Essere a conoscenza delle best practice di sicurezza non significa necessariamente applicarle: ecco perché c’è ancora molto da fare in merito alla consapevolezza sulla cybersecurity.
A partire dal 2004, ottobre è diventato il mese dedicato alla consapevolezza sulla sicurezza informatica, con l’obiettivo di stimolare e sostenere uno sforzo collettivo per aumentare la conoscenza sulle minacce informatiche e aiutare a ridurle. Ottobre 2024 segna quindi il 21° mese dedicato alla cybersecurity awarness. Ma queste ricorrenze sono state utili? È una domanda sicuramente da porsi soprattutto perché in uno scenario in cui gli attacchi dei cybercriminali non smettono di intensificarsi, utilizzare la tecnologia in modo responsabile resta una delle migliori linee di difesa.
In questa direzione va fatta subito un’importante distinzione: “sapere” e “fare” non sono la stessa cosa. E lo dimostrano alcune statistiche che pur confermando che gli utenti, dipendenti inclusi, sono sempre più informati sulle “buone” procedure da rispettare in tema cyber, mostrano anche che non sempre si preoccupano di applicarle. E ciò anche quando appartengono a generazioni native digitali.
In altre parole, la sola “consapevolezza” non è più sufficiente. Cosa possono fare quindi le aziende per promuovere un diverso comportamento dei collaboratori in termini di cybersecurity?
Spesso i CISO si lamentano che la propria organizzazione continua a commettere “gli stessi stupidi errori di 20 anni fa", ma in realtà alcune ricerche confermano un’evoluzione positiva anche se non generalizzata, almeno lato utenti privati. Nel 2023 uno studio di Pew Research evidenziava che l'87% degli americani era in grado di identificare la password più sicura in un elenco di quattro. Il 66% sapeva perché esistono i cookie, e quasi la metà sapeva identificare un esempio di autenticazione a due fattori in un gruppo di immagini. Diversamente dal report dell’indagine “SmartBus – La percezione dei rischi e delle opportunità della rete in Italia“ di Huawei e Parole O_Stili emerge che gli italiani possiedono un livello di conoscenza medio-alto degli strumenti digitali e di Internet, ma che anche i più giovani non sono tuttora coscienti dei pericoli che possono arrivare dalla Rete. Il 50% degli studenti intervistati non è in grado di impostare una password sicura o di proteggere le proprie chiavi di accesso e non si preoccupa di scaricare giochi o altri contenuti piratati.
Più confortanti di dati che arrivano dalle aziende. La ricerca “Data Breach Investigations” di Verizon rileva che l'elemento umano (quindi comportamenti come accedere a un collegamento dannoso) nel 2022 era alla base dell'82% delle violazioni a livello mondiale. Nel 2023, la percentuale è scesa al 74% e quest’anno al 68%.
Questi dati sono incoraggianti ma ciò non significa certo che la battaglia sia stata vinta. Prendiamo, per esempio, l'autenticazione a più fattori, un deterrente alle attività criminali pericolose piuttosto semplice da adottare e generalmente efficace. Uno studio del Cyber Readiness Institute del 2022 indicava che il 54% degli MSP non aveva implementato l'autenticazione a più fattori; share che contiamo sarà diminuita in questi due anni, ma comunque rimanendo allarmante. Lo stesso vale per le password, un altro aspetto fondamentale della sicurezza. Nella guida ai sei errori di cybersecurity da evitare pubblicata quest’anno da Google, il primo posto spetta tuttora all’ utilizzo la medesima parola d’ordine.
Uno degli obiettivi delle attività educational sulla cybersecurity è proprio quello di interrompere queste cattive abitudini, che sarebbe di per sé già un importante passo avanti se - e solo se - gli utenti seguissero le indicazioni ricevute. La National Cybersecurity Alliance, per esempio, segnala come gli utenti più digitali mostrano in realtà i peggiori comportamenti online e subiscono la percentuale più alta di cyberattacchi. Il 43% della Gen Z e il 36% dei millennial ha dichiarato di essere stato vittima di reati informatici, percentuali significativamente più alte rispetto a quelle della silent generation (20%) e dei baby boomer (15%), che ufficialmente non hanno accesso alla formazione sulla sicurezza informatica. Al contempo, i nativi digitali sono due volte più propensi a pensare che la sicurezza non meriti impegno: il 39% degli intervistati più giovani dichiara di essere scoraggiato dalle procedure di sicurezza online e il 37% le trova difficoltose.
È quindi evidente che l'adozione di prassi a tutela della sicurezza informatica rimane un punto dolente per molti utenti, e ciò purtroppo anche all’interno delle organizzazioni. Ciò non toglie che le buone pratiche di igiene informatica siano fondamentali, come lo è che tutti in un’organizzazione ne comprendano la criticità. A questo scopo la formazione è utile e necessaria, ma da sola non basta dal momento che, per cominciare, l’esperienza conferma che il personale quando è coinvolto in un training ha l’obiettivo di terminarlo il più rapidamente possibile per tornare alle proprie mansioni, e alle proprie vecchie abitudini.
Le aziende devono perciò mirare a creare una cultura della sicurezza informatica che includa, ma vada anche oltre, alla formazione facendo tesoro di alcune best practice:
Riassumendo, la svolta da abbracciare è considerare la formazione come uno degli elementi chiave di un più ampio sviluppo di una cultura sulla cybersecurity all’interno dell’intera organizzazione, principale condizione alla concreta adozione di comportamenti sicuri da parte di tutti i dipendenti.
Denis Valter Cassinerio è Senior Director & General Manager South EMEA di Acronis