Security Awareness: investire sul fattore umano per aumentare la consapevolezza del rischio cyber
Minacce cyber come Mirai e WannaCry hanno in comune una non consapevolezza del rischio informatico causato dall’errore umano: per questo è importante che le aziende investano su un adeguato processo di security awareness che porti ad un aumento della consapevolezza del rischio informatico.
Nell’attuale contesto di digital transformation in cui il patrimonio informativo delle aziende è esposto ad attacchi informatici sempre più mirati e sofisticati, la parola chiave è consapevolezza: le aziende devono comprendere l’importanza di investire sul fattore umano per migliorare la security awareness aziendale e la consapevolezza del rischio cyber da parte di tutti gli utenti aziendali.
Esiste una citazione famosissima nel campo informatico che rappresenta l’emblema dell’era 4.0:
“oggi le aziende si dividono in due categorie: quelle che sono state attaccate e lo sanno, e quelle che sono state attaccate e non lo sanno ancora.”
Se molti tipi di cyber attacchi si manifestano immediatamente come accade per i ransomware, altri tendono a rimanere invisibili per poter studiare i sistemi e sferrare l’attacco quando raggiungono la conoscenza completa delle vulnerabilità tecnologiche della propria vittima.
Secondo statistiche, il tempo medio di scoperta (la cosiddetta “finestra di compromissione”) è superiore ai 200 giorni.
Un errore comune soprattutto nel settore delle piccole e medie imprese è quello di pensare di non essere obiettivo di attacchi informatici, di non essere appetibili per la minore esposizione e per il fatturato ridotto.
In realtà, le PMI sono obiettivi facili che garantiscono agli attaccanti un ritorno di investimento sicuro.
Ad oggi i danni subiti a seguito delle attività cybercriminali rappresentano un valore dieci volte superiore rispetto a quello degli attuali investimenti fatti in sicurezza informatica.
Gli investimenti in sicurezza informatica nel nostro Paese sono ancora largamente insufficienti.
A questo punto ci aspetteremo un clima di terrore, un senso profuso di paura che serpeggia tra i responsabili informatici, il panico nel sapere che può capitare a chiunque di noi. E invece non è così e torniamo al concetto di consapevolezza: manca completamente la consapevolezza informatica di quello che un mancato investimento o un’errata implementazione può causare.