Human firewall – cos’è e come crearlo in azienda

Human Firewall: le persone diventano guardiani

“Perché in un sistema di attacco da parte di computer utilizziamo un computer per difenderci ed in un sistema di attacco a base di persone non sono invece le persone a difenderci?”

questa la prima frase con cui apre una pubblicazione, molto interessante, “Human Being Firewall”di Muhammad El-Harmeel; frase pienamente condivisibile e soprattutto… VERA

La mancanza di formazione e la scarsa sensibilità da parte del management sui pericoli derivanti dall’inconsapevolezza dei dipendenti è uno dei fattori principali di rischio che va mitigato assolutamente e non può essere trascurato o, peggio, ignorato.


Cos’è quindi lo “Human Firewall”?

Con human firewall si indica una persona che viene educata, istruita e formata per riconoscere gli attacchi che sfruttano la persona e la mancata formazione in termini di sicurezza anziché le falle del sistema informatico; per evitare di cadere nelle trappole degli hacker (normalmente il phishing) e non compromettere il perimetro aziendale di protezione.

Una ditta che investe sulle conoscenze dei dipendenti diminuisce le possibilità di rischio, di perdere i propri dati, ed impedisce che finiscano in mano a criminali che li sfruttano per scopi illeciti (ad esempio il “Lateral Phishing” che potete leggere qui). Un dipendente formato si sentirà più sicuro, e così l’Azienda; meno soggetto ad errori, aumentando la produttività intesa come “attiva” (maggior sicurezza = maggior velocità) che “passiva” (meno errori = meno fermi produzione).

D’altronde l’investimento è prezioso: un dipendente formato e aggiornato renderà maggiore il livello di sicurezza generale della ditta e manterrà intatto il livello di compliance richiesto dalla normativa.


Come creare uno Human Firewall in Azienda

La scelta dell’insegnante è fondamentale: deve essere aggiornato, preparato e attento ai bisogni specifici dell’Azienda e delle persone.

Altrettanto importante è il processo di formazione, che non si conclude con “un corso”, ma è costante ed attento e passa attraverso diverse fasi cicliche, come nel grafico riportato.


  • Policy: dettagliate e chiare, senza eccedere. Ogni persona ha un compito specifico oltre a quello che vogliamo assegnargli, non deve essere oberata, dimenticando i concetti o non applicandoli per la fretta; inoltre i tempi di apprendimento delle persone vanno rispettati;
  • Continuità: spesso si pensa di fare l’aggiornamento dei dipendenti una o due volte l’anno. Purtroppo gli hacker non aspettano così tanto… la formazione, e l’informazione, continua sono indispensabili per essere efficaci;
  • Motivazione: far capire che diventano uno strumento importante, riconoscere il merito per aver scongiurato un attacco, far percepire che non è “un lavoro in più” ma “una sicurezza in più”;
  • Diffusione: bisogna considerare sempre tutti i membri dell’azienda in quanto possibili target dell’attacco, dal centralinista alla direzione, nessuno escluso, perché ogni credenziale è preziosa per gli hacker per dare inizio ad attacchi “persistenti”;
  • Condivisione: quello che impariamo sul campo non deve essere solo nostro, ma potrebbe aiutare gli altri ad evitare un altro problema in un’altra occasione; è necessario che questo sistema venga condiviso tra i partecipanti, che venga fornito uno strumento in cui poter “collezionare” le esperienze perché siano d’aiuto ai colleghi ed ai partner;
  • Sorveglianza: intesa come “accertarsi di aver compreso compiti e procedure”, non basta formare ma bisogna accertarsi che sia stata compresa la lezione; ci sono diversi metodi: simulare un attacco con una campagna di phishing e vedere come reagiscono, effettuare audit interni per verificare le competenze e le procedure, etc;
  • Proattività: per le Aziende più strutturate può essere utile creare un Team costantemente aggiornato e che si dedichi a ricercare le nuove minacce, proporre soluzioni e migliorare gli obbiettivi di formazione, interagendo con la Direzione e i Manager che si occupano dei piani decisionali, per non “aspettare gli attacchi” ma prevenirli.

Nel prossimo episodio vedremo come iniziare una formazione di persone dedicate a formare uno Human Firewall.