Come i capi valutano la consapevolezza della sicurezza informatica dei propri dipendenti

Per quanto riguarda la consapevolezza della sicurezza informatica nelle aziende, non esiste un kit standard già pronto da acquistare una volta, installare e aggiornare di volta in volta. La sicurezza informatica deve essere intesa come un processo che deve essere continuamente adattato alle mutevoli condizioni. L'ingegneria e le tecnologie (come l'IA) aiutano in questo senso. Alla fine della catena di utilizzo dell'IT, tuttavia, ci sono le persone che svolgono le loro attività con l'aiuto di computer e dispositivi. Ed è qui che la sicurezza informatica diventa vulnerabile. Perché il fattore umano gioca sempre un ruolo decisivo quando si tratta di vulnerabilità.

Ma come la vedono i dirigenti delle aziende in Germania, Austria e Svizzera? Hanno fiducia che i loro dipendenti sappiano riconoscere un'e-mail di phishing che sembra ingannevolmente reale? Navigano tramite la VPN aziendale durante le loro pause nell'ufficio di casa, mettendo così a rischio l'IT dell'azienda? Qual è il livello di consapevolezza della sicurezza informatica tra la forza lavoro? Sophos voleva sapere questo, tra l'altro, dai manager senior e superiori (C-level) dei tre paesi di lingua tedesca. Per conto di Sophos, l'istituto di ricerca d'opinione Ipsos ha intervistato circa 200 manager dei settori commercio, servizi e produzione. Il sondaggio è stato classificato secondo il sistema tedesco, ovvero il voto migliore in ogni caso è 1.

Gradi per la consapevolezza della sicurezza informatica: Capi tedeschi 2, dipendenti 3

In tutti i settori, i manager tedeschi si attestano su una consapevolezza molto alta (35,3%) o alta (46,3%) della sicurezza informatica. Le dimensioni dell'azienda giocano certamente un ruolo nell'autovalutazione: nelle aziende più grandi (200 dipendenti e oltre), il 30,2% dei manager si attribuisce il voto 1, in quelle più piccole (50-199 dipendenti) è il 37,2%. Se si confrontano i settori, è soprattutto il settore del commercio quello in cui il 38,7% dei manager ritiene di avere una consapevolezza molto elevata della sicurezza informatica.

I manager tedeschi sono un po' più severi nella valutazione dei loro team: la maggioranza (41,8%) assegna loro solo un voto di 3 - Soddisfacente. La valutazione più alta per i dipendenti è stata data dai capi dei servizi (11%). Anche in questo caso, le dimensioni dell'azienda giocano un ruolo nella valutazione: i capi con un massimo di 199 dipendenti considerano la consapevolezza della sicurezza del proprio personale molto alta, con il 10,8%. I manager delle aziende con più di 200 dipendenti danno il massimo dei voti solo al 5,7% del personale. Addirittura, il grado 5 è attribuito al 3,8%, mentre le aziende più piccole attribuiscono questa scarsa consapevolezza della sicurezza informatica solo allo 0,7% dei loro dipendenti.

I dirigenti delle grandi aziende austriache attribuiscono più spesso a se stessi e ai loro collaboratori un 1

In Austria, invece, la situazione è leggermente diversa. Sebbene, come in Germania, la maggioranza (45,3%) attribuisca ai propri dipendenti un 3, la percentuale di voti massimi è complessivamente più alta che in Germania: qui, il 13,2% assegna ai propri team un 1 nell'area della consapevolezza informatica. E mentre in Germania le aziende più grandi hanno una valutazione più critica, nella Repubblica alpina è il contrario: il 17,6% delle aziende con più di 200 dipendenti assegna loro un 1 o un 2 nella consapevolezza della sicurezza.

I manager austriaci si attestano su una consapevolezza molto elevata della sicurezza informatica con il 41,5% e su una consapevolezza elevata della sicurezza informatica con il 39,6% - meglio delle autovalutazioni dei manager tedeschi. Rapporti di valutazione simili si riscontrano se si considerano le dimensioni delle aziende: Nelle grandi aziende, il 52,9% dei manager si valuta con un 1, mentre nelle aziende più piccole la percentuale è del 36,1%.

I manager svizzeri si danno un 2, i dipendenti un 2-3

La consapevolezza della sicurezza da parte del management in Svizzera è valutata con la media più alta, pari al 45,1%, con un voto pari a 2. Un po' di più nelle aziende più piccole (46,9%) e un po' meno nelle grandi aziende (42,1%). Il voto più alto viene dato dal 39,2% dei dirigenti svizzeri (nel settore manifatturiero addirittura dal 47,4%). Le grandi aziende si attribuiscono un 1 e un 2 con la stessa valutazione (42,1% ciascuna).

Il 35,3% dei responsabili politici svizzeri (26,3% nelle grandi aziende, 40,6% in quelle più piccole) valuta la consapevolezza dei propri dipendenti in materia di sicurezza come 3 e quindi soddisfacente. Le aziende più grandi assegnano ai propri dipendenti un 2 pari (36,8%, media 29,4%).

La formazione come misura di sicurezza aggiuntiva più importante

Per un'azienda su due in Germania, la formazione dei dipendenti è la misura più importante per migliorare la sicurezza informatica in azienda. La maggior parte delle aziende è consapevole che le persone sono un fattore critico per la sicurezza informatica. Nel sondaggio sulle misure adottate dai responsabili delle aziende per la sicurezza informatica, la formazione dei dipendenti è al primo posto da almeno due o tre anni, con il 55,7%. Il settore manifatturiero in Germania è particolarmente impegnato nella formazione da diversi anni, con il 64,6%, mentre la maggior parte del settore del commercio al dettaglio ha formato i propri team in questo senso solo da circa un anno (41,9%).

Anche nella vicina Austria, il 64,4% dei dirigenti investe da almeno due o tre anni nelle competenze dei propri dipendenti in materia di sicurezza come misura di protezione più importante. Nel commercio, questo valore è più basso, pari al 44,4%. Circa un'azienda su cinque organizza corsi di formazione per i dipendenti da un solo anno (20,8%). Anche in questo caso, c'è una forte differenza tra l'industria manifatturiera (27,8%) e il commercio (11,1%), con il 33,3% del commercio che dichiara di avere intenzione di farlo.

Gli svizzeri considerano anche la formazione del personale come la misura più importante per migliorare la sicurezza informatica, con il 66,7% al primo posto, e lo fanno da almeno due o tre anni. L'industria manifatturiera svizzera è ben al di sopra della media con l'84,2%, il commercio è ben al di sotto con il 37,5% e i fornitori di servizi sono vicini alla media con il 62,5%. Le dimensioni delle aziende non sono un parametro decisivo in Svizzera e si discostano solo marginalmente dalla media.

Summa Summarum: consapevolezza della sicurezza informatica soddisfacente probabilmente accettabile

Nel complesso e in tutti e tre i Paesi, i manager di Germania, Austria e Svizzera attestano un approccio fondamentalmente positivo e responsabile alla sicurezza informatica per loro stessi e per i loro team, anche se c'è ancora margine di miglioramento. L'esempio austriaco si distingue positivamente, in quanto è più benevolo nei confronti di se stesso e dei suoi dipendenti, mentre allo stesso tempo i dirigenti dell'azienda continuano a mantenere la consapevolezza con una regolare formazione continua.

I capi in Germania e in Svizzera giudicano se stessi e i loro dipendenti in modo molto simile. Anche la formazione dei team è da anni una delle misure di sicurezza più importanti; la Svizzera registra addirittura il valore più alto in questo caso, mentre, proprio come in Germania, assegna al personale solo un punteggio soddisfacente per quanto riguarda la consapevolezza della sicurezza informatica. Questa discrepanza tra l'attribuzione delle competenze e la formazione può avere diverse ragioni: forse la formazione non è ancora efficiente come si sperava o necessita di una fase di formazione più lunga. Forse, dopo anni di formazione in molti casi, un "soddisfacente" deve essere accettato per il momento come una consapevolezza sufficiente della sicurezza informatica nelle aziende, soprattutto in vista di tattiche di attacco sempre più insidiose come le e-mail di phishing o l'ingegneria sociale. In ogni caso, la formazione è e rimane un elemento fondamentale per la sicurezza informatica nelle aziende. I capi sono consapevoli della vulnerabilità delle persone nel sistema e si impegnano a migliorarlo con misure adeguate.

Fonte: Sophos