Gli esperti della cyber security: il personale dell’azienda
L’innovazione digitale è una lama a doppio taglio: migliora i risultati delle imprese ma espone le organizzazioni a cyber-minacce.
Diversamente da quel che si potrebbe pensare, il principale rischio per i crimini informatici nelle grandi organizzazioni è rappresentato dal personale inesperto. È il risultato cui giungono Esi ThoughtLab e Willis Towers Watson nello studio “The Cyber Security Imperative” intervistando 1.300 imprese su scala internazionale con fatturati di entità variabile.
È un dato preoccupante visto che, come riporta Il sole 24 Ore, la formazione degli addetti è tra i fattori che progrediscono più lentamente in relazione agli attacchi informatici.
In testa alle modalità di attacco informatico più comuni – quali malware/spyware (81%), phishing (64%), hacker dilettanti (59%) e cyber criminali (57%) -, per l’87% dei manager intervistati la violazione di dati sensibili ed infrastrutture critiche all’interno di un’azienda è dovuta all’impreparazione e alla scarsa avvedutezza degli addetti.
Formazione e consapevolezza delle persone sono carte vincenti sempre, a tutti i livelli.
Innanzitutto, la percezione di una minaccia varia in funzione del livello di maturità dell’organizzazione in materia di cyber security. Le aziende più preparate, cosiddette leader, tendono a concentrarsi di più su minacce interne dolose, mentre le aziende meno ferrate in questo campo, principianti, temono per lo più azioni esterne, come quelle che possono derivare da partner e fornitori.
Inoltre, la gestione delle minacce informatiche si è tradizionalmente focalizzata sulla componente “security”, lasciando in secondo piano “vigilance” e “resilience”. Anche in questo caso, la preparazione dell’azienda fa la differenza: le leader investono di più in cyber-resilience, cioè nel sapere attivare procedure in seguito ad incidenti informatici, rispetto a quelle della categoria principianti. Pertanto, vi è una centralità delle persone: da una parte, la maggior parte degli incidenti di cyber security deriva da comportamenti errati del personale e da errori umani, dall’altra, le soluzioni di recupero e ripristino delle situazioni critiche sono in capo alle persone che compongono l’organizzazione.
Dunque, come afferma Corrado Zana, responsabile Cyber Risk Solutions di Willis Towers Watson per l’Europa Continentale, al di là delle ingenti risorse investite nella protezione dei sistemi informatici e nella gestione del rischio contro le minacce esterne, è evidente che siano la formazione del personale, il suo coinvolgimento nei processi e la cultura aziendale a giocare un ruolo di primaria importanza.
Il sistema immunitario aziendale è dunque costituito da persone, processi e tecnologia e ed è impensabile far progredire un segmento senza aggiornare opportunamente gli altri due, e viceversa.