Ma queste ricorrenze sono state utili? È una domanda sicuramente da porsi soprattutto perché in uno scenario in cui gli attacchi dei cybercriminali non smettono di intensificarsi, utilizzare la tecnologia in modo responsabile resta una delle migliori linee di difesa.
In questa direzione va fatta subito un’importante distinzione: “sapere” e “fare” non sono la stessa cosa. E lo dimostrano alcune statistiche che pur confermando che gli utenti, dipendenti inclusi, sono sempre più informati sulle “buone” procedure da rispettare in tema cyber, mostrano anche che non sempre si preoccupano di applicarle. E ciò anche quando appartengono a generazioni native digitali.
In altre parole, la sola “consapevolezza” non è più sufficiente.
Cosa possono fare quindi le aziende per promuovere un diverso comportamento dei collaboratori in termini di cybersecurity?
Segnali positivi all’orizzonte, ma c’è ancora molta strada da fare
Spesso i CISO si lamentano che la propria organizzazione continua a commettere “gli stessi stupidi errori di 20 anni fa”, ma in realtà alcune ricerche confermano un’evoluzione positiva anche se non generalizzata, almeno lato utenti privati.
Nel 2023 uno studio di Pew Research evidenzia che l’87% degli americani era in grado di identificare la password più sicura in un elenco di quattro. Il 66% sapeva perché esistono i cookie, e quasi la metà sapeva identificare un esempio di autenticazione a due fattori in un gruppo di immagini. Diversamente dal report dell’indagine “SmartBus – La percezione dei rischi e delle opportunità della rete in Italia“ di Huawei e Parole O_Stili emerge che gli italiani possiedono un livello di conoscenza medio-alto degli strumenti digitali e di Internet, ma che anche i più giovani non sono tuttora coscienti dei pericoli che possono arrivare dalla Rete. Il 50% degli studenti intervistati non è in grado di impostare una password sicura o di proteggere le proprie chiavi di accesso e non si preoccupa di scaricare giochi o altri contenuti piratati.
Più confortanti di dati che arrivano dalle aziende. La ricerca “Data Breach Investigations” di Verizon rileva che l’elemento umano (quindi comportamenti come accedere a un collegamento dannoso) nel 2022 era alla base dell’82% delle violazioni a livello mondiale. Nel 2023, la percentuale è scesa al 74% e quest’anno al 68%.
Questi dati sono incoraggianti ma ciò non significa certo che la battaglia sia stata vinta. Prendiamo, per esempio, l’autenticazione a più fattori, un deterrente alle attività criminali pericolose piuttosto semplice da adottare e generalmente efficace. Uno studio del Cyber Readiness Institute del 2022 indicava che il 54% degli MSP non aveva implementato l’autenticazione a più fattori; share che contiamo sarà diminuita in questi due anni, ma comunque rimanendo allarmante.
Lo stesso vale per le password, un altro aspetto fondamentale della sicurezza. Nella guida ai sei errori di cybersecurity da evitare pubblicata quest’anno da Google, il primo posto spetta tuttora all’ utilizzo la medesima parola d’ordine.
La formazione è sufficiente?
Uno degli obiettivi delle attività educational sulla cybersecurity è proprio quello di interrompere queste cattive abitudini, che sarebbe di per sé già un importante passo avanti se – e solo se – gli utenti seguissero le indicazioni ricevute. La National Cybersecurity Alliance, per esempio, segnala come gli utenti più digitali mostrano in realtà i peggiori comportamenti online e subiscono la percentuale più alta di cyberattacchi. Il 43% della Gen Z e il 36% dei millennial ha dichiarato di essere stato vittima di reati informatici, percentuali significativamente più alte rispetto a quelle della silent generation (20%) e dei baby boomer (15%), che ufficialmente non hanno accesso alla formazione sulla sicurezza informatica. Al contempo, i nativi digitali sono due volte più propensi a pensare che la sicurezza non meriti impegno: il 39% degli intervistati più giovani dichiara di essere scoraggiato dalle procedure di sicurezza online e il 37% le trova difficoltose.
È quindi evidente che l’adozione di prassi a tutela della sicurezza informatica rimane un punto dolente per molti utenti, e ciò purtroppo anche all’interno delle organizzazioni. Ciò non toglie che le buone pratiche di igiene informatica sono fondamentali, come lo è che tutti in un’organizzazione ne comprendano la criticità. A questo scopo la formazione è utile e necessaria, ma da sola non basta dal momento che, per cominciare, l’esperienza conferma che il personale quando è coinvolto in un training ha l’obiettivo di terminarlo il più rapidamente possibile per tornare alle proprie mansioni, e alle proprie vecchie abitudini.
Le aziende devono perciò mirare a creare una cultura della sicurezza informatica che includa, ma vada anche oltre, alla formazione facendo tesoro di alcune best practice:
- Informare i dipendenti sulle reali conseguenze di un attacco informatico
L’obiettivo deve essere quello di far percepire che la sicurezza informatica è responsabilità di tutti evidenziando, anche con esempi concreti, come un attacco informatico può mettere in ginocchio l’azienda anche in modo irreversibile arrivando a causare danni tali da bloccarne l’operatività e quindi mettere a rischio anche posti di lavoro. Di fronte a queste allarmanti – ma realistiche – possibilità, l’adozione dell’autenticazione a più fattori o la creazione di una password univoca non sembrerà un compito così arduo.
- Parlare di cybersecurity, ogni giorno
Far entrare la cybersecurity nelle conversazioni quotidiane, nelle riunioni dei team, negli incontri individuali con i manager e nelle assemblee aziendali, è utile a far comprendere che per sfruttare in sicurezza la Rete (e non per limitarne l’impiego!) servono la collaborazione e l’impegno di tutti. Stimolate le domande e incoraggiare la curiosità e i feedback aumenterà ulteriormente il coinvolgimento.
- Dare il buon esempio
Ovviamente i manager, a partire dal top management, e i responsabili IT sono i primi a dover adottare le buone pratiche di sicurezza anche in pubblico. Ad esempio, utilizzare l’autenticazione a due fattori per accedere alle riunioni ogni volta che è possibile o inviare avvisi relativi alle e-mail sospette appena ricevute. Questa tipologia di comportamenti è fondamentale per mostrare come la sicurezza informatica non sia solo un compito del reparto IT, ma una responsabilità condivisa da tutti, dal CEO agli stagisti.
- La tecnologia viene in aiuto
Nonostante gli sforzi, ogni giorno emergeranno nuovi rischi informatici e più insidiosi. La sensibilizzazione alla cybersecurity è quindi un elemento strategico che non può essere focalizzato una tantum, una volta l’anno, ma richiede un costante impegno che può essere però facilitato utilizzando appositi software per automatizzare e pianificare la formazione e per ricordare costantemente ai collaboratori di adottare le buone pratiche consigliate.
Riassumendo, la svolta da abbracciare è considerare la formazione come uno degli elementi chiave di un più ampio sviluppo di una cultura sulla cybersecurity all’interno dell’intera organizzazione, principale condizione alla concreta adozione di comportamenti sicuri da parte di tutti i dipendenti.
di Denis Valter Cassinerio, Senior Director & General Manager South EMEA di Acronis