Ottobre mese della cybersecurity awarness: ricorrenza ancora utile?

L'adozione di prassi a tutela della sicurezza rimane ancora un punto dolente per molti utenti.

cybersecurity

Secondo Denis Valter Cassinerio, Senior Director & General Manager South Emea di Acronis, per le aziende essere consapevoli sulla cybersecurity non basta, bisogna promuovere un diverso comportamento dei collaboratori.

A partire dal 2004, ottobre è diventato il mese dedicato alla consapevolezza sulla sicurezza informatica. Obiettivo quello di stimolare e sostenere uno sforzo collettivo per aumentare la conoscenza sulle minacce informatiche e aiutare a ridurle. Ottobre 2024 segna quindi il 21° mese dedicato alla cybersecurity awarness. Ma queste ricorrenze sono state utili? È una domanda sicuramente da porsi. Soprattutto perché in uno scenario in cui gli attacchi dei cybercriminali non smettono di intensificarsi, utilizzare la tecnologia in modo responsabile resta una delle migliori linee di difesa.

Procedure non sempre applicate

In questa direzione va fatta subito un’importante distinzione: “sapere” e “fare” non sono la stessa cosa. E lo dimostrano alcune statistiche che pur confermando che gli utenti, dipendenti inclusi, sono sempre più informati sulle “buone” procedure da rispettare in tema cyber, mostrano anche che non sempre si preoccupano di applicarle. E ciò anche quando appartengono a generazioni native digitali. In altre parole, la sola “consapevolezza” non è più sufficiente. Cosa possono fare quindi le aziende per promuovere un diverso comportamento dei collaboratori in termini di cybersecurity?

Segnali positivi, ma ancora molta strada da fare

Spesso i Ciso si lamentano che la propria organizzazione continua a commettere “gli stessi stupidi errori di 20 anni fa”. In realtà alcune ricerche confermano un’evoluzione positiva anche se non generalizzata, almeno lato utenti privati. Nel 2023 uno studio di Pew Research evidenziava che l’87% degli americani era in grado di identificare la password più sicura in un elenco di quattro. Il 66% sapeva perché esistono i cookie, e quasi la metà sapeva identificare un esempio di autenticazione a due fattori in un gruppo di immagini.

La situazione nel nostro Paese

Diversamente dall’indagine SmartBus – La percezione dei rischi e delle opportunità della rete in Italia di Huawei e Parole O Stili, emerge che gli italiani possiedono un livello di conoscenza medio-alto degli strumenti digitali e di Internet. Tuttavia emerge anche che i più giovani non sono tuttora coscienti dei pericoli che possono arrivare dalla Rete. Il 50% degli studenti intervistati non è in grado di impostare una password sicura o di proteggere le proprie chiavi di accesso e non si preoccupa di scaricare giochi o altri contenuti piratati.

Ottobre mese della cybersecurity awarness

Più confortanti di dati che arrivano dalle aziende. Secondo la ricerca “Data Breach Investigations” di Verizon l’elemento umano (quindi comportamenti come accedere a un collegamento dannoso) nel 2022 era alla base dell’82% delle violazioni a livello mondiale. Nel 2023 la percentuale è scesa al 74% e quest’anno al 68% .

Le criticità principali

Questi dati sono incoraggianti ma ciò non significa certo che la battaglia sia stata vinta. Prendiamo, per esempio, l’autenticazione a più fattori, deterrente alle attività criminali pericolose piuttosto semplice da adottare e generalmente efficace. Uno studio del Cyber Readiness Institute del 2022 indicava che il 54% degli MSP non aveva implementato l’autenticazione a più fattori. Share che contiamo sarà diminuita in questi due anni, ma comunque rimanendo allarmante. Lo stesso vale per le password, un altro aspetto fondamentale della sicurezza. Nella guida ai sei errori di cybersecurity da evitare pubblicata quest’anno da Google, il primo posto spetta tuttora all’utilizzo la medesima parola d’ordine.

La formazione è sufficiente?

Uno degli obiettivi delle attività educational sulla cybersecurity è proprio quello di interrompere queste cattive abitudini. Il che sarebbe di per sé già un importante passo avanti se – e solo se – gli utenti seguissero le indicazioni ricevute. La National Cybersecurity Alliance, per esempio, segnala come gli utenti più digitali mostrano in realtà i peggiori comportamenti online e subiscono la percentuale più alta di cyberattacchi.

Il 43% della Gen Z e il 36% dei millennial ha dichiarato di essere stato vittima di reati informatici. Percentuali significativamente più alte rispetto a quelle della silent generation (20%) e dei baby boomer (15%), che ufficialmente non hanno accesso alla formazione sulla sicurezza IT. Al contempo, i nativi digitali sono due volte più propensi a pensare che la sicurezza non meriti impegno. Il 39% degli intervistati più giovani dichiara di essere scoraggiato dalle procedure di sicurezza online e il 37% le trova difficoltose.

Ottobre mese della cybersecurity awarness

È quindi evidente che l’adozione di prassi a tutela della sicurezza informatica rimane un punto dolente per molti utenti, e ciò purtroppo anche all’interno delle organizzazioni. Ciò non toglie che le buone pratiche di igiene informatica sono fondamentali, come lo è che tutti in un’organizzazione ne comprendano la criticità. A questo scopo la formazione è utile e necessaria, ma da sola non basta. Dal momento che, per cominciare, l’esperienza conferma che il personale quando è coinvolto in un training ha l’obiettivo di terminarlo il più rapidamente possibile per tornare alle proprie mansioni. E alle proprie vecchie abitudini.

Alcune best practice da mettere in pratica

Le aziende devono perciò mirare a creare una cultura della sicurezza informatica. Una cultura che includa, ma vada anche oltre, alla formazione facendo tesoro di alcune best practice:

  • informare i dipendenti sulle reali conseguenze di un attacco informatico. L’obiettivo deve essere quello di far percepire che la sicurezza informatica è responsabilità di tutti. Evidenziando, anche con esempi concreti, come un attacco informatico può mettere in ginocchio l’azienda anche in modo irreversibile arrivando a causare danni tali da bloccarne l’operatività e quindi mettere a rischio anche posti di lavoro. Di fronte a queste allarmanti – ma realistiche – possibilità, l’adozione dell’autenticazione a più fattori o la creazione di una password univoca non sembrerà un compito così arduo.
  • Parlare di cybersecurity, ogni giorno. Far entrare la cybersecurity nelle conversazioni quotidiane, nelle riunioni dei team, negli incontri individuali con i manager e nelle assemblee aziendali. Tutto ciò è utile a far comprendere che per sfruttare in sicurezza la rete (e non per limitarne l’impiego!) servono la collaborazione e l’impegno di tutti. Stimolate le domande e incoraggiare la curiosità e i feedback aumenterà ulteriormente il coinvolgimento.
  • Dare il buon esempio. Ovviamente i manager, a partire dal top management, e i responsabili IT sono i primi a dover adottare le buone pratiche di sicurezza anche in pubblico. Ad esempio, utilizzare l’autenticazione a due fattori per accedere alle riunioni ogni volta che è possibile o inviare avvisi relativi alle e-mail sospette appena ricevute. Questa tipologia di comportamenti è fondamentale per mostrare come la sicurezza informatica non sia solo un compito del reparto IT, ma una responsabilità condivisa da tutti, dal Ceo agli stagisti.
  • La tecnologia viene in aiuto. Nonostante gli sforzi, ogni giorno emergeranno nuovi rischi informatici e più insidiosi. La sensibilizzazione alla cybersecurity è quindi un elemento strategico che non può essere focalizzato una tantum. Richiede invece un costante impegno che può essere però facilitato utilizzando appositi software per automatizzare e pianificare la formazione. E inoltre per ricordare costantemente ai collaboratori di adottare le buone pratiche consigliate.

Conclusioni sull’ottobre mese della cybersecurity awarness

Riassumendo, la svolta da abbracciare è considerare la formazione come uno degli elementi chiave di un più ampio sviluppo di una cultura sulla cybersecurity all’interno dell’intera organizzazione. Principale condizione alla concreta adozione di comportamenti sicuri da parte di tutti i dipendenti.