Recenti analisi del complesso mondo della cybersecurity, riportano l'attenzione sull'importanza della formazione e della sensibilizzazione alle problematiche legate alla sicurezza informatica per tutti gli operatori aziendali.
Infatti, l'evoluzione delle minacce, che rendono l'ecosistema digitale complesso e variegato richiede con maggiore insistenza una consapevolezza ai massimi livelli per evitare l'esposizione delle infrastrutture aziendali. Nonostante i crescenti investimenti nel settore, l'adozione di team specializzati e dedicati, l'implementazione di tecnologie e sistemi di difesa nel 2022 oltre l'80% delle aziende ha subito una o più di una violazione. Manager e responsabili sono consapevoli dell'incidenza del fattore umano e ritengono che una maggior consapevolezza ridurrebbe anche in modo sensibile il verificarsi di attacchi andati a buon fine. La maggior parte degli attacchi subiti lo scorso anno infatti, sarebbe stata indirizzata ai dipendenti, ritenuti la prima linea di difesa in questo settore, ma troppo spesso, nei fatti concreti, rivelatisi l'anello debole.
Se sono molte oggi le organizzazioni che propongono programmi di formazione e sensibilizzazione nell'ambito della sicurezza informatica, la loro efficacia risulta non adeguata e le conoscenze effettive del vasto panorama digitale sono ancora scarse. Così tra tecniche di social engineering e phishing i criminali informatici trovano ancora porte aperte e facili accessi. Infatti se il malware sembra confermarsi la minaccia più utilizzata, il phishing rimane quello più insidioso, spesso finalizzato ad ottenere dati privati e informazioni di accesso. E-mail personalizzate spesso da un indirizzo conosciuto (precedentemente hackerato), link camuffati, pagine internet create ad hoc richiedono necessariamente un’attenzione a livello di operatore, una consapevolezza delle tecniche di attacco e delle basilari metodologie di difesa.
Secondo la maggior parte dei CISO il fattore umano è il rischio numero uno. In pochi casi emerge il dolo, si tratta per lo più di disattenzione e superficialità nella condivisione delle informazioni riservate verso fonti esterne all’azienda o non controllate, o dell’utilizzo dei dispositivi aziendali al di fuori dell’ambito lavorativo. Alla fine dello scorso anno emergevano azioni importanti sia per quanto riguarda la formazione nella gestione nelle password e della sicurezza degli account che per l’identificazione delle email sospette, ma pare che gli schemi attuali siano di fatto poco efficaci, mentre quadi un quinto delle aziende non adotta protocolli specifici.
I programmi di sensibilizzazione e formazione sulla sicurezza informatica sono metodi ampiamente riconosciuti per rafforzare la cultura della cybersecurity nei dipendenti, tuttavia, secondo il report Fortinet, più della metà di tutti i leader intervistati sono ancora preoccupati che i loro dipendenti manchino di consapevolezza della sicurezza informatica. Una valutazione critica in questo senso può rivelare opportunità per affrontare la fragilità del fattore umano, con maggior efficacia dei programmi e conseguente riduzione del rischio totale.
Adottare misure specifiche per assicurare che i programmi coprano sufficientemente una vasta gamma degli argomenti in modo pratico e per garantire che l'apprendimento sia consolidato con promemoria e controlli, dovrebbe contribuire a migliorare i risultati della formazione.
