Cybersecurity in Italia: proteggere le persone per difendere l’azienda
Organizzazioni di tutto il mondo si trovano ad affrontare un panorama di minacce in continua e rapida evoluzione. E quelle che operano in Italia non fanno certo eccezione.
Il 52% delle aziende italiane ha segnalato di aver subito almeno un attacco informatico nel 2019, il 41% ha segnalato addirittura più incidenti. Se un tempo i criminali informatici concentravano la loro attenzione su reti e infrastrutture, ora sono sempre più spesso le persone a subire gli attacchi. Non è una sorpresa che furto di credenziali e phishing siano tra le principali preoccupazioni dei responsabili.
Che si tratti di link pericolosi, compromissione di account o social engineering, i cybercriminali rivolgono sempre più la loro attenzione a quella che, per molte organizzazioni, è l’ultima linea di difesa. Un’ultima linea spesso non preparata a sufficienza. Le persone.
Nonostante gli attacchi si facciano sempre più frequenti, molte aziende non riescono ancora a mettere in atto strategie efficaci di difesa IT, la formazione è spesso inadeguata e la consapevolezza degli utenti ancora scarsa.
È necessario un nuovo approccio che metta le persone al centro, garantendo che i dipendenti siano in grado di individuare e scoraggiare gli attacchi, oltre che consapevoli del loro ruolo fondamentale nella protezione.
Un cambio di atteggiamento
Attacchi IT incentrati sulle persone richiedono una difesa cyber altrettanto focalizzata sulle persone.
Non basta sapere che gli hacker utilizzano sempre più spesso credenziali compromesse, ottenute tramite email di phishing, per accedere ad account di posta elettronica, informazioni sensibili e sistemi aziendali. Dobbiamo capire il perché del loro successo.
Sono le persone ad avere la risposta – dal top management al singolo utente.
Si tratta di numeri importanti, che evidenziano una mancanza di consapevolezza e formazione, e. che molte aziende non riescono ancora a colmare.
Non è un caso che l’85% dei CISO italiani ritenga che i propri dipendenti rendano l’azienda vulnerabile rispetto agli attacchi e sembrano avere molto chiara questa problematica: per il 50% proprio la mancanza di consapevolezza sulle minacce informatiche è la loro sfida più grande, mentre per il 39% la propria azienda dovrebbe investire di più nella formazione e nella sensibilizzazione.
Percentuali che però si scontrano con la realtà, infatti il 65% dei CISO italiani ha ammesso di formare i dipendenti sulla consapevolezza della sicurezza informatica una volta all’anno o meno, addirittura il 17% dichiara non effettuare mai alcuna formazione. E quello che è probabilmente peggio, solo il 17% delle imprese ha un programma di formazione ricorrente.
Non possiamo certo aspettarci che i dipendenti comprendano i motivi e i metodi delle minacce più comuni con un’attività di formazione così ridotta – figuriamoci che comprendano il loro ruolo nell’individuarle e mitigarle
Programmi di formazione inadeguati rimangono all’ordine del giorno, nonostante il 63% dei CISO creda che la propria organizzazione sia pronta ad affrontare un attacco informatico. Ciò è sintomatico di un problema più ampio – mancanza di buy-in a livello di consiglio di amministrazione.
Se il 52% dei CISO concorda sul fatto che la sicurezza informatica rappresenti una priorità per il consiglio d’amministrazione, solo il 21% ritiene che i suoi membri siano ben preparati e in grado di comprendere le tecnologie di cybersecurity necessarie in tema di.
Si tratta di una mentalità che deve cambiare, e in fretta. Tradizionalmente, la difesa cyber era un compito che ricadeva su team specializzati, quando gli attacchi si concentravano su reti e infrastrutture. Ma oggi non è più così.
L’errore umano ora è l’accesso principale in azienda. E tutti i dipendenti possono metterla a rischio.
Secondo il World Economic Forum, tra il 2019 e il 2023 5,2 trilioni di dollari in valore globale saranno a rischio da parte di cybercriminali. L’FBI stima, nel frattempo, che l’anno scorso l’anno scorso le perdite mondiali dovute ai soli attacchi BEC abbiano raggiunto l’ammontare di 1,7 miliardi di dollari. La posta in gioco non è mai stata così alta. E i programmi di formazione devono riflettere questa situazione.
People-centric cybersecurity
Che si tratti di impostori che si fingono colleghi o di tentativi di phishing sempre più convincenti, agli utenti spetta sempre più spesso il compito di individuare e bloccare gli attacchi. È necessario quindi porli al centro di qualsiasi difesa informatica di successo.
I cybercriminali attaccano le persone, convinti che siano l’anello più debole. Spetta a tutti noi fare in modo che ciò non avvenga.
Country Manager, Proofpoint