Formazione insufficiente e dirigenti presi di mira: i punti deboli della cybersicurezza delle aziende

Cyber Capterra

Nella seconda parte della Executive Cybersecurity Survey 2024 di Capterra, il noto fornitore indaga sulla tipologia e la frequenza della formazione che ricevono i lavoratori in materia di cybersecurity ed esplora i diversi attacchi subiti recentemente dalle aziende. Dall’approfondimento risulta che un’azienda che voglia tenere sotto controllo eventuali rischi di cybersicurezza a cui potrebbero essere esposti i dipendenti, deve innanzitutto preoccuparsi di fornire a tutti un training adeguato.

I training di cybersicurezza in Italia sono meno frequenti che in altri Paesi

I dipendenti italiani vengono formati in tema di cybersicurezza, su questo non c’è dubbio. Infatti, il 78% degli intervistati afferma di ricevere formazione sulla sicurezza informatica e sulle minacce digitali. Dalla comparazione dei dati italiani con quelli degli altri Paesi che hanno partecipato all’indagine però, risulta che la frequenza dei training potrebbe non essere adeguata. Se in Italia è il 37% degli intervistati a dire che la propria azienda richiede di svolgere formazione di sensibilizzazione sulla sicurezza ogni sei mesi o più spesso, in altre nazioni questa percentuale è ben più alta: in Brasile raggiunge il 70%, in U.S. il 57%, in Messico il 53%, e in U.K. il 50%.

In Italia il 41% degli intervistati afferma che la propria azienda richiede di svolgere formazione una volta l’anno e per il 17% invece la formazione non avviene su base regolare. Considerando quanto stiano diventando sofisticati certi attacchi alle aziende, specialmente con l’utilizzo dell’intelligenza artificiale da parte dei cybercriminali, una frequenza di training più elevata potrebbe risultare più efficace.

Data privacy e linee guida per l’uso dei social: tra i training forniti dalle aziende

Rimanendo sempre in tema formazione, il 71% degli intervistati afferma di ricevere training di data privacy, che hanno l’obiettivo di sensibilizzare i dipendenti sull’importanza della protezione dei dati e fornire loro le competenze necessarie per prevenire le violazioni. Una percentuale significativamente più bassa invece, ovvero il 34%, dice di ricevere training per l’utilizzo dei social media aziendali. Cyber attacchi come il phishing possono avvenire anche sui social media, per esempio con la creazione di profili falsi, per cui anche la formazione per l’uso dei social network aziendali è fondamentale.

Dirigenti aziendali nel mirino dei cyber criminali

A cosa porta la mancanza di training sulla sicurezza? Al rischio di una maggiore esposizione agli attacchi dei cyber criminali. Secondo il 32% degli intervistati, la negligenza nei confronti dei training di cybersecurity da parte dei dirigenti aziendali ha portato ad un attacco informatico all’interno dell’azienda. Non c’è da stupirsi se si considera anche che i dirigenti aziendali sono tra i bersagli preferiti degli attacchi informatici: il 55% degli intervistati afferma che negli ultimi tre anni sono aumentati gli attacchi informatici che hanno preso di mira i dirigenti dell’azienda per cui lavorano. Il phishing sembra essere una tecnica piuttosto diffusa per chi prende di mira queste figure aziendali: il 55% degli intervistati dichiara che questo metodo è stato utilizzato per colpire i dirigenti aziendali negli ultimi 18 mesi. In particolare, il download di documenti da parte dei dirigenti da fonti inaffidabili ha portato a un attacco informatico, dice il 44%.

Oltre al phishing, negli ultimi 18 mesi i dirigenti sono stati anche nel mirino degli attacchi malware, d’accordo con quanto afferma il 48% degli intervistati e di attacchi alle password, per il 31%.

Alla luce di questi dati, la formazione in materia di cybersicurezza si conferma essenziale per tutti in azienda, o si rischia di diventare lo spiraglio di accesso dei criminali a informazioni sensibili.