Che cosa significa per la cyber sicurezza di un’azienda il fatto che questa tendenzialmente trascuri le misure organizzative? 
In assenza di misure organizzative di protezione, un’impresa è una facile preda per gli hacker. Se i collaboratori non sono stati istruiti sulla gestione sicura dei sistemi IT, anche le migliori misure tecniche non sono sufficienti per garantire una buona protezione. Per questo motivo, in ogni piano di sicurezza informatica devono rientrare, oltre alle misure tecniche, anche quelle organizzative. 

Quali sono le misure organizzative più importanti? 
Di solito, sono i collaboratori a permettere agli hacker di accedere alla rete aziendale. Da qui è poi semplice per i cyber criminali arrecare danni. La sensibilizzazione dei collaboratori è dunque di vitale importanza. I dipendenti dovrebbero sempre essere in grado di individuare le e-mail di phishing, di utilizzare password sicure e di non cliccare su link sospetti e sconosciuti. 

Sono disponibili delle cifre sulla frequenza con cui sono i collaboratori a consentire a un hacker l’accesso al sistema? 
Esistono parecchi studi, secondo i quali tra il 70 e il 95% dei cyber attacchi andati a buon fine è da ricondurre a un errore umano. A prescindere dal numero concreto, è chiaro che le persone siano la prima porta di accesso per i cyber attacchi. 

In caso di attacchi di phishing, i cyber criminali tentano di accedere a dati sensibili mediante SMS, telefono, e-mail ecc. per ottenerli illegalmente. Qual è il tipo di attacco di phishing che gli hacker perpetrano con maggior successo?  
Gli hacker ottengono il maggior successo con tematiche che risvegliano immediatamente l’interesse della vittima: confronti salariali in seno all’azienda mediante un nuovo tool, richiesta di pagamento dei dazi doganali per un pacchetto o partecipazione a un’estrazione. Avvalendosi di questi argomenti, gli hacker tentano di scatenare una rapida reazione della vittima con una certa pressione verbale (il cosiddetto social engineering). Vengono chiesti, tra l’altro, dati di login (nome utente, password) e informazioni riguardanti la carta di credito. Meno tempo si ha per riflettere, più velocemente si commette un errore. Sono proprio le PMI a essere spesso vittime del phishing, soprattutto per e-mail, in quanto sono considerate delle prede «più facili» rispetto alle grandi imprese. 

In che modo le PMI possono sensibilizzare i propri collaboratori sulla cyber protezione? 
Una possibile misure è la creazione di linee guida per la gestione sicura di dati, password e supporti di dati. Occorre inoltre designare una persona responsabile della sicurezza IT, alla quale i collaboratori possono rivolgere le proprie domande. Esistono poi vari tipi di training di sensibilizzazione. Per le PMI sono ideali, ad esempio, i video training, che possono essere svolti online in tutta semplicità. Al termine del training le conoscenze acquisite vengono verificate mediante delle simulazioni di phishing in modo tale da affinare ulteriormente la consapevolezza dei collaboratori. Questi training trattano, tra l’altro, la gestione delle e-mail, la separazione tra sfera privata e professionale e la protezione dei dati sensibili sul posto di lavoro. 

È sufficiente un unico training?  
No. Gli hacker trovano metodi di attacco sempre più raffinati e complessi. È pertanto importante che i collaboratori vengano istruiti regolarmente per essere aggiornati di continuo. Inoltre, la consapevolezza riguardante la cyber sicurezza aumenta solo se questa viene tematizzata periodicamente, facendo così dell’atteggiamento giusto una consuetudine. Occorre una vera e propria cultura della cyber sicurezza in azienda. La formazione e il perfezionamento professionale non sono solo un investimento nella cyber protezione, ma permettono a un’impresa anche di posizionarsi come datore di lavoro responsabile. La cyber protezione non è importante soltanto per le aziende, ma anche per i privati. I collaboratori ne approfittano dunque doppiamente.  

Le PMI dispongono dei mezzi finanziari a tale scopo?   
Le PMI hanno spesso riservato un budget troppo esiguo per la cyber sicurezza o addirittura non lo hanno proprio previsto. Pertanto raccomandiamo loro di integrare la tematica nel budget di pianificazione, al fine di disporre di risorse sufficienti, e di non perderla mai di vista. Abbiamo il sentore che la cyber protezione riguardi sempre più PMI, spesso purtroppo solo dopo che sono state oggetto di un attacco andato a buon fine.