Demo

Le statistiche mondiali dimostrano il fallimento della Cyber Security Awareness. Ma davvero?

Nicolás Bruna Blog Nessun commento

Le statistiche mondiali dimostrano il fallimento della Cyber Security Awareness. Ma davvero?

Finalmente i report dicono qualcosa di nuovo

Negli ultimi anni, i report sulla sicurezza informatica hanno ripetutamente sottolineato un problema crescente: il problema degli attacchi di ingegneria sociale sta peggiorando. Che noia!

Eppure, questo scenario allarmante sembra persistere nonostante le ingenti risorse investite nella sensibilizzazione e nella formazione sulla sicurezza informatica. Le statistiche sembrano suggerire che gli sforzi per aumentare la consapevolezza non stiano dando i risultati sperati. Ma è davvero così?

Il ragionamento sembra logico: se le aziende stanno investendo in campagne di awareness e le statistiche globali continuano a peggiorare, significa che la sensibilizzazione è inefficace. Ovviamente, questa conclusione appare logica solo se si considera la sensibilizzazione come l’unica variabile in gioco.

Paperelle contro Volpi

Per aiutare chi redige questi report a fornire informazioni più accurate, ecco una spiegazione con un esempio semplice:

Immaginiamo un universo iniziale di 10 paperelle. Una volpe arriva e li mangia tutte.

Conclusione dei report: il 100% delle paperelle muore di fronte alla minaccia di una volpe.

Ora, immaginiamo un altro universo con 10 nuove paperelle, di cui 3 sono state sensibilizzate sul rischio di essere mangiati da una volpe. Quando la volpe arriva, 2 delle 3 paperelle sensibilizzate riescono a evitare la minaccia e la volpe ne mangia 8. Grazie alle campagne di awareness, l’80% delle paperelle muore di fronte alla minaccia di una volpe, un miglioramento significativo rispetto al 100% dello scenario precedente.

Conclusione dei report: la sensibilizzazione consente di ridurre il rischio di essere mangiati da una volpe.

Di fronte a questa realtà, più paperelle iniziano ad essere sensibilizzate.

Ora abbiamo 100 paperelle consapevole del rischio, ma la famiglia è cresciuta molto, e ne abbiamo altre 900 non sensibilizzate. Senza contare che ci sono anche più volpe in giro.

Il numero delle paperelle sensibilizzate è cresciuto notevolmente, da 3 a 100. Tuttavia, poiché il numero delle paperelle esposte senza essere stati sensibilizzate è proporzionalmente superiore a quello dello scenario precedente, adesso oltre il 90% delle paperelle muore di fronte alla minaccia di una volpe.

Conclusione dei report: sensibilizzare non serve, perché le statistiche sono peggiorate.

Come interpretare le statistiche veramente

Trasformiamo per un momento le paperelle in organizzazioni e la volpe in cybercriminali.

Nel 2020, a causa della pandemia, il numero delle persone e delle organizzazioni esposte a Internet (e ai suoi rischi) è aumentato in modo imprevisto.

Orbene, come già sappiamo, questa trasformazione digitale – in molti casi forzata – non è stata accompagnata da un piano di cyber sicurezza ben definito. Come quasi tutto nel nostro campo, la cyber security è qualcosa che si prende in considerazione solo dopo. Dopo il Phishing, dopo il Ransomware, dopo l’incidente.

Sebbene tra il 2020 e il 2022 le organizzazioni che hanno incluso le persone nella loro strategia di sicurezza siano aumentate, le organizzazioni che non effettuano alcun tipo di sensibilizzazione sono aumentate in misura maggiore.

Ecco perché, quando misuriamo il problema globale dell’ingegneria sociale, vediamo che le statistiche sono peggiorate rispetto agli anni precedenti.

Allora, sensibilizzare e fare awareness serve o no?

Poiché il numero di organizzazioni che non sensibilizzano è molto grande e per ora è in costante crescita, fare awareness ha poco effetto su una statistica globale.

Se oggi la statistica globale indica che il 94% dei cyberattacchi inizia con un attacco di Phishing, il fatto di sensibilizzare nella nostra organizzazione non cambierà neanche di un punto quella percentuale.

Con le paperelle succede la stessa cosa. Se oltre il 90% delle paperelle muore di fronte alla minaccia di una volpe, anche se ne sensibilizziamo un altra e non muore, ben poco modificherà questa statistica.

Tuttavia, sta a noi essere la paperella che si salva o quella che viene mangiata dalla volpe. A me interessa la statistica globale, ma mi interessa molto di più quello che succede nella mia organizzazione.

A quanto pare, le organizzazioni che attuano un piano di security training / awareness utilizzando un AMS dispongono di metriche che consentono di dimostrare il cambiamento comportamentale degli utenti e lo sviluppo di una cultura organizzativa più sicura.

Queste organizzazioni possono gestire il rischio dell’ingegneria sociale e conoscere il grado di esposizione attuale, oltre ad intraprendere azioni per portarlo a un livello accettabile.

Ovvero, sono in grado di essere la paperella che sopravvive alla volpe.

E la tua organizzazione, quanto è preparata ad affrontare questa minaccia? Le tue paperelle sono pronte all’eventuale arrivo della volpe?


Condividi:

Share on LinkedIn Share on Pinterest Share on WhatsApp
Tag Articolo :
Prev Post

Next Post

Nicolás Bruna

Product Manager de SMARTFENSE. Su misión en la empresa es mejorar la plataforma día a día y evangelizar sobre la importancia de la concientización. Ha escrito dos whitepapers y más de 150 artículos sobre gestión del riesgo de la ingeniería social, creación de culturas seguras y cumplimiento de normativas. También es uno de los autores de la Guía de Ransomware de OWASP y el Calculador de costos de Ransomware, entre otros recursos gratuitos.

Lascia un commento

Ricerca

Articoli recenti

Nuvola di tag

bec cambiamento comportamentale ciso consapevolezza consigli cybersicurezza formazione e sensibilizzazione hardening di utenti phishing piano di awareness ransomware responsabile sicurezza informatica sicurezza delle informazioni smartfense whitelist

Blog in Spagnolo

Nel blog in spagnolo abbiamo centinaia di articoli da leggere

Vai al Blog in Spagnolo