Le aziende italiane, e in particolare le piccole e medie imprese, sono più pronte e disposte ad attivare il firewall umano rispetto al passato? E se sì, con quale attitudine? Una domanda che ritorna a seguito dello sbarco, sul mercato nostrano, della piattaforma di Awaretrain, Security Awareness Training Platform, presentata alla stampa milanese il primo febbraio scorso. Dal 2014, l’azienda olandese sviluppa progetti di formazione per aiutare le imprese, dalle multinazionali alla PMI locali, a rendere i dipendenti più capaci di difendersi dalle minacce digitali e più consapevoli dell’importanza del loro apporto alla sicurezza generale dell’organizzazione.
Dalla formazione passa anche la responsabilizzazione perché, come gli addetti ai lavori sanno già, il fattore umano è spesso il vero punto debole che finisce per portare nelle mura dell’organizzazione il “trojan horse” di turno (non solo in senso metaforico).
I dipendenti non possono chiamarsi fuori dai dati impietosi che anno dopo anno raccontano uno scenario di attacchi informatici in crescita e più severi. In Italia, nei primi sei mesi del 2023 gli attacchi cyber sono aumentati del 40%, oltre il 35% è andato a buon fine grazie al malware.
Il ruolo dell’elemento umano nelle violazioni di sicurezza accertate è stimato in percentuali diverse a seconda delle analisi ma, in ogni caso, è logico pensare che le cose andrebbero diversamente se i dipendenti avessero a disposizione un perfetto know how. Tuttavia, “il fattore umano non ha a che fare solo con la conoscenza, ma anche con il comportamento” ha sottolineato Dennie Spreeuwenberg, CEO e Founder di Awaretrain. “Le organizzazioni spendono molto nella tecnologia e nelle policy ma poco nelle persone ed è rischioso. Se fai una password di quindici caratteri, ma poi la condividi con chi non devi, è rischioso lo stesso. C’è bisogno di essere bilanciati”.
Alla ricerca di un buon bilanciamento
Il good balance è il mix di policy, tecnologia e human touch ma verte anche sulla certezza che, se la security awareness è uno strumento, il security behaviour è un obiettivo. La consapevolezza che l’Italia è il quarto paese più attaccato al mondo, e che nel 2022 è stata bersaglio del 7,6% degli attacchi gravi globali andati a buon fine, rappresenta un buon volano di mercato e infatti il player olandese scommette che su quello tricolore ci siano molte opportunità da cogliere, anche nel settore pubblico.
Ma in che scenario si va a collocare una soluzione come quella dell’azienda olandese che offre una library con corsi interattivi di formazione, giochi e test di conoscenza e un numero illimitato di simulazioni di phishing per migliorare le capacità dei dipendenti? La domanda ha senso non solo considerando il numero degli attacchi, ma anche altri aspetti “posturali” delle aziende, PMI in particolare, che influenzano di rimando anche la cybersicurezza.
Nel contesto italiano, come indicava l’Osservatorio Cybersecurity & Data Protection della School of Management del Politecnico di Milano a inizio 2023, la governance della sicurezza informatica vive un passaggio positivo in ottica di potenziamento. Nel 53% delle imprese è infatti presente un Chief Information Security Officer, ruolo che si colloca principalmente nella direzione IT e non mancano attività di sensibilizzazione sugli impatti possibili che le attività dei dipendenti.
Tuttavia, rimarcava l’Osservatorio, solo nel 32% delle aziende “vengono applicate metodologie di quantificazione finanziaria del rischio. Questo approccio, sebbene complesso da affrontare, permette di far percepire in maniera efficacia ai vertici aziendali l’importanza della cybersecurity, mettendo in evidenza i possibili impatti per il business di un potenziale incidente”.
Dare le giuste motivazioni ai dipendenti
Uno degli elementi fondamentali del “secure behaviour” è la motivazione, assieme a capacità e opportunità. Se il dipendente deve essere motivato a creare valore per l’impresa, come fa a sentirsi responsabile, e quindi consapevole del potenziale danno che arreca, se è l’azienda stessa a non calcolarlo?
Il tema finisce per riallacciarsi alla trasformazione del modello operativo di cybersecurity funzionale alla creazione del valore. L’approccio alla costruzione di una sicurezza informatica efficace passa da una visione più umano centrica, ma a sua volta questa trasformazione necessita di più step. Uno di questi ha a che fare con uno spostamento della tecnologia, afferma un’analisi di Gartner, “dalle funzioni IT centrali alle linee di business, alle funzioni aziendali, ai team aziendali digitali multidisciplinari e ai singoli dipendenti”. Detto diversamente, sempre più persone (tanto più in aziende che evolvono) finiscono per assumersi una responsabilità sul fronte cybersecurity (oltre quella generica di non cliccare link a caso – ndr), perché si occupano di tecnologia.
In quest’ottica, allora, la sicurezza informatica non è un problema tecnologico e basta, ma un rischio aziendale più ampio che, come tale, va valutato. In tal senso, “i dipendenti devono sapere come bilanciare una serie di rischi, tra cui quelli legati alla sicurezza informatica, finanziari, reputazionali, competitivi e legali. La sicurezza informatica deve anche connettersi al valore aziendale misurando e segnalando il successo rispetto ai risultati e alle priorità aziendali”.
Entra quindi in scena, tornando anche al caso italiano, la maturità digitale dell’organizzazione che di certo influenza l’approccio alla cybersecurity. C’è ancora una fascia di PMI che mostra un atteggiamento timido (39%) o addirittura scettico (16%) nei confronti della trasformazione digitale, “mancando soprattutto di un approccio olistico o di una visione strategica di lungo termine” (fonte: Osservatorio Innovazione digitale nelle PMI – ndr). Può la cybersecurity, che ha a che fare con la cultura e la trasformazione digitale dei processi, non risentire di questo approccio a breve termine?
“Una piattaforma come Security Awareness Training Platform, con contenuti e interfaccia utente disponibili in 9 lingue, e con un minimo di 6 nuovi moduli di formazione offerti ogni anno, si inserisce in un quadro dove i margini di miglioramento restano importanti” sottolinea Spreeuwenberg. “Inoltre, i responsabili di sicurezza e HR potranno mettere facilmente a punto programmi di formazione multipli e diversificati adatti a diversi ruoli e competenze all’interno della propria organizzazione”.
Di certo, il percorso che parte dal 1 stadio (incompetenza inconscia) per arrivare al quarto (competenza inconscia) deve riguardare i dipendenti ma, di fondo, soprattutto le imprese. Diversamente, l’elemento motivazione rischia di essere sempre più sbilanciato rispetto a opportunità e capacità e sarà fin troppo facile, in assenza di visioni più larghe, scaricare la colpa sul dipendente che non avrà riportato risultati brillanti al phishing simulator.