Sono i dipendenti il più grande rischio per la cybersicurezza aziendale

Nonostante crescano gli investimenti da parte delle aziende in misure di sicurezza informatica, nell’era dell’impresa 4.0 l’anello debole della catena sono i dipendenti.

 

I danni causati dagli attacchi informatici ammontano a 10 miliardi di euro l’anno

L’edizione 2018 del rapporto Clusit sulla sicurezza informatica in Italia ha calcolato che gli attacchi informatici causano alle aziende italiane danni per oltre 10 miliardi di euro ogni anno. E mentre rimane in crescita il numero di attacchi subiti dalle aziende, queste ultime sembrano ancora impreparate a gestire la minaccia informatica. Uno studio dell’Osservatorio Sicurezza & Privacy del Politecnico di Milano ha infatti evidenziato come le aziende italiane investano in sicurezza informatica solo in vista di adeguamenti legislativi (48% delle aziende) o dopo aver subito un attacco (35%) e come meno della metà (46%) abbia un approccio organico e standardizzato alla sicurezza digitale.

Tuttavia, secondo un sondaggio di EY il principale fattore di rischio per la cybersicurezza aziendale sono i dipendenti, che non sono consapevoli delle proprie responsabilità, né capaci di riconoscere i comportamenti a rischio. Il 70% ad esempio non ritiene che utilizzare un dispositivo non autorizzato (ad esempio una chiavetta USB) rappresenti una minaccia, mentre il 60% non crede che installare un’applicazione non autorizzata costituisca un rischio per la sicurezza dei dati aziendali, infine oltre il 75% degli intervistati ha dichiarato di usare sempre la stessa password per tutti i propri account, compresi quelli lavorativi

 

La cybersicurezza in azienda è una responsabilità condivisa

Le ragioni che spingono i dipendenti a comportamenti che rischiano di compromettere la sicurezza informatica, secondo uno studio condotto nel 2017 da BSA – The Software Alliance, sono principalmente due: il risparmio di tempo (33%) e la comodità di utilizzo (32%).

Questi dati mettono in luce come spesso sia la stessa complessità dei processi volti a tutelare la sicurezza informatica (si pensi ad esempio alle regole sulla complessità delle password o sul loro aggiornamento periodico) a spingere i dipendenti ad adottare quelle che spesso sono viste come scorciatoie, vanificando di fatto l’efficacia di qualsiasi sistema di sicurezza. I dati parlano chiaro: solo il 32% dei dipendenti italiani si limita ad installare applicazioni consentite dalla policy di sicurezza aziendale e meno della metà si preoccupa di effettuare aggiornamenti periodici dei dispositivi e dei software che usa sul lavoro (42%).

Tuttavia, ai dipendenti italiani continua a mancare soprattutto la consapevolezza dei rischi ai quali ci si espone adottando comportamenti informatici a rischio, consapevolezza che dovrebbe essere diffusa tramite una migliore formazione specifica. Il più importante investimento in cybersicurezza è infatti rappresentato proprio dalla formazione dei dipendenti, che deve essere efficace ma soprattutto continuativa, vista la rapidità di evoluzione delle minacce informatiche. I dati di BSA evidenziano, al contrario, come meno del 20% dei dipendenti abbia ricevuto un training specifico, e come solo il 18% dei dipendenti sia stato informato sulle best practice di sicurezza e dotato di chiare linee guida alle quali attenersi.

 

Una nuova cultura della sicurezza informatica aziendale

Per aumentare le difese informatiche della propria azienda, il consiglio degli esperti è quello di rivolgersi a un consulente di cybersicurezza in possesso di competenze specifiche per valutare i rischi informatici ai quali è esposta l’azienda e studiare soluzioni in grado sia di prevenire gli attacchi che di mitigarne gli effetti.

Grazie alla consulenza di un esperto è anche possibile assicurarsi un adeguato livello di protezione dalle minacce informatiche semplificando i processi necessari a tutelare la sicurezza dell’organizzazione: un programma di cybersicurezza efficace deve basarsi su una serie limitata di procedure facili, poiché tanto più lunghe e complesse sono le procedure da adottare, tanto più è probabile che vengano ignorate dai dipendenti durante lo svolgimento del lavoro.

Per rendere efficaci le misure di prevenzione è importante che si instauri un rapporto di solida collaborazione fra i dipendenti e i membri del dipartimento IT, anche per smontare la convinzione fin troppo diffusa che questi ultimi rappresentino i «poliziotti cattivi» della situazione.  I responsabili della sicurezza informatica dovrebbero responsabilizzare i dipendenti e fornire indicazioni precise sui rischi e sulle potenziali conseguenze dell’adozione di comportamenti e strumenti non sicuri, anziché vietare l’uso di alcuni strumenti o imporre l’adozione di certe procedure.

Per quanto riguarda la formazione del personale, infine, invece di affidarsi a corsi standardizzati che finiscono per fornire solo indicazioni generiche è meglio puntare su programmi di formazione personalizzati che siano studiati in base al ruolo e agli incarichi di ciascuno impiegato dell’azienda e che siano volti prima di tutto a far acquisire ai dipendenti consapevolezza circa la natura e la pericolosità delle minacce informatiche.