Cybersecurity: un problema di consapevolezza
La buona notizia è che Internet ha migliorato il mondo del lavoro e la vita personale secondo l’86,3% di cittadini, il 74% di liberi professionisti e l’84% delle imprese intervistate. Purtroppo però, se da una parte Internet è parte integrante della nostra vita , quando si parla di sicurezza e protezione delle informazioni ci sono ancora grandi contraddizioni e poca consapevolezza.
E’ quanto emerge dall’indagine sulla percezione e sulla consapevolezza della vulnerabilità digitale in Italia condotta su cittadini, microimprese e PMI da Euromedia Research e commissionata da Yoroi, società italiana riconosciuta per la qualità e l’affidabilità dei servizi di cybersecurity che propone al mercato, i cui risultati saranno presentati domani.
Li anticipa per noi un vecchio amico (vedi primo capitolo de L’intelligenza Collaborativa): David Bevilacqua, oggi Presidente e AD di Yoroi, dopo una lunga carriera in Cisco di cui è stato per molti anni CEO, prima a livello Italia e poi Europa.
M.M.: David, parliamo spesso di Digital Transformation. Secondo te quanto e come la tecnologia digitale ha cambiato la nostra vita?
D.B.: L’uso pervasivo ed avanzato della tecnologia ha trasformato la nostra vita, modellando un mondo nuovo in cui i confini tra spazio fisico e spazio digitale non esistono più. Viviamo in una società interconnessa, all’interno della quale ci scambiamo, a volte inconsapevolmente, enormi quantità di dati e utilizziamo abitualmente oggetti che sono costantemente collegati alla rete. A casa, in ufficio, mentre passeggiamo per strada. Entriamo in azienda con il nostro smartphone personale uno smartwatch al polso, portiamo a casa il PC aziendale perché la Rete ci offre il vantaggio di non dover essere fisicamente presenti in ufficio per lavorare.
M.M.: Tutto bene dunque, nessuna controindicazione?
D.B.: Apparentemente la nostra vita non sembra cambiata: continuiamo a recarci in ufficio, usciamo con gli amici trascorriamo serate rilassanti a casa, leggendo un libro o guardando un film in TV. Siamo consapevoli dei pericoli e facciamo di tutto per evitarli: abbiamo serrature alle nostre porte, allarmi per proteggere le nostre abitazioni ed i nostri uffici, mura all’interno delle quali ci sentiamo protetti ed al sicuro. Non camminiamo in zone rischiose nel cuore della notte ed evitiamo tutti quei luoghi in cui la nostra sicurezza o i nostri beni materiali sono in pericolo.
Abbiamo acquisito un’adeguata consapevolezza dei rischi che il mondo fisico presenta e siamo in grado di mettere in atto le contromisure necessarie a ridurre questi rischi.
Non abbiamo però la stessa attitudine quando si tratta digitale. Lo dimostra la ricerca che Yoroi ha realizzato in collaborazione con Euromedia Research con l’obiettivo di indagare percezione e consapevolezza degli italiani (cittadini e PMI) sulla vulnerabilità digitale. Il 93,2% delle persone si collega ad Internet quotidianamente, con una media di permanenza online di 6 ore. Nella percezione comune, il digitale è un mondo a cui si accede soltanto quando ci si collega a un determinato sito o applicazione online. In realtà, anche quando pensiamo di essere off-line, i dispositivi che ci accompagnano (smartphone, braccialetti per il monitoraggio dell’attività fisica, smartwatch, per citarne solo alcuni) continuano a scambiare dati e informazioni con altri device.
M.M.: E che male c’è in questo?
D.B.: Manca la percezione dei rischi e delle vulnerabilità, non abbiamo ancora compreso che non esiste una separazione netta tra digitale e fisico e riteniamo che la sicurezza digitale dipenda esclusivamente dalla tecnologia. Infatti, soltanto il 6% delle persone intervistate usa password diverse a seconda delle applicazioni a cui accede e soltanto il 5,5% cambia password frequentemente. I dati della ricerca dimostrano che è necessario superare il sensazionalismo con cui, spesso, il tema della cybersecurity viene trattato. Bisogna fare informazione e formazione per dare alle persone gli elementi necessari per diventare parte attiva del processo di difesa e protezione delle informazioni e dei dati.
Il “perimetro” della sicurezza
M.M.: Nella ricerca si legge che siamo legati ad un concetto “perimetrale” di sicurezza (lo stesso che abbiamo acquisito nel mondo fisico): oltre il 50% degli italiani si sente più sicuro quando è connesso ad Internet dalla propria abitazione: le pareti domestiche sono sinonimo di sicurezza, quasi come se chiudere la porta di casa consentisse di tenere fuori gli hacker dalla nostra rete.
D.B.: Lo stesso concetto di sicurezza perimetrale è applicato dalle aziende. La ricerca ha evidenziato infatti che la protezione del perimetro continua ad essere la principale preoccupazione degli imprenditori italiani, nonostante il continuo proliferare di oggetti e persone connesse alla rete e il continuo aumento di servizi cloud indichino che viviamo in un mondo difficilmente circoscrivibile.
Un problema culturale, prima che tecnologico
M.M.: Ma è sufficiente proteggere il perimetro in un mondo che non ha più perimetri, in un contesto in cui molte componenti di un processo industriale sono connesse ad Internet e interagiscono automaticamente tra di loro?
D.B.: Evidentemente non lo è, dal momento che il 44% delle aziende intervistate ha dichiarato di aver rilevato attacchi cyber nel corso degli ultimi 12 mesi, con una perdita economica giudicata considerevole per il 34%. Probabilmente questo dato è ancora più ampio, per due motivi: il primo è legato al fatto che molte aziende non dichiarano di aver subito un attacco per salvaguardare la loro immagine nei confronti dei clienti. Il secondo è che molte aziende hanno subito attacchi, ma non ne sono consapevoli.
E’ importante che i nostri imprenditori comprendano i rischi e mettano in campo le adeguate contromisure. Così come nel mondo fisico, nel digitale non esiste il 100% di sicurezza ed è necessario agire per limitare i rischi. Bisogna acquisire consapevolezza e comprendere che quello cyber è un rischio che riguarda tutta l’azienda, mentre per ora sembra essere considerato un problema tecnico la cui soluzione è demandata al reparto IT.
M.M.: Mi sembra un problema analogo a quello relativo alla Social Organization di cui tante volte abbiamo parlato: l’approccio tecnocratico imperante fa sì che lo sviluppo di un Digital Workplace sia considerato solo un problema dell’ICT, quando invece il tema è fondamentalmente culturale e cognitivo: richiede un cambio di passo del mindset aziendale che riguarda prima di tutto Top Management e Direzione HR e poi chi si occupa di tecnologia.
D.B.: Esattamente come all’inizio dell’era della trasformazione digitale era importante comprendere che non si trattava di acquisire tecnologia, ma di usarla per migliorare la produttività e la competitività di tutta l’azienda, oggi è indispensabile capire che la necessità di metterla in sicurezza è un tassello fondamentale per garantirne la piena operatività. E’ un problema di tutti: del Top Management, dei sistemi informativi dei responsabili delle aree di business e di quelli di produzione, oltre che naturalmente dell’HR, poichè è necessario fare formazione e cultura, a tutti i livelli dell’impresa.
La nostra ricerca ci dice che c’è molto da fare: aiutare i dipendenti ad acquisire una maggiore consapevolezza – anche attraverso corsi di formazione specifici sulla sicurezza digitale – non sembra infatti essere una preoccupazione delle aziende. Nel 78% dei casi, nessun dipendente (42%) o solo alcuni dipendenti (36%) hanno partecipato ad un corso per acquisire le basi di un comportamento consapevole che non esponga l’azienda ad inutili rischi.
Un approccio a 360 gradi
M.M.: In tempi non sospetti abbiamo sottolineato come redarre e diffondere una social media policy volta a tutelare la sicurezza delle aziende senza chiudersi in un approccio ottusamente difensivo sia essenziale per adeguare le aziende alle sfide della Digital Transformation (vedi il post HR 2.0? Una social media strategy per le risorse umane. Parte sesta: la Social Media Policy, ripreso e sviluppato nel Capitolo 10 di Intelligenza Collaborativa). Più in generale, nelle nostre conversazioni mi dici spesso che un approccio a 360 gradi alla cybersecurity implica la stretta sinergia tra 3 componenti: tecnologie, competenze e comportamenti.
D.B.: E’ indispensabile che l’approccio alla sicurezza delle aziende unisca intelligenza tecnologica e umana. Servono specialisti, che effettuano un’analisi costante delle minacce per mettere in campo contromisure tempestive e nuove potenziali modalità di attacco. E’ importante pensare, oltre che alla difesa preventiva, anche alla “reazione”, dotandosi di tecnologie, processi e azioni da mettere in campo nel momento in cui un attacco supera le difese.
Ed è necessario che tutti noi acquisiamo modelli comportamentali che tengano conto dei pericoli che provengono dal cyberspazio e ci permettano di evitarli o quantomeno di minimizzarli per non mettere a rischio i nostri dati e il business delle aziende per cui lavoriamo. La sicurezza digitale è un bene comune ed è necessario l’impegno di tutti.
La ricerca in sintesi
L’illusione perimetrale
La ricerca evidenzia che il 44,6% del campione ritiene che le informazioni personali on line non siano al sicuro, mentre quasi il 66% degli intervistati ritiene che bisognerebbe evitare di diffondere informazioni personali online. Complici anche i recenti fatti di cronaca, il 62,5% dei nostri connazionali pensa che il rischio di essere vittima di attacchi cyber sia aumentato rispetto al passato, ma il 40% degli intervistati ritiene di non poter essere oggetto di attacchi in quanto utilizza Internet in modo molto elementare.
L’81,4% degli italiani è convinto che la sicurezza totale non esista nel mondo digitale e oltre il 50% degli italiani si sente più sicuro quando naviga dalla propria abitazione piuttosto che dal posto di lavoro (10,4%). Quest’ultimo dato conferma come il nostro modello di approccio alla protezione digitale sia erroneamente legato a quello di sicurezza fisica: ci si sente al sicuro tra le pareti domestiche quasi come se chiudere a chiave la serratura di casa possa automaticamente chiudere fuori dalla porta gli hacker.
Cosa rappresenta la sicurezza informatica per i cittadini italiani? Per il 34,4% è un bisogno primario, per il 33,5% è un diritto, per il 13,4% è un valore, per il 10% un’emergenza e soltanto per il 5,5% è un dovere.
Questi dati evidenziano come, se da una parte c’è una presa di coscienza del problema, dall’altra – per la stragrande maggioranza degli intervistati – la protezione delle informazioni dipende solo in minima parte da ciascuno di noi.
Infatti, quando si parla di meccanismi di protezione che dipendono dalla persona, soltanto il 6% degli intervistati utilizza password diverse a seconda dei siti che visita e soltanto il 5,5%% cambia password frequentemente.
Per i liberi professionisti l’antivirus è la soluzione
Se per oltre il 60% dei cittadini il concetto di sicurezza informatica è legato ad un generico senso di protezione, nel mondo del lavoro acquisisce un significato più preciso. Per oltre la metà (52%) di liberi professionisti e piccoli imprenditori è infatti associato ad una soluzione informatica che protegga dati e informazioni. Per la maggior parte di questi (28%) è l’antivirus, per il 10% la protezione dei dati, per l’8% è la sicurezza del PC, per il 6% si tratta di una soluzione firewall.
La consapevolezza di poter essere oggetto di attacco informatico è alta (90% degli intervistati) e il timore principale è legato al furto di dati (48%), seguito dalla perdita dei dati (10%) e virus (8%).
Mentre l’80% dei professionisti intervistati dichiara di utilizzare sistemi di prevenzione, i più «temerari» (che non utilizzano alcun sistema di prevenzione per possibili attacchi) sembrano essere i titolari (18,9%), under 30 anni (31,3%) residenti in Centro Italia (40%).
In caso di un serio disastro informatico, il 64% dei liberi professionisti ritiene di disporre di procedure adeguate da utilizzare per il ripristino delle attività, mentre il 26% non saprebbe come comportarsi. Il 6% ritiene eventi del genere praticamente impossibili nel proprio studio.
La cybersecurity e le PMI italiane
Lo studio Yoroi ha voluto fotografare anche la situazione delle PMI italiane in tema sicurezza digitale. Il 44% di queste ha dichiarato di aver rilevato attacchi informatici nel corso dell’ultimo anno (il 20% ha subito alcuni attacchi, il 12% ha rilevato attacchi multipli e il 12% un solo attacco).
Per gli intervistati che hanno dichiarato di aver subito un attacco (44%), la perdita economica è stato giudicata considerevole per il 34% degli intervistati, molto elevata per il 4% e non preoccupante per il 6%.
Se esplodiamo a 100 l’universo degli attacchi individuati, il 50% di coloro che hanno subito un attacco ritiene possa essere stato perpetrato da hacker generici, mentre per il 36,4% presumibilmente l’attacco è stato causato da dipendenti o ex dipendenti (rispettivamente 22,7% e 13,7%).
In generale, il 60% degli intervistati non ritiene che l’azienda per cui lavora prenda in giusta considerazione la sicurezza informatica.
Alla domanda “Come si protegge la sua azienda dai crimini informatici”, il 40% delle aziende ha dichiarato di avere soluzioni di protezione perimetrale (Firewall, Antispam, Antiphishing), il 30% soluzioni di intrusion prevention (IPS/IDS), il 16% protezione specifica dal Malware.
La protezione perimetrale, dunque, continua ad essere la principale preoccupazione delle aziende, nonostante il continuo proliferare di oggetti e persone connesse alla rete e il continuo aumento di servizi cloud indichino che viviamo in un mondo difficilmente circoscrivibile.
Aiutare i dipendenti ad acquisire una maggiore consapevolezza – anche attraverso corsi di formazione specifici sulla sicurezza digitale – non sembra essere una preoccupazione delle aziende. Nel 78% dei casi, nessun dipendente (42%) o solo alcuni dipendenti (36%) hanno partecipato ad un corso per acquisire le basi di un comportamento consapevole che non esponga l’azienda ad inutili rischi.
******
Metodologia della ricerca:
Le interviste sono state condotte da Euromedia Research il 22 novembre e 2 dicembre 2016 su un panel così strutturato: cittadini: n°1.000 interviste telefoniche e via web (cati – cami – cawi). Liberi professionisti – imprenditori – lavoratori autonomi: n°50 interviste telefoniche in profondità. Imprese: n°50 interviste telefoniche e via web (cati – cami – cawi).
Informazioni su Yoroi
“Defence belongs to Humans”. Questo il credo che guida l’approccio alla sicurezza di Yoroi, azienda italiana fondata da Marco Ramilli, che fornisce servizi gestiti di sicurezza attraverso un approccio innovativo, che unisce intelligenza tecnologica e umana. Il Defence Center è la piattaforma tecnologica di Yoroi che protegge i clienti dell’azienda dagli attacchi informatici, mentre un team di specialisti effettua un’analisi costante delle minacce per mettere in campo contromisure tempestive e identificare nuove potenziali modalità di attacco. Yoroi ha sede a Bologna e Cesena ed è stata definita da Hakin9.org come una delle più straordinarie aziende create in Europa. www.yoroi.company