wp-statistics
domain was triggered too early. This is usually an indicator for some code in the plugin or theme running too early. Translations should be loaded at the init
action or later. Please see Debugging in WordPress for more information. (This message was added in version 6.7.0.) in /home2/fasternet/blog.fasternet.it/wp-includes/functions.php on line 6114
Qualche anno fa, i dati dell’Information Commissioner’s Office (ICO) inglese rivelarono non soltanto un notevole incremento nella quantità dei data breach, ma soprattutto che solo il 12% fosse il risultato di attacchi intenzionali. L’88% era dovuto a errori umani, dall’invio dell’e-mail al destinatario sbagliato allo smarrimento di documentazione cartacea fino alla memorizzazione dei dati in ambienti non sicuri come gli smartphone o sprovvisti di protezioni all’accesso.
Se rivolgiamo l’attenzione agli attacchi informatici, anche qui la componente umana ha un ruolo. Il Rapporto Clusit 2023 sostiene infatti che gli attacchi più sofisticati, basati su componenti 0-day, sono solamente la punta dell’iceberg: Malware, Phishing, Social Engineering e Vulnerabilità sono le tecniche più adottate e dimostrano quanto le aziende – ma anche le singole persone – non aggiornino i propri sistemi, non gestiscano con cura i propri account e non mostrino un giusto livello di diffidenza nei confronti di contenuti sospetti.
A rafforzare ulteriormente il concetto ci pensa lo State of Phish 2023 di Proofpoint, secondo cui il 44% delle persone ritiene che le e-mail siano sicure se basate su un branding familiare; inoltre, secondo la ricerca 1/3 degli intervistati ha intrapreso un’azione pericolosa di fronte a un attacco di Phishing. Il tutto all’interno di un contesto in cui solo il 56% delle organizzazioni è impegnata in programmi di Security Awareness.
Per proteggere un’azienda dalle crescenti minacce cyber e non andare incontro a danni economici e reputazionali, è necessario adottare un approccio sistemico. Ciò richiede l’implementazione di sistemi e tecnologie di protezione sempre più sofisticate, ma è parimenti importante sviluppare una cultura della sicurezza che faccia dei dipendenti la prima linea invalicabile di difesa. Ciò può essere raggiunto attraverso attività di formazione volte a creare consapevolezza (awareness) su:
I percorsi di security awareness mirano specificamente a sviluppare una cultura della sicurezza che vada a integrarsi con le misure di sicurezza tecnologiche, creando così una barriera impermeabile. L’esempio del phishing è eloquente: le tecnologie di monitoraggio integrate nei client di posta potrebbero rilevare anche il 90% delle e-mail malevole, ma il 10% residuo va contrastato con conoscenze adeguate e comportamenti virtuosi da parte delle persone.
Poco più della metà delle aziende (56%) è impegnata in percorsi di security awareness. Questa percentuale è relativamente bassa, e a ciò si aggiunge il fatto che non tutte le strutture sono in grado di organizzare percorsi efficaci.
Il problema principale è la resistenza degli utenti finali: non tutti ritengono di avere il tempo necessario per questa formazione, alcuni la trovano troppo tecnica, mentre altri semplicemente non sono interessati. Di conseguenza, la tradizionale organizzazione di corsi periodici in aula raramente porta a risultati apprezzabili.
Per creare un percorso efficace, le aziende si devono concentrare sull’engagement degli utenti. In altri termini, devono creare attività – supportate da apposite piattaforme tecnologiche – che si integrino perfettamente nelle dinamiche lavorative tradizionali e mirino a coinvolgere attivamente gli utenti, rendendoli parte di un percorso di crescita della consapevolezza. Tra i pilastri troviamo:
Investire in security awareness è dunque essenziale per creare una cultura della sicurezza che possa sostenere l’impresa nel suo percorso di crescita, minimizzando i rischi cui essa è nativamente soggetta. Importante, però, è farlo nel modo giusto.