche dimostrano che una piccola percentuale di utenti è in genere responsabile di una quantità sproporzionata di rischi organizzativi. La piattaforma di Mimecast eccelle nel correlare questi comportamenti tra diversi strumenti e canali di comunicazione, fornendo una visione completa di come le azioni individuali contribuiscono all'esposizione complessiva dell'organizzazione.

    Piuttosto che trattare ogni incidente in modo isolato, una misurazione efficace richiede la comprensione dei modelli comportamentali nel tempo. Questa visione longitudinale aiuta a identificare se i comportamenti a rischio sono incidenti isolati o indicativi di problemi più ampi di cultura della sicurezza che richiedono un intervento mirato.

    2. Profili di rischio dei singoli utenti ed esposizione agli attacchi

    Non tutti i dipendenti affrontano lo stesso livello di rischio informatico. I dirigenti, gli appaltatori e il personale di prima linea hanno profili di rischio diversi in base ai loro ruoli, ai livelli di accesso e all'attrattiva per gli aggressori. Una misurazione efficace del rischio umano richiede la costruzione di punteggi di rischio dinamici e personalizzati che riflettano queste differenze individuali.

    I fattori critici da misurare includono:

    • Volume e frequenza degli attacchi: Tenga traccia della frequenza con cui determinati utenti vengono presi di mira da attacchi di phishing, social engineering o altro.
    • Suscettibilità basata sui ruoli: Valutare il rischio in base al reparto, all'anzianità e alla posizione, poiché i dipendenti più giovani spesso non sono consapevoli della sicurezza, mentre i dirigenti devono affrontare attacchi più sofisticati.
    • Tendenze del punteggio di rischio: Monitorare come i livelli di rischio individuali cambiano nel tempo in risposta alla formazione, ai cambiamenti di ruolo o a fattori esterni.

    La piattaforma di Mimecast costruisce questi profili di rischio dinamici utilizzando una combinazione di dati sull'esposizione alle minacce e di telemetria comportamentale. Ad esempio, un CFO che riceve numerosi tentativi di compromissione delle business email e che occasionalmente clicca su link sospetti, riceverebbe un punteggio di rischio più alto di uno sviluppatore junior che riceve raramente targeted attack.

    L'intuizione chiave è che il rischio non è statico. Il profilo di rischio di un dipendente può cambiare rapidamente in base a fattori come il cambiamento del ruolo lavorativo, l'aumento degli attacchi mirati o le circostanze personali che influenzano il suo processo decisionale. La valutazione e la regolazione regolare dei punteggi di rischio individuali assicura che gli interventi di sicurezza siano rivolti alle persone giuste al momento giusto.

    3. Livelli di accesso ai dati e ai sistemi critici

    L'equazione del rischio cambia radicalmente quando i dipendenti che hanno accesso a dati sensibili o a sistemi critici adottano comportamenti rischiosi. Un dipendente giovane che clicca su un link di phishing è preoccupante; un amministratore di database che adotta lo stesso comportamento rappresenta un rischio esponenzialmente più elevato per l'organizzazione.

    Le metriche essenziali relative all'accesso includono:

    • Esposizione ad asset critici: mappa in cui i dipendenti hanno accesso a informazioni di identificazione personale (PII), proprietà intellettuale, codice sorgente o sistemi finanziari.
    • Comportamento degli utenti privilegiati: Traccia la frequenza e i tipi di azioni rischiose intraprese dagli utenti con diritti di accesso elevati.
    • Analisi delle intersezioni: Identificare i punti in cui un alto rischio comportamentale si sovrappone a privilegi di accesso elevati.

    Gli approcci tradizionali alla sicurezza spesso trattano la gestione degli accessi e il rischio comportamentale come questioni separate. Tuttavia, la misurazione del rischio umano più efficace combina queste prospettive per identificare i dipendenti che rappresentano il maggiore impatto potenziale sulla sicurezza organizzativa.

    La capacità di Mimecast di integrare i dati contestuali sui livelli di accesso con le osservazioni comportamentali in tempo reale offre ai team di sicurezza la visibilità necessaria per dare priorità ai loro sforzi di risposta. Quando un utente privilegiato mostra un comportamento preoccupante, la piattaforma può attivare automaticamente protocolli di monitoraggio o di intervento aggiuntivi.

    Aiutiamo a mitigare le minacce in evoluzione, dall'ingegneria sociale e dalle minacce interne all'errore umano, prima che il danno sia fatto. Scopra di più su come può ottenere una visibilità in tempo reale sui comportamenti a rischio nei canali di posta elettronica e di collaborazione.


    Provi la nostra piattaforma integrata di Human Risk Management →

    4. Efficacia della formazione e degli interventi di sensibilizzazione alla sicurezza

    I programmi tradizionali di formazione sulla sicurezza forniscono tassi di completamento e punteggi dei test, ma queste metriche non rispondono alla domanda fondamentale: la formazione sta effettivamente cambiando il comportamento e riducendo il rischio?

    Le metriche di efficacia formativa significative si concentrano su:

    • Miglioramenti comportamentali post formazione: Misurare i cambiamenti effettivi del comportamento dopo gli interventi di formazione, non solo la conservazione delle conoscenze.
    • Riduzione delle azioni rischiose ripetute: Traccia se gli utenti smettono di intraprendere gli stessi comportamenti a rischio dopo una formazione mirata.
    • Risposta agli interventi in tempo reale: Valutare l'efficacia della risposta degli utenti ai suggerimenti e ai microinterventi just-in-time durante le situazioni di rischio reali.

    La limitazione delle metriche tradizionali di completamento della formazione diventa chiara se si considera che i CISO non possono quantificare la riduzione del rischio che otterrebbero aumentando la spesa per i programmi di formazione di sensibilizzazione. Senza la misurazione dei risultati comportamentali, è impossibile dimostrare il ROI o razionalizzare gli investimenti in formazione.

    La piattaforma di Mimecast affronta questa lacuna offrendo una formazione contestualizzata, just-in-time, che risponde al comportamento effettivo dell'utente. Quando un utente clicca su un link sospetto, riceve una formazione immediata e pertinente, anziché un contenuto di sensibilizzazione generico. Questo approccio consente di misurare l'effettivo cambiamento del comportamento, piuttosto che il semplice completamento della formazione.

    Il vantaggio delle politiche adattive

    Le politiche adattive migliorano il rilevamento del rischio umano, adattando le misure di sicurezza al comportamento, al profilo di rischio e all'esposizione alle minacce di un individuo, invece di applicare una formazione uniforme in tutta l'organizzazione. Questo metodo consente ai team di sicurezza di fornire interventi precisi per gli utenti ad alto rischio e di alleggerire le restrizioni per gli individui a basso rischio, ottimizzando l'allocazione delle risorse e migliorando l'efficacia complessiva. 

    La gestione dei dati sensibili e i dati sul rischio di identità sono componenti critici di questo approccio adattivo. Integrando soluzioni come Incydr per monitorare la gestione dei dati sensibili e soluzioni di terze parti come Entra per il rischio di identità, le organizzazioni ottengono una visibilità più profonda sui comportamenti degli utenti. Per esempio, gli avvisi di Incydr attivati dall'uso improprio o dalla condivisione non autorizzata di file sensibili contribuiscono direttamente a profili di rischio completi. Queste integrazioni assicurano che le politiche adattive siano informate da fonti di dati diversificate e fruibili, consentendo risposte su misura ai rischi in evoluzione. 

    Le ricerche dimostrano che una formazione mirata riduce i tassi di clic sul phishing fino al 25% tra gli utenti ad alto rischio. Inoltre, l'aggregazione di dati provenienti da fonti come il comportamento delle e-mail, i movimenti di dati sensibili, i modelli di accesso e le interazioni di phishing fornisce una visibilità senza pari sul rischio umano dell'organizzazione. Questa metodologia data-driven supporta la misurazione e la mitigazione precisa del rischio, consentendo al contempo risposte di sicurezza automatizzate per gestire in modo proattivo le minacce su scala.

    5. Visibilità e contesto attraverso i canali di comunicazione

    Le organizzazioni moderne comunicano su più piattaforme, e-mail, Slack, Microsoft Teams, Zoom e altre. Tuttavia, la maggior parte delle soluzioni di sicurezza fornisce visibilità su un solo canale, creando pericolosi punti ciechi nella valutazione del rischio umano.

    La visibilità completa richiede la misurazione:

    • Indicatori comportamentali multipiattaforma: Traccia le azioni degli utenti su tutti i canali di comunicazione per identificare modelli coerenti.
    • Analisi contestuale dei messaggi: Monitorare non solo ciò che gli utenti ricevono, ma anche il contesto del messaggio, come le modifiche, le cancellazioni e i modelli di inoltro.
    • Vulnerabilità specifiche del canale: Identificare le lacune di sicurezza che esistono tra i diversi strumenti di comunicazione.

    I sistemi di sicurezza scollegati creano scenari in cui un utente può apparire a basso rischio nel monitoraggio delle e-mail, mentre si impegna in comportamenti ad alto rischio sulle piattaforme di collaborazione. Questa visione frammentata impedisce alle organizzazioni di comprendere la loro reale esposizione al rischio umano.

    Mimecast centralizza gli insight di comunicazione su più canali, fornendo ai team di sicurezza una visione unified del comportamento umano. Questa visibilità completa rivela modelli di rischio che sarebbero invisibili monitorando le singole piattaforme in modo isolato.

    6. Impatto delle minacce esterne e sofisticazione degli attacchi

    Il rischio umano non esiste nel vuoto, ma deve essere misurato nel contesto delle minacce reali. Poiché gli aggressori sfruttano l'intelligenza artificiale per creare e-mail di phishing, deepfakes e attacchi di social engineering sempre più sofisticati, la valutazione del rischio umano deve tenere conto di queste dinamiche in evoluzione.

    I fattori esterni chiave da misurare includono:

    • Le risposte dei dipendenti alle nuove minacce: Traccia la reazione degli utenti alle nuove tecniche di attacco, come il phishing con codice QR, i contenuti generati dall'intelligenza artificiale o i sofisticati tentativi di compromissione delle business email.
    • Tendenze di sofisticazione degli attacchi: Monitorare la complessità e la personalizzazione delle minacce che colpiscono la sua organizzazione.
    • Allineamento minaccia-vulnerabilità: Valutare quanto le tendenze attuali degli attacchi si allineano con le vulnerabilità umane della sua organizzazione.

    L'emergere di minacce generate dall'AI cambia radicalmente l'equazione del rischio umano. " I programmi di formazione tradizionali, che si concentrano sull'identificazione delle e-mail "ovviamente sospette, diventano meno efficaci quando gli aggressori possono generare imitazioni quasi perfette di comunicazioni legittime.

    L'integrazione di Mimecast dell'intelligence sulle minacce in tempo reale con il risk scoring umano garantisce che le valutazioni del rischio riflettano la realtà attuale degli attacchi. Quando emergono nuove tecniche di minaccia, la piattaforma adatta automaticamente i calcoli del rischio per tenere conto di queste sfide in evoluzione.

    7. Requisiti di conformità e governance

    I quadri normativi come il GDPR, l'HIPAA e il PCI DSS non richiedono solo controlli tecnici di sicurezza, ma anche la supervisione del comportamento umano che potrebbe portare a violazioni della conformità. Molte organizzazioni scoprono le loro lacune di compliance solo dopo che si verifica un incidente.

    Le metriche critiche relative alla conformità includono:

    • Violazioni delle politiche nella comunicazione: Traccia i casi in cui i dipendenti violano le politiche di gestione dei dati attraverso le piattaforme di comunicazione.
    • Predisposizione all'audit: Mantenere registri completi e verificabili dei dati sul rischio degli utenti e degli sforzi di intervento.
    • Lacune nel flusso di lavoro della governance: Identificare le aree in cui il comportamento umano crea rischi di conformità che non sono affrontati dai processi attuali.

    Il costo delle mancanze di conformità va ben oltre le multe previste dalla normativa. Le organizzazioni rischiano di subire danni alla reputazione, responsabilità legali e perdita di fiducia da parte dei clienti quando l'errore umano porta a violazioni dei dati o della privacy.

    La piattaforma di Mimecast supporta le metriche di rischio verificabili e la gestione dei dati su tutti i canali di comunicazione, aiutando le organizzazioni a dimostrare la conformità ai requisiti normativi e identificando in modo proattivo le potenziali violazioni prima che diventino incidenti.

    Pensiero finale: Human Risk è un rischio aziendale

    La misurazione del rischio umano non è solo un'iniziativa di cybersecurity, ma una capacità aziendale critica che influisce su ogni aspetto delle operazioni organizzative. Dalla protezione della proprietà intellettuale al mantenimento della fiducia dei clienti, la gestione del rischio umano tocca tutti gli stakeholder dell'organizzazione.

    Il principio fondamentale rimane semplice: I leader dell'IT e della compliance non possono gestire ciò che non misurano, e non possono misurare ciò che non vedono. Gli approcci tradizionali che si concentrano su singoli strumenti di sicurezza o su programmi di formazione isolati non riescono a fornire la visibilità completa di cui le organizzazioni moderne hanno bisogno.

    L'investimento in una piattaforma centralizzata come Mimecast unifica la visibilità del rischio su tutti i canali di comunicazione, consente interventi basati sui dati e fornisce le metriche di cui i leader aziendali hanno bisogno per prendere decisioni informate sulla sicurezza. Implementando una misurazione completa del rischio umano, le organizzazioni possono finalmente passare da una risposta reattiva agli incidenti a una gestione proattiva del rischio.

    Le sette metriche delineate in questo articolo forniscono un quadro per comprendere e quantificare il rischio umano, ma un'implementazione di successo richiede gli strumenti e le piattaforme giuste per raccogliere, analizzare e agire su questi dati. Poiché le minacce informatiche continuano ad evolversi e a prendere di mira le vulnerabilità umane, le organizzazioni che investono nella misurazione completa del rischio umano saranno meglio posizionate per proteggere i loro beni, soddisfare gli obblighi di conformità e mantenere la continuità aziendale in un panorama digitale sempre più pericoloso.

    Related Articles

    Security Awareness Training
    Semplificare le strategie di cybersecurity: Il ruolo dell'Human Risk Management
    Security Awareness Training
    Riassunto dei rischi per gli esseri umani: Bombe via e-mail, attacchi basati sul browser e aziende di droni
    Security Awareness Training
    Human Risk Roundup: Un worm autoreplicante, un arresto nel Regno Unito e un allarme per un account Facebook

    Si abboni a Cyber Resilience Insights per altri articoli come questi.

    Riceva tutte le ultime notizie e le analisi del settore della cybersecurity direttamente nella sua casella di posta elettronica.

    Iscriviti con successo

    Grazie per essersi iscritto per ricevere gli aggiornamenti del nostro blog

    Ci terremo in contatto!

    Back to Top