Dipendenti non addestrati hanno ripetutamente messo alla prova la sicurezza IT nelle PMI tedesche. Un sondaggio di G DATA fa luce sui problemi e mostra quanto sia efficace la consapevolezza della sicurezza.
Ogni seconda azienda tedesca di medie dimensioni conosce la situazione in cui un attacco informatico ha avuto successo. I dipendenti non addestrati svolgono spesso un ruolo importante. Le e-mail sono la via di attacco numero uno nei sistemi IT, perché i dipendenti vengono rapidamente ingannati da fatture o applicazioni false. Un recente sondaggio condotto da G DATA CyberDefense mostra le insidie in agguato quando si tratta di consapevolezza della sicurezza.
I dipendenti non sono specialisti della sicurezza IT
La sicurezza IT non è l'attività principale della maggior parte dei dipendenti, soprattutto se non provengono dall'ambiente IT. Ciò ha delle conseguenze: nella metà delle aziende di medie dimensioni intervistate, un attacco informatico ha avuto successo a causa dell'errore di un dipendente. Questo è costoso e può rapidamente diventare pericoloso per la vita.
“Molti dipendenti sono insicuri nell'affrontare l'IT e sono soggetti a errori. I criminali informatici lo sfruttano costantemente e attaccano attraverso i dipendenti", spiega Nikolas Schran, Product Owner Cyber Defense Academy presso G DATA CyberDefense. “Chiunque pensi alla sicurezza IT in modo olistico non può fare affidamento esclusivamente su soluzioni tecniche, ma dovrebbe rendere i propri dipendenti parte integrante del proprio concetto di sicurezza. "
Quando il budget diventa un problema
Il potenziale per un significativo miglioramento della sicurezza IT esiste. Tuttavia, molte aziende di medie dimensioni non sfruttano questa opportunità. Le aziende più piccole, in particolare, non pensano a corsi di formazione completi per un periodo di tempo più lungo quando si tratta di formazione sulla consapevolezza della sicurezza, ma organizzano solo eventi una tantum. In alternativa, di tanto in tanto vengono inviate e-mail sulle minacce attuali o vengono fornite informazioni tramite l'intranet aziendale. Questo non è né efficace né sostenibile. Tale approccio può far risparmiare denaro rispetto all'acquisto di un ambiente di e-learning.
La consapevolezza della sicurezza è più importante che mai
Tuttavia, non si verificano un cambiamento duraturo nel comportamento e una vera sensibilizzazione. Per calcolare i costi opportunità della formazione sulla consapevolezza della sicurezza, i responsabili dovrebbero confrontare i costi di un tempo di inattività di più giorni dovuto a un incidente informatico con gli investimenti. Ciò è particolarmente vero nella situazione attuale, che pone esigenze particolari a imprenditori e dipendenti.
"Soprattutto nell'attuale situazione dell'home office, una buona consapevolezza della sicurezza è più importante che mai. I dipendenti sono particolarmente sotto pressione a causa della pandemia, dell'istruzione domiciliare e della solitudine. In tali situazioni, sono particolarmente vulnerabili all'ingegneria sociale. Rafforziamo i dipendenti in modo che possano prendere le decisioni giuste anche in situazioni di stress e aumentare così la sicurezza IT in azienda", afferma Nikolas Schran.
Il 78% delle aziende riporta effetti positivi
Le aziende dovrebbero fare affidamento su una formazione completa sulla consapevolezza della sicurezza per formare i propri dipendenti in materia di sicurezza informatica e dotarli delle conoscenze necessarie per respingere in modo affidabile gli attacchi. Questa misura è molto efficace e l'investimento vale la pena: il 78% delle aziende di medie dimensioni intervistate ha di conseguenza aumentato la propria sicurezza informatica ei dipendenti sono più attenti ai sistemi informatici.
Altri risultati dello studio
- La metà delle aziende forma l'intera forza lavoro sulla sicurezza IT.
- Quando si tratta di servizi di e-learning, metà delle aziende si aspetta una simulazione di phishing.
- L'obiettivo della formazione sulla consapevolezza della sicurezza nelle aziende è migliorare la sicurezza e la conformità IT.
- L'argomento più importante per le aziende di medie dimensioni nella formazione sulla consapevolezza della sicurezza sono gli "incidenti di sicurezza": riconoscere gli attacchi e agire correttamente in caso di emergenza.
- Quasi la metà delle aziende di medie dimensioni che non effettuano corsi di sensibilizzazione alla sicurezza ritiene di essere ben posizionata quando si tratta di sicurezza IT.
Per il sondaggio sulla formazione sulla consapevolezza della sicurezza, OmniQuest ha intervistato un totale di 2020 aziende di medie dimensioni per conto di G DATA CyberDefense AG nell'autunno 200. Le aziende tedesche intervistate avevano tra i 50 ei 1.000 dipendenti. L'appartenenza al settore e il campo di attività non hanno avuto alcun ruolo. Lo studio è disponibile come file PDF gratuito "Formazione sulla sensibilizzazione alla sicurezza nelle PMI tedesche - I dipendenti fanno parte della difesa informatica?"
Allo studio in formato PDF su GDATA.de
Informazioni su G Data Con servizi di difesa informatica completi, l'inventore dell'antivirus consente alle aziende di difendersi dal crimine informatico. Più di 500 dipendenti garantiscono la sicurezza digitale di aziende e utenti. Made in Germany: con oltre 30 anni di esperienza nell'analisi del malware, G DATA conduce ricerca e sviluppo software esclusivamente in Germania. Le massime esigenze in materia di protezione dei dati hanno la massima priorità. Nel 2011, G DATA ha emesso una garanzia "no backdoor" con il sigillo di fiducia "IT Security Made in Germany" di TeleTrust eV. G DATA offre un portafoglio di antivirus e protezione degli endpoint, test di penetrazione e risposta agli incidenti per analisi forensi, controlli dello stato di sicurezza e formazione sulla consapevolezza informatica per difendere efficacemente le aziende. Nuove tecnologie come DeepRay proteggono dai malware con l'intelligenza artificiale. L'assistenza e il supporto fanno parte del campus G DATA di Bochum. Le soluzioni G DATA sono disponibili in 90 paesi e hanno ricevuto numerosi riconoscimenti.