Questa primavera, a causa della pandemia di coronavirus, molte aziende hanno consentito ai propri dipendenti di lavorare da remoto. Questo cambiamento ha influito sulla sicurezza aziendale e ha contribuito all’aumento degli attacchi basati sul web, del phishing legato al coronavirus e dell’uso di sistemi shadow IT. All’inizio del mese di aprile, per aiutare le aziende a migliorare le competenze dei dipendenti in materia di sicurezza informatica, Kaspersky e Area9 hanno pubblicato un corso di adaptive learning che fornisce le basi in materia di sicurezza e operazioni svolte da remoto pensato per coloro che lavorano da casa.
L’analisi anonima dei risultati sul livello di apprendimento ha rivelato come i dipendenti impegnati a lavorare da remoto sopravvalutino il livello delle proprie conoscenze di base sulla sicurezza informatica. Nel 90% dei casi in cui gli studenti avevano selezionato una risposta sbagliata valutavano la sua correttezza con espressioni come “lo so” o “penso di saperlo”. Questa informazione è emersa grazie alla metodologia adaptive learning che chiedeva agli studenti, non solo di rispondere alle domande del test, ma anche di valutare il loro livello di fiducia nelle risposte date.
Lo studio ha anche identificato gli obiettivi di apprendimento più difficili. Tra questi è emerso che la ragione per la quale si utilizzano le macchine virtuali, sia quella più critica, infatti, il 60% delle risposte su questo argomento erano sbagliate. Mentre il 90% degli intervistati rientra nella categoria “incompetenza inconscia”, ovvero l’estrema convinzione di aver scelto la risposta o l’opzione giusta.
Quando è stato chiesto agli studenti di rispondere alle domande sulle ragioni per cui i dipendenti che lavorano da casa dovrebbero utilizzare le risorse IT aziendali (come la posta e i servizi di messaggistica o il cloud storage), più della metà delle risposte (52%) non erano corrette. L’88% dipendenti pensa di aver risposto correttamente. Quasi la stessa percentuale di errori (50%) è stata commessa quando si sono trovati a dover rispondere ad una domanda su come installare gli aggiornamenti software. In questo caso, una sconcertante maggioranza del 92% di coloro che hanno fornito risposte errate era convinto di avere le competenze necessarie.
“Se i dipendenti non riconoscono le azioni rischiose o il pericolo quando, ad esempio, archiviano documenti sensibili nella memoria personale, è improbabile che chiedano consigli ai reparti IT. È difficile cambiare questo atteggiamento perché si tratta di abitudini consolidate che non consentono di riconoscere i rischi associati. Di conseguenza, l'”incompetenza inconscia” è uno dei problemi più difficili da identificare e risolvere con una formazione sulla sicurezza”, ha commentato Denis Barinov, Head of the Kaspersky Academy.
