Cybersecurity nelle PMI: i dipendenti sono la chiave decisiva per il successo
I dipendenti delle PMI svizzere sottovalutano il pericolo di cyberattacchi per la propria azienda. Per ridurre i rischi, sono necessarie misure di sensibilizzazione e la preparazione di scenari di emergenza. Lo dimostra un recente studio di ZHAW e Allianz Suisse.
L'atteggiamento dei dipendenti nei confronti dei cyberattacchi rende vulnerabili le piccole e medie imprese svizzere: È vero che sono consapevoli dei rischi generali della criminalità informatica e del grande potenziale di danno di un attacco. Tuttavia, non considerano la propria azienda e se stessi abbastanza importanti da essere un obiettivo degno di nota. Questo atteggiamento può portare i dipendenti a non essere sufficientemente vigili. Questi sono i risultati di uno studio condotto dalla ZHAW School of Management and Law in collaborazione con Allianz Suisse. I ricercatori hanno condotto interviste approfondite con i dipendenti di alcune PMI selezionate per comprendere i loro atteggiamenti e i fattori che determinano le decisioni prese in merito ai rischi informatici.
L'attuale diffusione dell'home office aumenta i rischi
"I criminali informatici di solito prendono di mira le persone e cercano di usarle per infiltrare malware nel sistema aziendale o per ottenere le password. L'atteggiamento e il comportamento dei dipendenti sono quindi fondamentali per difendersi dagli attacchi", spiega Carlos Casián, coautore dello studio e sottoscrittore di Property / Cyber Risk presso Allianz Suisse. "Soprattutto al giorno d'oggi, quando molti dipendenti lavorano da casa, i rischi aumentano: da un lato, gli aspetti tecnici come l'accesso esterno alla rete aziendale giocano un ruolo importante. D'altra parte, lo scambio ad hoc con i colleghi di e-mail sospette è più difficile, il che rende i dipendenti più vulnerabili ai tentativi di manipolazione". Secondo lo studio, i dipendenti delle PMI associano i cyberattacchi principalmente a scontri geopolitici, terrorismo o criminalità organizzata. Al contrario, vedono la Svizzera come una sfera significativamente più sicura in confronto. "Tuttavia, questa è una falsità. Anche in questo Paese, circa un terzo delle PMI è già stato esposto ad attacchi", afferma il responsabile dello studio Carlo Pugnetti, docente presso la ZHAW School of Management and Law.
I cyberattacchi sono percepiti come un problema solo dagli specialisti
I dipendenti delle PMI intervistate si sentono relativamente impotenti quando si tratta di riconoscere un attacco concreto alla propria azienda e di reagire ad esso. In questo caso, tuttavia, si presume che gli specialisti possano essere d'aiuto. Questo presupposto può incoraggiare una certa passività e portare i dipendenti a sottovalutare il proprio ruolo nella riduzione dei rischi informatici. Allo stesso tempo, i risultati dello studio mostrano che le PMI hanno una cultura aziendale con un forte orientamento alla soluzione. Di conseguenza, i dipendenti di solito agiscono in modo proattivo e vorrebbero contribuire ad affrontare un caso concreto di danno.
Strategie per una maggiore sicurezza informatica nelle PMI
Per ridurre i rischi e l'impatto di un attacco informatico, gli autori dello studio formulano una serie di raccomandazioni per una maggiore sicurezza informatica nelle PMI: queste includono, tra l'altro, misure di informazione all'interno delle PMI che sensibilizzino i dipendenti sulla minaccia oggettiva e mostrino loro come possono contribuire alla sua difesa. Inoltre, le aziende dovrebbero sviluppare strategie per far fronte a possibili attacchi e ai relativi guasti dei sistemi IT e formarsi per questi scenari. Nello sviluppo di strategie risolutive adeguate, le aziende dovrebbero coinvolgere attivamente i propri dipendenti e sfruttare il loro atteggiamento lavorativo impegnato.
Metodologia speciale
Lo studio "Cyber Risks and Swiss SMEs - An Investigation of Employee Attitudes and Behavioural Vulnerabilities" è stato condotto dall'Institute of Risk & Insurance della ZHAW School of Management and Law in collaborazione con Allianz Suisse e con il supporto di diversi partner. I ricercatori hanno condotto interviste approfondite con 17 dipendenti di varie funzioni in tre PMI selezionate del settore del riscaldamento e della produzione. A tal fine, hanno utilizzato la cosiddetta "tecnica dell'intervista con metafora profonda", in cui gli intervistati hanno selezionato immagini che esprimono le loro idee e i loro atteggiamenti nei confronti di diversi aspetti della criminalità informatica. "Grazie a questa metodologia, siamo stati in grado di identificare anche modelli personali di atteggiamenti di cui gli stessi intervistati non sono direttamente consapevoli", spiega Carlo Pugnetti. "L'obiettivo era quindi quello di portare in superficie le intuizioni nascoste e quindi di sviluppare misure più efficaci". Le interviste si sono svolte nel settembre 2020.
Fonti: zhaw e Allianz Suisse
