Sicuro di coinvolgerli tutti?

In oltre il 95% dei casi, come già dimostrato nel 2014 da IBM, gli incidenti di sicurezza informatica vedono la compresenza dell’errore umano.

Nonostante ciò, moltissime aziende scelgono di investire spesso budget molto importanti in soluzioni meramente tecniche, senza prendere in considerazione la cruciale funzione che le persone hanno nel garantire la propria sicurezza informatica.

Per rendersi conto di quanto, purtroppo, radicata sia questa impostazione culturale e organizzativa nelle aziende italiane, basterebbe condurre una survey aziendale e fare a tutti i dipendenti una semplice domanda:

chi ha il dovere di garantire la sicurezza informatica nella tua azienda?

La stragrande maggioranza delle risposte verterebbe sull’attribuire responsabilità esclusivamente al dipartimento IT.

Ma è veramente così?

Bastano un buon manager IT e un sistema tecnologico all’avanguardia per evitare ingenti danni economici, legali e d’immagine alla tua azienda?

L’estensivo e trasversale utilizzo di strumenti ICT (tecnologie dell’informazione e della comunicazione) in ogni dipartimento aziendale mette al centro della sicurezza informatica ogni dipendente della tua azienda.

Di fatto, è necessario prevedere sempre la responsabilizzazione e, di conseguenza, la formazione di ogni singola persona.

Infatti, in ogni funzione aziendale, anche nelle operazioni più banali (come l’utilizzo del canale e-mail), si possono verificare comportamenti umani che potrebbero mettere seriamente a rischio la tua azienda.

La percezione del rischio del Top Management

La resistenza delle aziende nel considerare ogni singolo dipendente al centro della propria sicurezza informatica fa il palio con la scarsa percezione del rischio che caratterizza i membri del loro Top Management.

Due importanti ricerche condotte Marsh-Microsoft nel 2018 e nel 2017 durante l’evento americano Black Hat, concordano sul portare alla luce un dato allarmante:

oltre il 50% dei manager aziendali non direttamente coinvolti nella sicurezza informatica ha una percezione insufficiente del rischio legato alle minacce cyber.

La percezione del rischio degli utenti finali

Così come affermato dalla Harvard Business Review nel 2017: “una miglior sicurezza informatica inizia col correggere le cattive abitudini dei dipendenti”.

A differenza di quanto fatto per il mondo del Top Management, non sono ancora state condotte ricerche per investigare il grado di percezione del rischio degli utenti finali.

Possiamo però fare riferimento ai risultati dei phishing test condotti nelle filiali delle aziende global, per misurare, con un semplice indicatore, i livelli di rischio cyber.

Questo tipo di test è indirizzato, tramite simulazioni, a verificare la risposta degli utenti finali ad attacchi informatici che avvengono tramite la tecnica del phishing (pericoloso tipo di truffa che avviene tramite l’invio di messaggi e-mail ingannevoli).

Così come evidenziato dalla ricerca annuale 2018 di Verizon sui tassi di vulnerabilità degli utenti finali:

il 4% degli utenti finali di importanti aziende multinazionali clicca su link maligni, cadendo nella trappola del phishing ed esponendo l’intera organizzazione a pesanti rischi.

Se questo dato è già preoccupante di per sé, viene da chiedersi cosa accada in aziende meno strutturate di quelle multinazionali.

L’anello debole della catena di protezione

“Puoi avere la migliore tecnologia di sicurezza, ma non è efficace se chi l’adopera è distratto o non è stato addestrato” (The Economist 2015).

Il grado di percezione del rischio cyber di tutti i dipendenti dovrebbe essere il punto centrale di ogni sistema di sicurezza informatica.

La misura di questa percezione e il suo incremento dipende sicuramente dall’introduzione di campagne trasversali di sensibilizzazione e formazione.

Così come avvenuto per la protezione dei dati personali (GDPR), anche per la Cyber Security occorre quindi una responsabilità diffusa.

Scopri ora

Scopri le soluzioni formative Cysed

Scopri come diffondere una sana cultura sulla sicurezza informatica nella tua azienda ed evitare, così, di subire i danni di un attacco informatico.
Scopri ora