Gli esperimenti condotti dagli psicologi David Dunning e Justin Kruger nel 1999 dimostrano che non siamo assolutamente in grado di autovalutarci correttamente. Se analizziamo il livello di esperienza, chi ha ancora molto da imparare pensa di essere vicino a padroneggiare un’abilità, mentre chi ha molta più esperienza tende a sottovalutare le sue capacità. Ci sono inoltre persone che si rifiutano di essere pessime in qualcosa. Il pregiudizio è chiaramente intrinseco. Come si traduce tutto questo nella cybersecurity? È il momento per le aziende di essere all’altezza della situazione: il perimetro delle minacce aumenta e gli attacchi crescono. La cyber hygiene è più importante che mai. Se le aziende vogliono garantire una protezione totale, devono attivare degli autocontrolli per assicurarsi che la loro sicurezza informatica sia sufficientemente buona per resistere agli attacchi e riprendersi se qualcosa va storto. È possibile che coloro che pensano che tutto vada bene, si stiano davvero illudendo?
Per rispondere a questa domanda abbiamo condotto una ricerca chiedendo direttamente agli MSP qual è il livello della loro sicurezza informatica e di eseguire una versione ridotta di un audit approfondito basato sui principi NIST. Il NIST rappresenta un documento punto di riferimento per la sicurezza informatica, che comprende standard, linee guida e best practice per la gestione del rischio di cybersecurity. L’idea non era quella di esaminare nel dettaglio ogni aspetto della loro sicurezza, ma di riflettere se gli MSP fossero preparati come pensavano, soprattutto per quanto riguarda le aree della sicurezza informatica più comunemente ignorate.
Cosa è emerso dalla ricerca?
Abbiamo chiesto alle aziende di valutare la loro sicurezza informatica su una scala da uno a cinque. Quelle che si sono classificate con uno – non si possiede alcun programma di cybersecurity – sono state ignorate. Coloro che hanno dichiarato di non avere alcun programma di cybersecurity si sono effettivamente già sottoposti a un audit.
Abbiamo poi chiesto loro di pensare ai cinque pilastri della cybersecurity: identificazione, protezione, rilevamento, risposta e ripristino.
Identificazione: L’obiettivo era quello di capire se le aziende conoscono tutto ciò che devono proteggere e se i dati e i dispositivi più importanti sono stati identificati e protetti. Questa è la categoria in cui la risposta fornita corrisponde maggiormente alla percezione che le aziende hanno della loro posizione complessiva in materia di cybersecurity. In generale, le aziende ritengono di conoscere davvero il proprio patrimonio informatico.
Protezione: questo aspetto è ciò che la maggior parte delle persone pensa comunemente della cybersecurity. Le reti sono protette dagli attacchi? È in uso l’autenticazione a più fattori? I dipendenti vengono sottoposti a uno screening dei rischi? I risultati ci hanno sorpreso. Le aziende che hanno ottenuto il punteggio più alto si sono dimostrate meno fiduciose in questo ambito. Con le vulnerabilità in continua evoluzione, forse considerano quest’area come una di quelle in cui devono migliorare costantemente. Tuttavia, il gruppo con la valutazione più bassa si è dimostrato più fiducioso. Valutazione Dunning-Kruger: Medio
Rilevamento: le aziende sono in grado di individuare attività insolite e vulnerabilità? E se parliamo di personale, connessioni, dispositivi e software non autorizzati? Anche in questo caso, le aziende più fiduciose si sono dimostrate qui meno fiduciose, ma quelle meno fiduciose hanno ottenuto un punteggio più alto e, di fatto, più alto rispetto a qualsiasi altra categoria.Valutazione Dunning-Kruger: Alto
Risposta: le persone sanno quali sono i loro ruoli in caso di crisi? Ci sono processi in atto per mitigare quando le cose non vanno per il vero giusto? Le nuove vulnerabilità sono mitigate? Questa area della cybersecurity viene spesso trascurata. In generale, le aziende sono fiduciose nella loro capacità di rispondere a un evento di cybersecurity, ma i risultati suggeriscono che questo aspetto non è di primario interesse quando le aziende si valutano.
Ripristino: cosa succede quando si subisce un attacco? Esiste un piano di recupero? In generale, le aziende si sono dimostrate fiduciose nella loro capacità di riprendersi da un evento di cybersecurity, di comunicare efficacemente con gli stakeholder interni ed esterni e sembrano corrispondere alla loro percezione dei programmi di cybersecurity.Valutazione Dunning-Kruger: Basso
Dunning-Kruger nella sicurezza informatica
I risultati ci hanno sorpreso. Ci aspettavamo che le aree della cybersecurity talvolta non considerate “fondamentali”, come il ripristino e l’identificazione, fossero quelle in cui le aziende sopravvalutavano le proprie capacità. Ma in realtà, quando abbiamo chiesto di pensare a ciascun pilastro in modo più dettagliato, sono state la protezione, il rilevamento e la risposta le aree più diverse rispetto ai punteggi iniziali.
Che cosa significa tutto ciò? Le aziende dovrebbero analizzare ogni decisione presa in materia di cybersecurity e verificare il problema che emerge senza pregiudizi. Questo dovrebbe avvenire sotto forma di audit standardizzati e ricorrenti.
Con l’aumento delle minacce informatiche, le aziende devono assicurarsi di disporre della tecnologia necessaria per prevenire, identificare e rispondere agli attacchi. Le aziende devono considerare la sicurezza informatica una priorità assoluta, fondamentale per tutto ciò che fanno. Se qualcosa va storto, può fare la differenza tra la sopravvivenza o meno di un’azienda. Ciò significa che ogni decisione in materia di cybersecurity deve dipendere da una comprensione imparziale, piuttosto che da una pura convinzione.
A cura di Matteo Brusco, Distribution Sales Manager Italy & Spain/PT di N-able
