La superficie di attacco umano è la totalità di tutte le falle di sicurezza sfruttabili all'interno di un'organizzazione che vengono create attraverso le attività e le vulnerabilità del personale. Gli elementi della superficie di attacco umano di un'organizzazione includono negligenza, errori, malattie, morte, minacce interne e suscettibilità all'ingegneria sociale.
L'ingegneria sociale è una minaccia così grave e pervasiva per la sicurezza aziendale da essere spesso considerata come una superficie di attacco a sé stante. La superficie di attacco dell'ingegneria sociale include un'ampia varietà di tecniche tra cui phishing, esca con media infestati da malware e azioni semplici come seguire una persona autorizzata attraverso una porta in un'area sicura. Per proteggere un'organizzazione dall'ingegneria sociale, i dipendenti dovrebbero essere addestrati a riconoscere le tattiche comuni utilizzate ed esortati a diffidare di qualsiasi attività che potrebbe essere tentata exploit. I test di penetrazione dovrebbero essere condotti regolarmente per simulare attacchi di ingegneria sociale e rilevare eventuali aree in cui i dipendenti rimangono vulnerabili.
La negligenza e l'errore dei dipendenti richiedono una vigilanza simile. Gli sforzi per prevenire gli errori includono garantire che i dipendenti siano adeguatamente formati per i loro compiti e che abbiano le risorse disponibili per svolgere a un livello accettabile. Il superlavoro e lo stress professionale possono portare a burnout e aumenti sia di errori che di negligenza. Per proteggerli, è opportuno evitare, ove possibile, un orario di lavoro eccessivo e promuovere e favorire l'equilibrio tra vita privata e lavoro attraverso iniziative sul posto di lavoro.
La malattia e la morte dei dipendenti possono rendere un'organizzazione vulnerabile se questi individui possiedono competenze e conoscenze uniche. Per mitigare l'impatto, un'organizzazione dovrebbe disporre di programmi per tali individui per fare da mentore ad altri dipendenti.
Sebbene le minacce interne siano decisamente meno comuni di altri elementi della superficie di attacco umano, qualsiasi incidente può causare danni significativi. La protezione contro le minacce interne include misure di sicurezza familiari: più programmi di scansione spyware, programmi antivirus, firewall e una rigorosa routine di backup e archiviazione dei dati. Inoltre, è importante garantire un'adeguata supervisione dei dipendenti e controlli rigorosi sui privilegi.