sabato, 26 ottobre 2024

Cyber Security

Cyber Security

Cosa ci ha insegnato il mese della consapevolezza sulla cybersecurity?

Cosa ci ha insegnato il mese della consapevolezza sulla cybersecurity?
21/10/2024

A partire dal 2004, ottobre è diventato il mese dedicato alla consapevolezza sulla sicurezza informatica, con l’obiettivo di stimolare e sostenere uno sforzo collettivo per aumentare la conoscenza sulle minacce informatiche e aiutare a ridurle. Ottobre 2024 segna quindi il 21° mese dedicato alla cybersecurity awarness.

Ma queste ricorrenze sono state utili? È una domanda da porsi soprattutto perché in uno scenario in cui gli attacchi dei cybercriminali non smettono di intensificarsi, utilizzare la tecnologia in modo responsabile resta una delle migliori linee di difesa.

In questa direzione, va fatta subito un’importante distinzione: “sapere” e “fare” non sono la stessa cosa. E lo dimostrano alcune statistiche che pur confermando che gli utenti, dipendenti inclusi, sono sempre più informati sulle “buone” procedure da rispettare in tema cyber, mostrano anche che non sempre si preoccupano di applicarle. E ciò anche quando appartengono a generazioni native digitali.

In altre parole, la sola “consapevolezza” non è più sufficiente. Cosa possono fare quindi le aziende per promuovere un diverso comportamento dei collaboratori in termini di cybersecurity?

Segnali positivi all’orizzonte

Spesso i CISO si lamentano che la propria organizzazione continua a commettere “gli stessi stupidi errori di 20 anni fa", ma in realtà alcune ricerche confermano un’evoluzione positiva anche se non generalizzata, almeno lato utenti privati. 

Nel 2023 uno studio di Pew Research evidenzia che l'87% degli americani era in grado di identificare la password più sicura in un elenco di quattro. Il 66% sapeva perché esistono i cookie, e quasi la metà sapeva identificare un esempio di autenticazione a due fattori in un gruppo di immagini. Diversamente dal report dell’indagine “SmartBus – La percezione dei rischi e delle opportunità della rete in Italia“ di Huawei e Parole O_Stili emerge che gli italiani possiedono un livello di conoscenza medio-alto degli strumenti digitali e di Internet, ma che anche i più giovani non sono tuttora coscienti dei pericoli che possono arrivare dalla Rete. Il 50% degli studenti intervistati non è in grado di impostare una password sicura o di proteggere le proprie chiavi di accesso e non si preoccupa di scaricare giochi o altri contenuti piratati.

Più confortanti di dati che arrivano dalle aziende. La ricerca “Data Breach Investigations” di Verizon rileva che l'elemento umano (quindi comportamenti come accedere a un collegamento dannoso) nel 2022 era alla base dell'82% delle violazioni a livello mondiale. Nel 2023, la percentuale è scesa al 74% e quest’anno al 68%.

La "battaglia" è ancora lunga

Questi dati sono incoraggianti ma ciò non significa certo che la battaglia sia stata vinta. Prendiamo, per esempio, l'autenticazione a più fattori, un deterrente alle attività criminali pericolose piuttosto semplice da adottare e generalmente efficace. Uno studio del Cyber Readiness Institute del 2022 indicava che il 54% degli MSP non aveva implementato l'autenticazione a più fattori; share che contiamo sarà diminuita in questi due anni, ma comunque rimanendo allarmante.

Lo stesso vale per le password, un altro aspetto fondamentale della sicurezza. Nella guida ai sei errori di cybersecurity da evitare pubblicata quest’anno da Google, il primo posto spetta tuttora all’ utilizzo la medesima parola d’ordine.

La formazione è sufficiente?

Uno degli obiettivi delle attività educational sulla cybersecurity è proprio quello di interrompere queste cattive abitudini, che sarebbe di per sé già un importante passo avanti se - e solo se - gli utenti seguissero le indicazioni ricevute. La National Cybersecurity Alliance, per esempio, segnala come gli utenti più digitali mostrano in realtà i peggiori comportamenti online e subiscono la percentuale più alta di cyberattacchi. Il 43% della Gen Z e il 36% dei millennial ha dichiarato di essere stato vittima di reati informatici, percentuali significativamente più alte rispetto a quelle della silent generation (20%) e dei baby boomer (15%), che ufficialmente non hanno accesso alla formazione sulla sicurezza informatica. Al contempo, i nativi digitali sono due volte più propensi a pensare che la sicurezza non meriti impegno: il 39% degli intervistati più giovani dichiara di essere scoraggiato dalle procedure di sicurezza online e il 37% le trova difficoltose.

È quindi evidente che l'adozione di prassi a tutela della sicurezza informatica rimane un punto dolente per molti utenti, e ciò purtroppo anche all’interno delle organizzazioni. Ciò non toglie che le buone pratiche di igiene informatica sono fondamentali, come lo è che tutti in un’organizzazione ne comprendano la criticità. A questo scopo la formazione è utile e necessaria, ma da sola non basta dal momento che, per cominciare, l’esperienza conferma che il personale quando è coinvolto in un training ha l’obiettivo di terminarlo il più rapidamente possibile per tornare alle proprie mansioni, e alle proprie vecchie abitudini. 

Le aziende devono perciò mirare a creare una cultura della sicurezza informatica che includa, ma vada anche oltre, alla formazione facendo tesoro di alcune best practice:

• Informare i dipendenti sulle reali conseguenze di un attacco informatico 

• Parlare di cybersecurity, ogni giorno

• Dare il buon esempio - I manager, a partire dal top management, e i responsabili IT sono i primi a dover adottare le buone pratiche di sicurezza anche in pubblico.  

• La tecnologia viene in aiuto - Nonostante gli sforzi, ogni giorno emergeranno nuovi rischi informatici e più insidiosi. La sensibilizzazione alla cybersecurity è quindi un elemento strategico che non può essere focalizzato una tantum, una volta l’anno, ma richiede un costante impegno che può essere però facilitato utilizzando appositi software per automatizzare e pianificare la formazione e per ricordare costantemente ai collaboratori di adottare le buone pratiche consigliate.

Riassumendo, la svolta da abbracciare è considerare la formazione come uno degli elementi chiave di un più ampio sviluppo di una cultura sulla cybersecurity all’interno dell’intera organizzazione, principale condizione alla concreta adozione di comportamenti sicuri da parte di tutti i dipendenti.

Testo di Denis Valter Cassinerio (in foto), Senior Director & General Manager South EMEA di Acronis


maggiori informazioni su:
www.acronis.com


Tag:   Acronis Denis Valter Cassinerio attacchi informatici cybersecurity awarness intelligenza artificiale formazione

Tutte le news

APP for Security per la videosorveglianza

Sicurezza Urbana

Presenza

Costruire la Smart City

Necessità e approcci per l'innovazione nelle infrastrutture critiche della città futura

  • Torino, Giovedì 14 novembre
 Presenza

Videosorveglianza, Privacy e Polizia Locale

Tecnologia, applicazioni reali, impatto privacy, intelligenza artificiale

  • Busto Arsizio (VA)
    Venerdì 15 novembre

Preparazione alla Certificazione

Ethos Academy

Corsi in programmazione riconosciuti per il mantenimento e la preparazione alla certificazione TÜV Italia

Webinar
La Norma CEI 64-8

Cybersecurity

Webinar

Ethos Academy

La cybersicurezza dei sistemi di videosorveglianza
Corso riconosciuto da TÜV Italia
Secsolution
Il podcast

Scenari, tecnologia e formazione sulla sicurezza in formato audio
Video virtual tour offre l'opportunità di entrare nel cuore dell'azienda.

Un'immersione a 360 gradi nella realtà dell'azienda