Gli esperti della sicurezza informatica sono spesso affrontati da sfide e frustrazioni che possono influire negativamente sulla loro capacità di proteggere le organizzazioni dai rischi di cyber sicurezza. Un recente sondaggio condotto da KnowBe4 ha rivelato che oltre un quarto (29%) dei professionisti della sicurezza ha riferito che il loro consiglio è stato ignorato al lavoro, mentre il 12,5% ha dichiarato di lavorare in un ambiente di sicurezza inadeguato. Questi dati sottolineano l’importanza di creare una cultura di sicurezza robusta all’interno delle organizzazioni, in cui la sicurezza informatica è considerata una responsabilità condivisa piuttosto che un compito esclusivo del dipartimento IT.
Consapevolezza della sicurezza: un problema persistente
La formazione sulla consapevolezza della sicurezza è spesso inefficace. Mentre le organizzazioni continuano a dipendere da questo tipo di formazione, è necessario cambiare approccio. La formazione deve essere più coinvolgente, rilevante e personalizzata per i diversi ruoli e necessità degli impiegati. Invece di fornire un’unica sessione di formazione annuale, le organizzazioni dovrebbero adottare interventi più brevi e tempestivi, come le “nudges”, che possono essere molto efficaci nel promuovere la consapevolezza della sicurezza e creare una cultura di vigilanza.
Utilizzo dell’intelligenza artificiale
L’uso dell’intelligenza artificiale (AI) nelle organizzazioni è un tema controverso. Mentre il 41% dei rispondenti ha dichiarato di avere una politica responsabile per l’uso dell’AI, un significativo 30,5% ha riferito che le loro organizzazioni non hanno una tale politica o non hanno intenzione di introdurla. È cruciale che le organizzazioni stabiliscano linee guida chiare e politiche per l’uso responsabile dell’AI, considerando le implicazioni etiche, la trasparenza e la responsabilità, nonché la mitigazione dei potenziali bias o conseguenze non intenzionate.
Rischi di social engineering
La minaccia principale per le organizzazioni è rappresentata dai tentativi di ingegneria sociale. L’AI e i deepfakes sono strumenti recenti utilizzati dai cybercriminali per campagne di ingegneria sociale. È essenziale concentrarsi sulle minacce di ingegneria sociale piuttosto che sulle tecnologie stesse. La formazione sulla consapevolezza della sicurezza deve includere esercitazioni e scenari realistici per preparare gli impiegati a riconoscere e evitare queste minacce.
Comportamenti rischiosi degli impiegati
Il sondaggio ha rivelato che molti impiegati commettono azioni rischiose, come utilizzare servizi di intrattenimento o streaming (33%), condividere informazioni personali (14%) e utilizzare dispositivi non autorizzati come stick USB (7,5%) al lavoro. Queste azioni possono esporre le organizzazioni a minacce di sicurezza, sottolineando l’importanza della formazione sulla consapevolezza della sicurezza. Tuttavia, il 8,5% dei rispondenti ha citato la formazione sulla consapevolezza della sicurezza come una grande frustrazione, suggerendo che le attuali programmi di formazione potrebbero non essere efficaci.
Costruire una cultura di sicurezza robusta
Per affrontare queste sfide, le organizzazioni devono investire nel miglioramento delle decisioni di rischio degli individui, fornendo loro le conoscenze e gli strumenti necessari per riconoscere e evitare le minacce. Inoltre, è essenziale creare un ambiente in cui prendere le decisioni corrette sia il percorso di minore resistenza. La formazione sulla consapevolezza della sicurezza deve essere continuativa e mirata ai cambiamenti nelle tecnologie e nelle minacce.
Suggerimenti e Consigli
- Formazione sulla consapevolezza della sicurezza: Le organizzazioni dovrebbero adottare una formazione sulla consapevolezza della sicurezza continua e personalizzata, che includa esercitazioni e scenari realistici per preparare gli impiegati a riconoscere e evitare le minacce.
- Politiche per l’uso dell’AI: Le organizzazioni dovrebbero stabilire linee guida chiare e politiche per l’uso responsabile dell’AI, considerando le implicazioni etiche, la trasparenza e la responsabilità.
- Cultura di sicurezza: È essenziale creare una cultura di sicurezza robusta all’interno delle organizzazioni, in cui la sicurezza informatica è considerata una responsabilità condivisa.
- Formazione continua: Le organizzazioni dovrebbero offrire formazione continua e aggiornamenti per mantenere gli impiegati informati sulle minacce e le tecnologie più recenti.
- Cooperazione tra dipartimenti: Tutti i dipartimenti all’interno delle organizzazioni dovrebbero collaborare per affrontare le minacce di sicurezza, condividendo informazioni e risorse.
La sicurezza informatica è un compito complesso che richiede un approccio integrato e continuo. Le organizzazioni devono investire nel miglioramento della consapevolezza della sicurezza, fornendo formazione efficace e personalizzata, e creando una cultura di sicurezza robusta. L’uso dell’AI e delle tecnologie avanzate può essere un alleato, ma solo se accompagnato da politiche chiare e formazione adeguata. La sicurezza informatica non è un problema che possa essere risolto con un singolo intervento; richiede un impegno continuo e una collaborazione tra tutti gli impiegati.
Fonte: https://www.infosecurity-magazine.com/blogs/frustrations-concerns-infosec-pros/
