Il fattore umano è sempre più determinante nella prevenzione, nella mitigazione e nella gestione degli incidenti informatici. Con soluzioni di cyber security in grado di rispondere colpo su colpo alle minacce più diffuse e grazie a ecosistemi digitali costruiti per garantire la massima resilienza, oggi penetrare le reti aziendali e riuscire a infliggere danni al business vuol dire, in buona sostanza, sfruttare la carenza di competenze e conoscenze degli utenti per entrare direttamente in possesso delle chiavi di accesso al network.
Dunque, solo la cyber security awareness – intesa come consapevolezza dei rischi informatici connessi a qualsiasi attività lavorativa e come familiarità con le buone pratiche indispensabili per prevenire le minacce – costituisce un’arma realmente efficace contro le iniziative malevoli.
Cyber security awareness: le aziende italiane continuano ad arrancare
Tuttavia, il fattore umano continua a rappresentare l’anello debole di una catena messa sempre più a dura prova. Secondo il primo Rapporto Cyber Index PMI, dedicato per l’appunto ai rischi cyber delle aziende di piccole e medie dimensioni, il campione italiano raggiunge complessivamente un punteggio medio di 51 su 100 (il livello di sufficienza è 60).
L’indagine, realizzata da Generali e Confindustria, con il supporto scientifico dell’Osservatorio Cybersecurity e Data Protection del Politecnico di Milano, evidenzia la necessità di una maggiore diffusione della cultura dei rischi cyber: nonostante l’attenzione sulla materia sia in crescita, manca infatti un vero e proprio approccio strategico che preveda la definizione di investimenti e la formalizzazione di responsabilità da parte della popolazione aziendale, ma latitano pure le azioni di identificazione corrette.
Dunque, se il 35% delle imprese si può considerare informato (ovvero non pienamente consapevole del rischio cyber e degli strumenti da mettere in atto, approcciandosi al tema in modo “artigianale”), il 20% può essere definito addirittura principiante, quindi poco consapevole dei rischi cyber e con una quasi nulla implementazione delle misure di protezione.
D’altra parte, il MIT Technology Review nel suo Cyber Defense Index 2022/2023 pone l’Italia all’undicesimo posto a livello globale in termini di policy commitment, ovvero per efficacia e qualità della regolamentazione in materia di cyber security, evidenziando un netto ritardo soprattutto nell’ottica di contrastare attacchi basati su spoofing, phishing, ingegneria sociale e sistemi capaci di utilizzare i dati biometrici.
Cyber security awareness, occorre mantenere alta la soglia di attenzione
«Anche sulla base della mia esperienza diretta, definirei troppo basso il livello medio di cyber security awareness delle imprese italiane rispetto al rischio reale che si corre. Nell’erogazione di piani di formazione e sensibilizzazione registriamo ancora tassi di fallimento pari al 30-40% durante le campagne di phishing simulato». A parlare è Mara Palazzi, Productivity and Learning Expert di 4wardPRO. «Questo significa, sul piano pratico, che ancora moltissime persone non sono in grado di identificare messaggi di phishing, e in generale non tengono i giusti comportamenti nell’approcciarsi alle mail o alle piattaforme di collaboration & communication. Utilizzare in modo corretto questi strumenti, del resto, implica una certa concentrazione, che si traduce in un atteggiamento preventivo quando si nota qualcosa di strano. Il problema – credo di tutti – è che riceviamo ogni giorno tanti, troppi messaggi. C’è spesso un abuso soprattutto delle mail che, associato all’abitudine del multitasking, ci porta a smaltire la posta in entrata anche mentre stiamo facendo altro, come partecipare a una riunione. E a seconda dell’impegno richiesto dalle attività svolte in contemporanea, il livello di attenzione cala drasticamente: anche chi conosce bene l’argomento, dunque, può rendersi responsabile di comportamenti a rischio».
Ecco perché l’obiettivo di ogni organizzazione dovrebbe essere quello di alzare continuamente l’asticella, non solo rispetto al livello di cyber security awareness dei singoli individui, ma pure sul piano delle azioni concrete che si possono e si devono intraprendere quando ci si accorge di aver compiuto inavvertitamente un gesto sbagliato.
Spesso, infatti, anche nel momento in cui si rende conto di aver interagito con un messaggio sospetto, un utente evita di riportare il fatto ai propri responsabili o ai colleghi dell’IT, per timore di ricevere un rimprovero. «Al contrario, informare chi di dovere è essenziale per contenere un danno che molto probabilmente è già stato fatto», nota Palazzi, che invita sempre e comunque ad assumere sul lavoro e nell’ambito cyber comportamenti che nella vita quotidiana sono dati per scontati: «Aprireste mai la porta di casa a uno sconosciuto senza aver prima valutato quali rischi comporta? Anche davanti a uno schermo bisogna sempre privilegiare il senso critico, e non interagire con una comunicazione in maniera automatica, senza prima averne valutato la provenienza. Dobbiamo pensare prima di cliccare, contare fino a tre: concederci quei tre secondi che ci aiutano a riflettere e a capire se il mittente è davvero chi dice di essere».
Vantaggi (e limiti) degli strumenti di formazione
Il problema è che le tecniche di mimetismo degli attaccanti sono sempre più raffinate, e anche un occhio attento, se non opportunamente allenato, può essere tratto in inganno. Gli ambienti di formazione e training continuano a progredire in tal senso, ma spesso propongono template generici per le attività di simulazione di iniziative di phishing, i quali funzionano bene per un ampio spettro di aziende ma che possono risultare meno adatti per organizzazioni che operano in settori peculiari.
C’è poi un altro aspetto: essendo di solito realizzati da player internazionali, i template sono tipicamente pensati per il mondo anglosassone e necessitano di un’accurata localizzazione per risultare coerenti con il contesto italiano, sia per quanto riguarda gli aspetti visuali sia per quanto concerne il tono di voce della comunicazione in sé.
«Bisogna precisare che i template vengono tradotti in tantissime lingue, ma c’è sempre un gap temporale tra la pubblicazione del formato originale in lingua inglese e la distribuzione delle versioni localizzate», aggiunge Palazzi. «Questo comporta un inevitabile ritardo di formazione sui rischi più recenti, quanto meno nelle aziende in cui si parla poco inglese, come quelle italiane, dove si fatica a proporre programmi in lingua originale. Penso per esempio alle nuove minacce basate sull’invio di mail di phishing con QR code da inquadrare. Si tratta di un fenomeno in continua espansione, ma sono ancora pochi i sistemi di formazione e allenamento in grado di creare mail simulate di questo tipo in lingua italiana».
L’importanza di investire in cyber security awareness
Il vero ostacolo alla crescita della consapevolezza sui temi della cyber security, però, risiede nella scarsa disponibilità del top management a investire su piani di formazione strutturati. «Dal mio punto di vista il limite più grande è proprio all’interno delle imprese», conferma Palazzi, che non parla di resistenza al cambiamento da parte della popolazione aziendale: «A livello individuale c’è di solito un buon riscontro, anche perché quanto appreso per il lavoro torna estremamente utile pure sul versante privato, dove digitale e connettività sono parte integrante del quotidiano. Mentre è assai difficile far comprendere l’importanza della formazione a chi deve mettere a disposizione il budget, che pur essendo misurabile non ha un ritorno tangibile».
Ciò che andrebbe compreso, secondo Palazzi, è che implementare strumenti per la produttività potenti e pervasivi come quelli di Microsoft senza prevedere anche un piano di cyber security awareness equivale ad affidare un’auto di grossa cilindrata a un neopatentato: non potrà che usarla al di sotto delle sue prestazioni, mettendo inoltre a rischio la sicurezza propria e degli altri.
«Ecco perché 4wardPRO propone un servizio integrato e a 360 gradi di gestione sia dei progetti di sensibilizzazione sia dell’ambiente di formazione e allenamento», precisa Palazzi. «Cerchiamo di sollevare i nostri clienti da un’attività complessa e di alleviarne i costi senza compromettere la buona riuscita del training, prevedendo moduli personalizzati e costantemente aggiornati di tre anni che consentono di mantenere la popolazione aziendale aggiornata e allo stesso tempo di accedere a piani di scontistica. Non crediamo nella formazione una tantum: i rischi informatici cambiano e si evolvono di continuo, e per questo riteniamo fondamentale che le persone siano costantemente sul pezzo».
