Nell’era digitale, il cybersecurity management non è più un optional, ma una necessità vitale per le aziende e per la società nel suo complesso. Con sistemi informatici sempre più articolati all’interno delle aziende e i servizi essenziali rivolti alla popolazione anch’essi informatizzati, dal settore bancario alla sanità, dall’energia alla formazione, l’imperativo di un robusto cybersecurity management all’interno delle imprese, pubbliche e private, è più evidente che mai. Ignorare questa realtà significa mettere a rischio non solo la privacy e i dati sensibili delle persone, ma anche minare la fiducia dei cittadini verso le istituzioni in un caso o dei clienti verso le aziende nell’altro, mettendone in pericolo anche la stabilità economica.
Non è un caso che “cybercrime diffuso e cyber insecurity” sono nella Top 10 dei rischi più gravi che potremmo dover affrontare a livello globale da qui a due anni, ma anche durante tutto il corso del prossimo decennio. A dirlo è il Global Risks Report 2023 realizzato dal World Economic Forum. Lo studio sostiene che il veloce sviluppo e l’adozione di nuove tecnologie presentano una serie di rischi significativi: l’intreccio sempre più stretto tra tecnologia e il funzionamento vitale delle società espone le popolazioni a minacce interne dirette, comprese quelle che minacciano di destabilizzare il tessuto sociale. Oltre all’aumento della criminalità informatica, i ricercatori del WEF si aspettano una proliferazione di attacchi mirati a interrompere risorse e servizi critici basati sulla tecnologia. Settori come agricoltura, approvvigionamento idrico, finanza, sicurezza pubblica, trasporti, energia e infrastrutture di comunicazione rischiano di essere bersagliati.
Indice degli argomenti
Perché si parla tanto di cybersecurity in Italia
Dunque, per rispondere alle minacce informatiche sempre più frequenti e sempre più sofisticate, con potenziali impatti devastanti per le aziende di tutte le dimensioni, sviluppare una strategia di cybersecurity management efficace e sempre aggiornata è ciò che le organizzazioni devono fare, questione di sopravvivenza.
E se questo suggerimento vale a livello globale, meriterebbe maggiore considerazione proprio nel nostro Paese. L’Italia, infatti, continua ad essere bersaglio di attacchi informatici con un aumento significativo delle minacce di anno in anno. Dice il Rapporto Clusit (Associazione Italiana per la Sicurezza Informatica) che, se a livello mondiale è possibile notare un aumento costante degli attacchi con finalità di cybercrime, principalmente per estorcere denaro (oltre 1.160 attacchi registrati globalmente, rispetto ai 2.043 dell’intero anno 2022), nell’arco temporale dal 2018 al primo semestre del 2023, l’Italia ha visto un aumento esponenziale degli incidenti informatici, con una crescita complessiva del 300%, rispetto al 61,5% a livello globale. Nel periodo di cinque anni, continua lo studio, si sono registrati 505 attacchi di particolare gravità nel territorio italiano, di cui 132 solo nel primo semestre del 2023, rappresentando il 26% del totale.
Cybersecurity management ed HR: il ruolo della formazione
Ma alzare i più alti “muri di fuoco” (firewall, n.d.r.) non basterà a mettere al sicuro i sistemi informatici delle aziende se c’è chi dall’interno, anche inconsapevolmente, apre varchi dai quali cavalli di troia e tutta l’armata dei virus informatici possono sferrare un attacco fatale.
Secondo il Global Talent Trends Study di Mercer quasi due terzi (62%) dei dirigenti affermano che la minaccia più grande alla sicurezza informatica della propria organizzazione è il mancato rispetto delle regole di sicurezza dei dati da parte dei dipendenti, non degli hacker o dei fornitori. E uno studio congiunto condotto dal professor Jeff Hancock dell’Università di Stanford e dalla società di sicurezza Tessian, Psychology of Human Error 2022, giunto alla sua seconda edizione, ha rilevato che ben l’88% degli incidenti di violazione dei dati sono causati da errori dei dipendenti.
Naturalmente modelli di lavoro a distanza, così come l’uso di pratiche Byod (acronimo di Bring Your Own Device) aumentano il livello di rischio. Sempre secondo lo studio Tessian, il lavoro remoto o ibrido causa distrazione e influisce sul carico cognitivo delle persone. Ciò ha generato una percentuale più elevata di persone che commettono errori che compromettono la sicurezza informatica − come fare clic su un’e-mail di phishing o inviare dati alla persona sbagliata − a causa di stanchezza e distrazione, rispetto ai dati dell’edizione precedente della ricerca.
Ecco che in questo contesto il ruolo delle HR diventa fondamentale per diffondere la cultura della sicurezza e per tenere sempre aggiornata la forza lavoro sulle linee guida e le procedure da adottare nell’utilizzo degli strumenti informatici, hardware e software, dati in dotazione dalle aziende.
Oltre infatti doversi attenere essa stessa alle pratiche più stringenti di cybersecurity management, maneggiando i dati sensibili dell’intera popolazione aziendale nelle proprie attività quotidiane, la Divisione HR ha la responsabilità della formazione di tutti i dipendenti, anche in merito a questo tema. Tale formazione dovrebbe abbracciare una serie di argomenti chiave, tra cui il riconoscimento e la gestione di scenari comuni come il phishing e la sicurezza delle password, l’accesso da remoto, l’uso corretto dei dispositivi utilizzati. E non deve essere prevista solo il giorno dell’assunzione o di tanto in tanto, ma va ripetuta periodicamente. Una ricerca realizzata dalla Advanced Computing Systems Association, nota anche come Usenix, ha rilevato che i dipendenti erano ancora in grado di individuare facilmente le e-mail di phishing quattro mesi dopo la formazione iniziale. Ma dopo sei mesi gli stessi dipendenti cominciavano a dimenticare ciò che avevano imparato. Ciò ha indicato la necessità di intraprendere un percorso di formazione lungo tutto il ciclo di vita del lavoratore a incontri scadenzati, distanti tra loro non più di sei mesi.
