Mentre la frequenza degli attacchi Zeroday (che sfruttano vulnerabilità non note) aumenta esponenzialmente e le tecnologie di endpoint security software iniziano ad integrare l’AI (Intelligenza artificiale) si rischia di perdere di vista un aspetto molto importante che viene sollevato anche da testate giornalistiche non specifiche del settore cybersecurity.
“La violazione di dati sensibili e infrastrutture critiche all’interno di un’azienda ha sempre una spiegazione e – il dato è sorprendente fino a un certo punto – per l’87% delle grandi organizzazioni è il personale inesperto il principale «cyber risk»”.
– IlSole24ore –
Come negare l’importanza di questo aspetto? La realtà dei fatti è che l’Italia prima di preoccuparsi degli attacchi di nuova generazione e dei costi delle nuove tecnologie dovrebbe quantomeno aggiornare/eliminare molti dei sistemi fuori supporto (es. Windows XP) dalle proprie realtà aziendali formando i propri dipendenti a difendersi dalle ormai inflazionate CVE (Common Vulnerabilities & Exposures)… eppure… anche vendere servizi di formazione non è un gioco da ragazzi.
Investire nella formazione non deve risultare come un’attività una tantum al fine di dimostrare un processo di raggiungimento conformità, per esempio, al regolamento generale sulla protezione dei dati (GDPR) ma come un’attività necessaria a ridurre il livello di rischio. Il fine dovrebbe essere quello di fornire un servizio ai propri dipendenti che oltre che ad accrescere le proprie skills saranno in grado poi di strutturare al meglio i processi aziendali a loro connessi migliorando considerevolmente la qualità del lavoro.
Alla prossima puntata!