Demo

Le statistiche mondiali dimostrano il fallimento della sensibilizzazione

Nicolás Bruna Blog Nessun commento

Le statistiche mondiali dimostrano il fallimento della sensibilizzazione

Finalmente i report dicono qualcosa di nuovo

Come ogni anno, i report sulla cybersicurezza dicono la stessa cosa: il problema dell’ingegneria sociale sta peggiorando. Che noia!

Comunque, durante il periodo post-pandemia, si è cominciato a vedere un nuovo dato: che questa cifra è peggiorata malgrado gli sforzi di sensibilizzazione compiuti dalle organizzazioni.

Il ragionamento è il seguente: se le aziende stanno conducendo campagne di sensibilizzazione e le statistiche mondiali peggiorano, significa che la sensibilizzazione non serve. Un ragionamento perfettamente logico, ovviamente, se questa fosse l’unica variabile che si considera.

Anatroccoli vs Procioni

Per aiutare coloro che elaborano questi report a fornire informazioni più accurate ai loro lettori, glielo spiegheremo con anatroccoli:

Supponiamo un universo iniziale di 10 anatroccoli. Arriva un procione e se li mangia.

Conclusione dei report: il 100% degli anatroccoli muore di fronte alla minaccia di un procione.

Supponiamo ora un altro universo con 10 nuovi anatroccoli, di cui 3 sono stati sensibilizzati sul rischio di essere mangiati da un procione. Adesso, quando questo arriva, 2 dei 3 anatroccoli sensibilizzati riescono a prevenire la minaccia e il procione ne mangia 8. Grazie alla sensibilizzazione, l’80% degli anatroccoli muore di fronte alla minaccia di un procione. Un miglioramento significativo rispetto al 100% dello scenario precedente.

Conclusione dei report: la sensibilizzazione consente di ridurre il rischio di essere mangiati da un procione.

Di fronte a questa realtà, più anatroccoli iniziano ad essere sensibilizzati. Ora abbiamo 100 anatroccoli sensibilizzati, ma la famiglia è cresciuta abbastanza, e ne abbiamo 900 non sensibilizzati.

Il numero degli anatroccoli sensibilizzati è cresciuto notevolmente, da 3 a 100. Tuttavia, poiché il numero degli anatroccoli esposti senza essere stati sensibilizzati è proporzionalmente superiore a quello dello scenario precedente, adesso oltre il 90% degli anatroccoli muore di fronte alla minaccia di un procione.

Conclusione dei report: sensibilizzare non serve, perché le statistiche sono peggiorate.

Come interpretare le statistiche attuali

Trasformiamo per un momento gli anatroccoli in organizzazioni e i procioni in cybercriminali.

Nel 2020, a causa della pandemia, il numero delle persone e delle organizzazioni esposte a Internet (e ai suoi rischi) è aumentato in modo imprevisto.

Orbene, come già sappiamo, questa trasformazione digitale – in molti casi forzata – non è stata accompagnata da un piano di cybersicurezza ben definito. Come quasi tutto nel nostro campo, la cybersicurezza è qualcosa che si prende in considerazione dopo. Dopo il Phishing, dopo il Ransomware, dopo l’incidente.

Sebbene tra il 2020 e il 2022 le organizzazioni che hanno incluso le persone nella loro strategia di sicurezza siano aumentate, le organizzazioni che non effettuano alcun tipo di sensibilizzazione sono aumentate in misura maggiore.

Ecco perché, quando misuriamo il problema globale dell’ingegneria sociale, vediamo che le statistiche sono peggiorate rispetto agli anni precedenti.

Allora, sensibilizzare serve o no?

Poiché il numero di organizzazioni che non sensibilizzano è molto grande e per ora è in costante crescita, sensibilizzare ha poco effetto su una statistica globale.

Se oggi la statistica globale indica che il 94% dei cyberattacchi inizia con un attacco di Phishing, il fatto di sensibilizzare nella nostra organizzazione non cambierà neanche di un punto quella percentuale.

Con gli anatroccoli succede la stessa cosa. Se oltre il 90% degli anatroccoli muore di fronte alla minaccia di un procione, anche se ne sensibilizziamo un altro e non muore, ben poco modificherà questa statistica.

Tuttavia, sta a noi essere l’anatroccolo che si salva o quello che viene mangiato dal procione. A me interessa la statistica globale, ma mi interessa molto di più quello che succede nella mia organizzazione.

A quanto pare, le organizzazioni che attuano un piano di sensibilizzazione utilizzando un AMS dispongono di metriche che consentono di dimostrare il cambiamento comportamentale degli utenti e lo sviluppo di una cultura organizzativa più sicura.

Queste organizzazioni possono gestire il rischio dell’ingegneria sociale e conoscere il grado di esposizione attuale, oltre ad intraprendere azioni per portarlo a un livello accettabile.

Ovvero, sono in grado di essere l’anatroccolo che sopravvive al procione.

E la tua organizzazione, quanto è preparata ad affrontare questa minaccia?

 

Tag Articolo :
Prev Post

Next Post

Nicolás Bruna

Product Manager de SMARTFENSE. Su misión en la empresa es mejorar la plataforma día a día y evangelizar sobre la importancia de la concientización. Lidera el equipo de desarrollo y QA de SMARTFENSE. Ha escrito dos whitepapers y más de 50 artículos sobre concientización. También es uno de los autores de la Guía de Ransomware de OWASP y el Calculador de costos de Ransomware, entre otros recursos gratuitos.

Lascia un commento

Ricerca

Articoli recenti

Nuvola di tag

AMS awareness cambiamento comportamentale ciso consapevolezza formazione e sensibilizzazione hardening di utenti management system Novità phishing piano di awareness ransomware Sicurezza informatica smartfnese utente finale

Blog in Spagnolo

Nel blog in spagnolo abbiamo centinaia di articoli da leggere

Vai al Blog in Spagnolo