Le piccole e medie imprese (PMI) sono sempre più nel mirino della criminalità informatica. Gli aggressori informatici ormai sanno bene quanto siano vulnerabili queste organizzazioni che spesso dispongono di risorse limitate e politiche di sicurezza informatica non adeguatamente sviluppate. Inoltre, le PMI sono spesso viste come porte per accedere ad aziende più grandi appartenenti alla medesima catena produttiva, risultando dunque obiettivi potenzialmente redditizi per gli attacchi.
Il 98% degli attacchi informatici alle PMI ha motivazioni finanziarie, di cui il 54% è riconducibile a credenziali compromesse (DBIR 2023 di Verizon).
Per comprendere meglio come queste tendenze si stiano manifestando all’interno delle PMI, LastPass ha recentemente condotto un sondaggio su oltre 600 responsabili aziendali e della sicurezza IT di società con meno di 3.000 dipendenti.
L’indagine ha rivelato una situazione preoccupante: sebbene i responsabili delle PMI stiano adottando un approccio più proattivo alla cibersicurezza – aumentando, ad esempio, la consapevolezza in materia e gli investimenti nelle misure di sicurezza – gli intervistati hanno ammesso che il fattore umano continua a creare gravi lacune di sicurezza che ne vanificano gli sforzi, lasciando comunque queste organizzazioni vulnerabili ai criminali informatici.
Dunque, come possono colmare queste lacune i responsabili delle PMI? Scopriamolo insieme grazie alle analisi e ai consigli del team di intelligence sulle minacce di LastPass.
Divario tra responsabilità e percezione del rischio
Il fenomeno più evidente che emerge dal sondaggio è la discrepanza in materia di responsabilità tra le azioni dei dirigenti e il comportamento dei dipendenti.
I dirigenti stanno dedicando maggiore attenzione alla cibersicurezza, incrementando di conseguenza gli investimenti: il 90% dei responsabili IT e l’80% dei responsabili non IT hanno segnalato un aumento dell’attenzione rivolta alle misure di sicurezza informatica nell’ultimo anno; inoltre, l’82% delle aziende ha aumentato il budget stanziato per la cibersicurezza.
A loro volta, il 92% dei dirigenti e il 93% dei responsabili IT hanno riferito di ritenere che i dipendenti comprendano le aspettative in materia di sicurezza. Inoltre, gran parte dei dirigenti e dei responsabili IT si è dichiarata fiduciosa delle proprie misure di cibersicurezza, considerando che solo il 30% dei responsabili ritiene che i problemi di sicurezza informatica possano essere un serio pericolo per la propria azienda.
Sebbene i responsabili delle PMI stiano adottando un approccio più proattivo alla cibersicurezza, il fattore umano può ancora creare gravi lacune di sicurezza che lasciano vulnerabili queste organizzazioni.
Tuttavia, i risultati del sondaggio raccontano una realtà diversa:
● Solo il 78% dei responsabili non IT ritiene che i dipendenti comprendano le aspettative in tema di sicurezza relative alle loro mansioni
● 1 responsabile aziendale su 5 ammette di aggirare le politiche di sicurezza
● 1 responsabile della sicurezza IT su 10 ammette di aggirare le politiche di sicurezza
● 1 lavoratore giovane su 4 è propenso a violare le politiche
● Il 36% dei professionisti della generazione Z ammette di scrivere le password su carta
Il sondaggio suggerisce che, sebbene gli investimenti finanziari nella cibersicurezza siano in aumento, gli investimenti qualitativi risultano altrettanto cruciali.
Come colmare il divario: consigli e migliori pratiche in materia di cibersicurezza
Alla luce di questi risultati, i responsabili delle PMI possono migliorare le loro strategie di cibersicurezza dedicandosi a migliorare le politiche in materia, formare i dipendenti e sviluppare una cultura della sicurezza informatica.
Consiglio 1: intensificare la formazione sulla sicurezza IT
I responsabili aziendali non IT hanno identificato la mancanza di comprensione, la percezione di scarsa importanza e il ritmo serrato del lavoro come i principali ostacoli al rispetto delle politiche di sicurezza informatica, sottolineando la necessità di programmi formativi mirati che affrontino queste sfide specifiche.
Per colmare la discrepanza in materia di responsabilità, le PMI dovrebbero sviluppare chiare strategie di comunicazione e sessioni di formazione regolari per tutti i livelli dell’organizzazione. Ciò può contribuire a garantire che ogni singolo dipendente comprenda l’importanza del proprio ruolo per la sicurezza informatica dell’organizzazione nel suo complesso, facendo sì che tutti vengano coinvolti nella catena delle responsabilità e del cambiamento comportamentale.
Per di più, la formazione non deve avere un’impostazione verticistica. È necessaria una comunicazione più solida per garantire che tutti i dipendenti agiscano in sintonia riguardo ai protocolli di sicurezza. I responsabili dovrebbero condurre riunioni interdipartimentali per garantire che ogni divisione dell’organizzazione comprenda le politiche di sicurezza informatica e si impegni a rispettarle. Anche predisporre verifiche o sessioni di feedback regolari può aiutare a individuare le aree in cui la comprensione è carente.
Consiglio 2: prevedere incentivi e deterrenti
Tenendo conto dei risultati del sondaggio sulle violazioni delle politiche di sicurezza, in particolare tra i dipendenti più giovani e alcuni ruoli dirigenziali, i responsabili delle PMI dovrebbero implementare un approccio bilanciato che preveda incentivi più vantaggiosi per la conformità, ma, allo stesso tempo, anche conseguenze più severe per le violazioni. Una cultura aperta e favorevole alla segnalazione delle violazioni può anche consentire ai dipendenti di diventare i propri responsabili della sicurezza.
Inoltre, chiunque abbia esperienza nel settore della sicurezza avrà assistito a violazioni delle politiche commesse per portare a termine il proprio lavoro. Con questa consapevolezza, i responsabili dovrebbero implementare procedure semplificate che prevedano eccezioni alle politiche di sicurezza informatica. Una procedura chiara e semplice, attraverso la quale i dipendenti possano ottenere il permesso di aggirare temporaneamente un criterio di sicurezza, può aiutarli a svolgere il proprio lavoro senza ricorrere a comportamenti disonesti.
Suggerimento 3: adottare un programma di sicurezza che sfrutti l’intelligence sulle minacce
È incoraggiante che i responsabili delle PMI siano ottimisti sulla sicurezza, ma l’ottimismo può portare a un atteggiamento superficiale. Questi responsabili devono acquisire una comprensione più profonda dei propri asset più critici, dei criminali che li stanno prendendo di mira e delle minacce più probabili. Grazie a un programma di sicurezza che si avvalga dell’intelligence sulle minacce, possono realizzare cosa rischiano davvero, invece di limitarsi a ipotizzare cosa potrebbe accadere.
Le PMI dovrebbero implementare attività regolari di valutazione dei rischi e monitoraggio delle minacce per assicurarsi una comprensione accurata del proprio profilo di sicurezza. L’adozione di strategie proattive che prevedano la ricerca di minacce e la risposta agli eventuali incidenti può aiutare a individuare e mitigare i rischi prima che degenerino.
Suggerimento 4: utilizzare un gestore di password
Il sondaggio ha messo in evidenza che la gestione delle password è un’area che richiede un’attenzione d’importanza nevralgica. I gestori di password sono sempre più diffusi all’interno delle PMI, il che è un segnale decisamente positivo. Tuttavia, quasi la metà delle violazioni segnalate dagli intervistati è riconducibile a password compromesse.
Per affrontare questa problematica, le PMI dovrebbero distribuire un gestore di password a livello aziendale e renderne l’uso obbligatorio. Una formazione continua sulla sicurezza delle password sarà inoltre fondamentale per contrastare la mancanza di comprensione da parte dei dipendenti così come la scarsa importanza che tendono ad attribuire alle politiche in materia.
Consiglio 5: prepararsi alle minacce basate sull’intelligenza artificiale
Mentre le PMI si preparano alle sfide future, devono rimanere vigili contro gli attacchi di phishing, le vulnerabilità del cloud e la potenziale perdita di dati aziendali a causa di attacchi ransomware o malware. Anche il ruolo dinamico dell’intelligenza artificiale nella sicurezza informatica, in particolare gli attacchi di phishing basati sull’IA, è un aspetto che i responsabili delle PMI devono monitorare con attenzione.
Per rimanere aggiornati sui progressi tecnologici in materia di intelligenza artificiale e sicurezza informatica, questi responsabili potrebbero prendere in considerazione la possibilità di investire in strumenti di sicurezza basati sull’IA che includano funzionalità avanzate di rilevamento e risposta alle minacce. Sarà inoltre fondamentale formare i dipendenti sulle ultime tattiche di phishing, comprese quelle che sfruttano appunto l’intelligenza artificiale.
Le aziende più grandi del mondo si considerano ancora ad alto rischio ogni giorno, nonostante tutte le risorse possibili a loro disposizione, dunque non c’è motivo per cui le PMI non dovrebbero vedersi allo stesso modo.
Anche i piccoli passi possono fare una grande differenza per le PMI
Il percorso verso una cibersicurezza ottimale deve essere considerato dalle PMI come un processo continuo. D’altronde, è evidente che il principio “fidarsi è bene, non fidarsi è meglio” è ancora molto attuale per questo tipo di organizzazione. Sebbene sia importante che i responsabili si fidino dei dipendenti e dei sistemi aziendali, è altrettanto cruciale garantire costantemente che le politiche di sicurezza siano aggiornate, funzionali e rispettate.
La consapevolezza e gli investimenti in crescita che emergono dal sondaggio sulla cibersicurezza delle PMI sono risultati lodevoli. Tuttavia, c’è ancora molto da fare per allineare la cultura della cibersicurezza alle politiche in materia e colmare il divario tra le percezioni dei dirigenti e i comportamenti dei dipendenti. Concentrandosi su una formazione completa, sull’applicazione delle politiche e su tecnologie innovative, i responsabili delle PMI possono rafforzare le proprie difese e promuovere un futuro più sicuro.
* Il rapporto è disponibile solo in lingua inglese.
