▾ G11 Media: | ChannelCity | ImpresaCity | SecurityOpenLab | Italian Channel Awards | Italian Project Awards | Italian Security Awards | ...

Cosa ci ha insegnato il mese della consapevolezza sulla cybersecurity?

Essere a conoscenza delle best practice di sicurezza non significa necessariamente applicarle: ecco perché c’è ancora molto da fare in merito alla consapevolezza sulla cybersecurity.

Tecnologie/Scenari

A partire dal 2004, ottobre è diventato il mese dedicato alla consapevolezza sulla sicurezza informatica, con l’obiettivo di stimolare e sostenere uno sforzo collettivo per aumentare la conoscenza sulle minacce informatiche e aiutare a ridurle. Ottobre 2024 segna quindi il 21° mese dedicato alla cybersecurity awarness. Ma queste ricorrenze sono state utili? È una domanda sicuramente da porsi soprattutto perché in uno scenario in cui gli attacchi dei cybercriminali non smettono di intensificarsi, utilizzare la tecnologia in modo responsabile resta una delle migliori linee di difesa.

In questa direzione va fatta subito un’importante distinzione: “sapere” e “fare” non sono la stessa cosa. E lo dimostrano alcune statistiche che pur confermando che gli utenti, dipendenti inclusi, sono sempre più informati sulle “buone” procedure da rispettare in tema cyber, mostrano anche che non sempre si preoccupano di applicarle. E ciò anche quando appartengono a generazioni native digitali.

In altre parole, la sola “consapevolezza” non è più sufficiente. Cosa possono fare quindi le aziende per promuovere un diverso comportamento dei collaboratori in termini di cybersecurity?


Denis Valter Cassinerio è Senior Director & General Manager South EMEA di AcronisSegnali positivi all’orizzonte, ma c’è ancora molta strada da fare

Spesso i CISO si lamentano che la propria organizzazione continua a commettere “gli stessi stupidi errori di 20 anni fa", ma in realtà alcune ricerche confermano un’evoluzione positiva anche se non generalizzata, almeno lato utenti privati. Nel 2023 uno studio di Pew Research evidenziava che l'87% degli americani era in grado di identificare la password più sicura in un elenco di quattro. Il 66% sapeva perché esistono i cookie, e quasi la metà sapeva identificare un esempio di autenticazione a due fattori in un gruppo di immagini. Diversamente dal report dell’indagine “SmartBus – La percezione dei rischi e delle opportunità della rete in Italia“ di Huawei e Parole O_Stili emerge che gli italiani possiedono un livello di conoscenza medio-alto degli strumenti digitali e di Internet, ma che anche i più giovani non sono tuttora coscienti dei pericoli che possono arrivare dalla Rete. Il 50% degli studenti intervistati non è in grado di impostare una password sicura o di proteggere le proprie chiavi di accesso e non si preoccupa di scaricare giochi o altri contenuti piratati.

Più confortanti di dati che arrivano dalle aziende. La ricerca “Data Breach Investigations” di Verizon rileva che l'elemento umano (quindi comportamenti come accedere a un collegamento dannoso) nel 2022 era alla base dell'82% delle violazioni a livello mondiale. Nel 2023, la percentuale è scesa al 74% e quest’anno al 68%.

Questi dati sono incoraggianti ma ciò non significa certo che la battaglia sia stata vinta. Prendiamo, per esempio, l'autenticazione a più fattori, un deterrente alle attività criminali pericolose piuttosto semplice da adottare e generalmente efficace. Uno studio del Cyber Readiness Institute del 2022 indicava che il 54% degli MSP non aveva implementato l'autenticazione a più fattori; share che contiamo sarà diminuita in questi due anni, ma comunque rimanendo allarmante. Lo stesso vale per le password, un altro aspetto fondamentale della sicurezza. Nella guida ai sei errori di cybersecurity da evitare pubblicata quest’anno da Google, il primo posto spetta tuttora all’ utilizzo la medesima parola d’ordine.

La formazione è sufficiente?

Uno degli obiettivi delle attività educational sulla cybersecurity è proprio quello di interrompere queste cattive abitudini, che sarebbe di per sé già un importante passo avanti se - e solo se - gli utenti seguissero le indicazioni ricevute. La National Cybersecurity Alliance, per esempio, segnala come gli utenti più digitali mostrano in realtà i peggiori comportamenti online e subiscono la percentuale più alta di cyberattacchi. Il 43% della Gen Z e il 36% dei millennial ha dichiarato di essere stato vittima di reati informatici, percentuali significativamente più alte rispetto a quelle della silent generation (20%) e dei baby boomer (15%), che ufficialmente non hanno accesso alla formazione sulla sicurezza informatica. Al contempo, i nativi digitali sono due volte più propensi a pensare che la sicurezza non meriti impegno: il 39% degli intervistati più giovani dichiara di essere scoraggiato dalle procedure di sicurezza online e il 37% le trova difficoltose.

È quindi evidente che l'adozione di prassi a tutela della sicurezza informatica rimane un punto dolente per molti utenti, e ciò purtroppo anche all’interno delle organizzazioni. Ciò non toglie che le buone pratiche di igiene informatica siano fondamentali, come lo è che tutti in un’organizzazione ne comprendano la criticità. A questo scopo la formazione è utile e necessaria, ma da sola non basta dal momento che, per cominciare, l’esperienza conferma che il personale quando è coinvolto in un training ha l’obiettivo di terminarlo il più rapidamente possibile per tornare alle proprie mansioni, e alle proprie vecchie abitudini.

Le aziende devono perciò mirare a creare una cultura della sicurezza informatica che includa, ma vada anche oltre, alla formazione facendo tesoro di alcune best practice:

  • Informare i dipendenti sulle reali conseguenze di un attacco informatico - L’obiettivo deve essere quello di far percepire che la sicurezza informatica è responsabilità di tutti evidenziando, anche con esempi concreti, come un attacco informatico può mettere in ginocchio l’azienda anche in modo irreversibile arrivando a causare danni tali da bloccarne l’operatività e quindi mettere a rischio anche posti di lavoro. Di fronte a queste allarmanti – ma realistiche - possibilità, l'adozione dell'autenticazione a più fattori o la creazione di una password univoca non sembrerà un compito così arduo.
  • Parlare di cybersecurity, ogni giorno - Far entrare la cybersecurity nelle conversazioni quotidiane, nelle riunioni dei team, negli incontri individuali con i manager e nelle assemblee aziendali, è utile a far comprendere che per sfruttare in sicurezza la Rete (e non per limitarne l’impiego!) servono la collaborazione e l'impegno di tutti. Stimolate le domande e incoraggiare la curiosità e i feedback aumenterà ulteriormente il coinvolgimento.
  • Dare il buon esempio - Ovviamente i manager, a partire dal top management, e i responsabili IT sono i primi a dover adottare le buone pratiche di sicurezza anche in pubblico. Ad esempio, utilizzare l'autenticazione a due fattori per accedere alle riunioni ogni volta che è possibile o inviare avvisi relativi alle e-mail sospette appena ricevute. Questa tipologia di comportamenti è fondamentale per mostrare come la sicurezza informatica non sia solo un compito del reparto IT, ma una responsabilità condivisa da tutti, dal CEO agli stagisti.
  • La tecnologia viene in aiuto - Nonostante gli sforzi, ogni giorno emergeranno nuovi rischi informatici e più insidiosi. La sensibilizzazione alla cybersecurity è quindi un elemento strategico che non può essere focalizzato una tantum, una volta l’anno, ma richiede un costante impegno che può essere però facilitato utilizzando appositi software per automatizzare e pianificare la formazione e per ricordare costantemente ai collaboratori di adottare le buone pratiche consigliate.

Riassumendo, la svolta da abbracciare è considerare la formazione come uno degli elementi chiave di un più ampio sviluppo di una cultura sulla cybersecurity all’interno dell’intera organizzazione, principale condizione alla concreta adozione di comportamenti sicuri da parte di tutti i dipendenti.

Denis Valter Cassinerio è Senior Director & General Manager South EMEA di Acronis

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di SecurityOpenLab.it iscriviti alla nostra Newsletter gratuita.
Rimani sempre aggiornato, seguici su Google News! Seguici

Notizie correlate

Speciali Tutti gli speciali

Speciale

Previsioni per la cybersecurity del 2025

Speciale

Digitalizzazione e cybersecurity

Reportage

Cybertech Europe 2024

Speciale

Identity security

Speciale

Infosecurity Europe 2024

Calendario Tutto

Gen 21
Palo Alto Networks Partner Xchange Milano
Gen 23
Nutanix Cloud Day Roadshow - Bari
Giu 05
MSP Day 2025

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter