Cybersicurezza in azienda: l’importanza del fattore umano

Negli ultimi anni le imprese sono state caratterizzate da una sempre maggiore connettività e digitalizzazione, ma anche da un aumento dei rischi informatici. L’avvento di nuove tecnologie come il cloud computing, i big data, l’intelligenza artificiale e l’Internet of Things hanno reso il mondo IT di oggi molto diverso da quello di dieci anni fa, che ha portato a vantaggi evidenti ma anche rischi emergenti.
Di pari passo con la sostanziale evoluzione della tecnologia, si sono evoluti anche i criminali informatici, con attacchi sempre più sofisticati, che sono portati non solo da hacker in cerca di informazioni, ma anche da Stati che progettano sofisticate campagne di cyberwar che hanno come obiettivo le aziende private e pubbliche dei paesi Occidentali.

In risposta ai sempre maggiori pericoli, le misure di difesa si sono evolute di conseguenza, ma l’Italia secondo l’indice Desi compilato dalla Commissione europea rimane ultima per competenze digitali avanzate.
Una ricerca Accenture colloca il nostro paese al secondo posto dietro gli Stati Uniti come obiettivo preferito dagli attacchi ransomware, che mirano a bloccare i computer criptando i dati presenti sui dischi rigidi, e chiedendo un riscatto per poter accedere nuovamente ai dati.
Attacchi che prendono di mira soprattutto alle aziende, che se non hanno opportuni sistemi di backup sono costrette a pagare, non avendo però garanzie sul rilascio dei codici di decrittazione dei file.

Tra gli attacchi informatici più pericolosi i ransomware vedono gli hacker prendere di mira l’accesso dei dipendenti ai sistemi dell’organizzazione, con vari sistemi che fanno spesso leva sulla scarsa preparazione e formazione del personale. Tra i metodi più utilizzati le e-mail di phishing, la navigazione su siti Internet non sicuri, il download di file e gli attacchi di ingegneria sociale, che invece di sfruttare vulnerabilità informatiche, sfruttano le debolezze del “fattore umano” per carpire dati sensibili come password e identità.

Rapporto 2021 sulla sicurezza ICT in Italia. Fonte: Associazione Italiana per la sicurezza Informatica.

Tra i settori maggiormente a rischio c’è quello finanziario, secondo una ricerca della IBM, il 23% degli attacchi informatici in Italia ha colpito gli istituti bancari e i loro clienti, con 30 casi solo nel 2021.
La caratteristica di questi tentativi di frode è la combinazione di più tecniche avanzate sia di malware che di phishing, che possono operare su diversi punti critici del sistema come i sistemi di pagamento e le infrastrutture per la negoziazione finanziaria.
La pressione contro il sistema bancario, può provocare danni impattando sul patrimonio, sull’erogazione dei servizi, e sulla reputazione degli istituti, con ingenti danni d’immagine sul fondamentale profilo di affidabilità verso i clienti.

In questo periodo di sconvolgimenti digitali e di aumento delle minacce informatiche, molte aziende concentrano i propri sforzi di cybersecurity sulla componente tecnologica (antivirus, firewall, server, cloud) trascurando invece il fattore umano.

Secondo il Verizon Data Breach Investigations Report del 2021, la componente umana è stata coinvolta in oltre l’85% delle violazioni di dati, e un’indagine di Pulse Survey, condotta nell’ottobre 2022, rileva che il 31% dei CEO ritiene che tra i maggiori rischi per le loro aziende vi sia quello della sicurezza informatica.
Quando i sistemi informatici vengono compromessi, spesso la causa è legata non solo al fallimento del sistema di cybersecurity all’interno dell’azienda o da parte di terzi che collaborano, ma a carenze di tipo organizzativo e alla scarsa formazione e attenzione dei dipendenti alla protezione dei dati aziendali.

I dati sono sempre più considerati il bene per eccellenza di un’azienda, ed è per questo che forze esterne o interne possano tentare di minarne la sicurezza, violarne la riservatezza, manometterli o tentare di rubarli. Questo è il motivo per cui le imprese devono puntare all’adozione di una cultura della cybersecurity a tutti i livelli aziendali, che deve tradursi nelle corrette pratiche da parte di ogni dirigente e dipendente, con atteggiamenti e conoscenze che guidino comportamenti sicuri quando si tratta di salvaguardare la propria azienda.

Per stabilire un valido programma di cybersecurity, la responsabilità deve essere condivisa da tutti i livelli dell’azienda.
L’obiettivo e la visione dell’azienda in materia di cybersecurity devono essere articolati in modo che tutti possano comprenderli e attuarli, a beneficio dell’organizzazione.
Si tratta di un vero e proprio cambiamento culturale, che presuppone la consapevolezza non solo dei vantaggi ma anche delle criticità che caratterizzano la trasformazione digitale, in modo da prevenire o mitigare eventuali attacchi informatici.