Milano, 17 dicembre 2018 – BSA | The Software Alliance ha pubblicato i risultati di una nuova indagine sulle competenze e le abitudini in tema di sicurezza informatica dei dipendenti delle PMI italiane, che ha rilevato una situazione preoccupante: i dipendenti delle piccole e medie imprese nostrane non riconoscono i comportamenti che possono comportare dei rischi per la sicurezza informatica e non comprendono le proprie responsabilità.
I dipendenti non sanno, infatti, riconoscere i rischi quotidiani legati alle tecnologie utilizzate per lavoro. Ad esempio, la maggior parte (70%) non pensa che utilizzare un dispositivo non autorizzato (come una USB) possa rappresentare una minaccia, mentre il 60%non crede che installare un’applicazione senza i diritti di amministratore costituisca un rischio. Infine, un preoccupante 64% non ritiene che scaricare musica o film illegalmente possa mettere in pericolo l’azienda.
La scarsa attenzione alla sicurezza informatica e ai comportamenti pericolosi online costituisce un rischio ancora maggiore nel periodo che precede le feste, quando i dipendenti sono maggiormente portati a utilizzare i device aziendali per ragioni personali, come l’acquisto dei regali: il 29% degli intervistati ha infatti ammesso di utilizzare i dispositivi business per scopi personali.
La comodità batte l’accountability
Gli intervistati hanno dichiarato che le principali ragioni per aver condotto attività non sicure sono il risparmio di tempo (33%) e la comodità (32%). È inoltre emerso che solo il 44% si sentirebbe responsabile di una violazione di sicurezza causata dal proprio comportamento.
Secondo i risultati dell’indagine, i dipendenti sembrano esporsi deliberatamente alle cyber minacce. Infatti, solo il 32% installa solamente applicazioni in linea con la policy di sicurezza e meno della metà aggiorna i software sui propri dispositivi aziendali (42%). Inoltre,il 57% dei dipendenti cercherebbe di ottenere i tool (app, dati o accessi) di cui ha bisogno per essere più produttivo senza il permesso dell’ IT, dato che evidenzia la necessità di maggiore formazione e governance per assicurarsi che le misure di resilienza siano efficaci nelle organizzazioni.
Una falsa sensazione di sicurezza
I risultati dell’indagine suggeriscono che i dipendenti sottovalutino l’entità delle minacce per la propria azienda. La maggior parte degli intervistati crede, generalmente, che le misure di cyber resilienza applicate dalla propria organizzazione siano efficaci (85%)e che l’azienda si sia adattata abbastanza velocemente per affrontare le minacce informatiche in costante evoluzione (78%).
Tuttavia, le risposte alla domanda sulle specifiche misure implementate dalla propria organizzazione per affrontare le cyber minacce sono meno notevoli:
- Solo il 19% ha ricevuto training di sicurezza informatica dedicati
- Solo il 25% ha notato policy più severe di sicurezza o utilizzo (relativamente all’accesso ai servizi)
- Solo il 18% dei dipendenti ha ricevuto linee guida sulle best practice
Ciò comporta un’ulteriore carenza di consapevolezza nelle PMI italiane: meno della metà dei dipendenti (43%) sa se la propria organizzazione sia stata vittima di un attacco informatico o abbia subito una violazione o un furto di dati.
È necessario passare all’azione
“I risultati dell’indagine hanno rivelato l’importanza per le PMI di dedicare maggiore impegno alla formazione dei propri dipendenti in merito alla sicurezza informatica”, ha commentato Paolo Valcher, Chairman di BSA Italia. “Assistiamo a una vera ribellione alla cyber resilienza, con un numero allarmante di dipendenti che non sa riconoscere le attività ad alto rischio, non si sente responsabile delle proprie azioni e non si fa scrupoli a bypassare i responsabili IT”.
“Le organizzazioni devono prendere in mano la situazione: più formazione e maggiore consapevolezza. Anche insegnamenti basilari come l’utilizzo adeguato delle password e una buona gestione dei software possono rivelarsi fondamentali. La maggior parte delle violazioni di sicurezza è dovuta all’errore umano ma i dipendenti delle PMI non hanno ancora compreso che ciascuno è responsabile della protezione dell’azienda per cui lavora”.
Discussione su post