Sopravvalutare il livello delle proprie conoscenze sulla sicurezza informatica può essere controproducente. Può esporre a rischi inutili sé stessi e l'azienda per cui si lavora. Succede spesso, come ha constatato Kaspersky durante i corsi di cyber security tenuti online durante il lockdown.
Tutto è partito dall'esigenza di far
lavorare molti dipendenti da remoto a causa del distanziamento forzato. È apparso subito chiaro che la migrazione di massa verso lo smart working ha influito sulla sicurezza aziendale. Sono aumentati gli attacchi basati sul web, quelli di
phishing e lo
shadow IT.
Kaspersky, che da sempre
spinge per la formazione come metodo ausiliario fondamentale per ridurre la superficie di rischio, ha pubblicato online ad aprile con Area9 un corso di adaptive learning che fornisce le basi in materia di sicurezza e operazioni svolte da remoto pensato per coloro che lavorano da casa.
L'analisi dei risultati sul livello di apprendimento ha rivelato come i dipendenti impegnati a lavorare da remoto
sopravvalutino il livello delle proprie conoscenze di base sulla sicurezza informatica. I dati analizzati erano anonimi, e la conclusione è stata possibile per via dell'impiego di una metodologia adaptive learning. I partecipanti dovevano sia rispondere alle domande del test, sia fare un'autovalutazione del livello di fiducia nelle proprie risposte.
Partendo da queste ultime, l'indice di correttezza è stato pari al 66 percento. Gli argomenti più ostici si sono rivelati essere quelli legati alle macchine virtuali, agli aggiornamenti software e alle ragioni per cui le persone dovrebbero utilizzare le risorse IT aziendali anche quando lavorano al di fuori dell'ufficio. In fatto di macchine virtuali, il 60% delle risposte era sbagliato. Tuttavia, il 90% degli intervistati era fortemente convinto di aver scelto la risposta o l'opzione giusta. È quella che gli esperti definiscono
"incompetenza inconscia”.
In relazione alla necessità di utilizzare solo le risorse IT aziendali, il 52% ha risposto in maniera errata, a fronte di un 88% che era convinto di avere risposto correttamente. Quasi la stessa percentuale di errori (50%) è stata commessa in corrispondenza della domanda su come installare gli aggiornamenti software. Il 92% di coloro che aveva sbagliato risposta era convinto di avere le competenze necessarie.
Denis Barinov, Head of the Kaspersky Academy, commenta queste percentuali rimarcando che l'"incompetenza inconscia" è uno dei problemi più difficili da identificare e risolvere con una formazione sulla sicurezza. Ma è un problema da affrontare, perché "se i dipendenti non riconoscono le azioni rischiose o il pericolo è improbabile che chiedano consigli ai reparti IT" e che non si verifichino incidenti.
Quello che occorre è cambiare le abitudini consolidate che non consentono di riconoscere i rischi associati, mediante
corsi di formazione continui e strutturati.