Nonostante gli investimenti in formazione e tecnologia, il fattore umano rimane una delle principali fonti di rischio cyber per il 94% dei Ciso. Tra le principali “mancanze”, la tendenza a cliccare su link poco sicuri e l’utilizzo improprio dei dispositivi Usb.

Rischio cyber: i lavoratori prestano poca attenzione alla sicurezza

Nonostante l’aumento degli attacchi informatici e gli investimenti in cyber security, gran parte dei lavoratori presta ancora poca attenzione alla sicurezza informatica. Di conseguenza, i cyber criminali sfruttano le negligenze degli utenti come porta d’accesso per entrare nel sistema informatico delle aziende.

Stando ad un recente studio di Proofpoint, il 94% dei Ciso (Chief Information Security Officer) italiani afferma che il fattore umano rappresenta una delle principali fonti di rischio cyber. Tra i comportamenti imputabili come pericolosi figura la tendenza a cliccare su link poco sicuri (nell’80% dei casi), all’utilizzo improprio dei dispositivi Usb (65%), al download di allegati e file da fonti sconosciute (57%), alla condivisione di informazioni personali con fonti esterne (57%) e delle credenziali del proprio account (47%), fino all’utilizzo dei dispositivi aziendali da parte di amici e famigliari (39%).

Gli intervistati dichiarano che due terzi delle violazioni avvengono a causa “di insider negligenti o criminali”. Tuttavia, in alcuni casi, la responsabilità degli attacchi informatici ricade proprio sulla disattenzione degli stessi Ciso. Soltanto il 43% dei responsabili IT, infatti, ha l’abitudine di monitorare regolarmente l’accesso ai dati da parte degli utenti, mentre il 24% afferma di non avere una buona visibilità dei posti in cui vengono archiviati.

Le contromosse delle aziende per ridurre i rischi informatici

A fronte di uno scenario del genere, le aziende continuano ad investire in formazione, con l’obiettivo di educare e sensibilizzare i lavoratori in tema di sicurezza informatica. Il 96% delle imprese ha avviato iniziative mirate ad identificare le minacce basate sull’email. L’88% fa formazione sulla gestione delle password, mentre l’80% sulle best practices di sicurezza. Il 65% dei Ciso ha adottato tecnologie dedicate per controllare e gestire le minacce interne, mentre il 33% ha predisposto un piano di risposta al cosiddetto insider risk.

Tuttavia, circa un terzo delle aziende italiane non dispone di strumenti specifici per le minacce interne e un quinto è priva di protocolli specifici in materia.

“I dati non si perdono da soli, sono le persone a perderli” ha dichiarato Emiliano Massa, Area Vp regione Southern Europe di Proofpoint. “Vengono rubati da un aggressore esterno tramite credenziali compromesse, inoltrati a una terza parte non autorizzata da un utente disattento o rubati da un dipendente malintenzionato che spesso li passa a un concorrente. Sebbene i risultati della nostra indagine dimostrino che i Ciso sono ben consapevoli di questo problema e stanno adottando misure per contrastarlo, oggi è più importante che mai difendere i dati aziendali, proteggendo le persone che li trattano regolarmente, con processi di formazione e misure tecniche adeguate”.