Aggiornare software e dispositivi: una buona prassi di sicurezza, non una perdita di tempo - Cyber Security 360

SOLUZIONI DI SICUREZZA

Aggiornare software e dispositivi: una buona prassi di sicurezza, non una perdita di tempo

La metà dei dipendenti italiani ritarda ad aggiornare software e dispositivi, eppure si tratta di un’attività che consente di mantenere alto il livello di sicurezza aziendale, soprattutto in tempi di lavoro da remoto. Ecco perché è importante correggere questa cattiva abitudine e le soluzioni per farlo

02 Lug 2021
L
Morten Lehn

General Manager Italy di Kaspersky

Aggiornare software e dispositivi non serve solo ad ottenere l’accesso a nuove funzionalità o interfacce, ma consente di mantenere un livello alto di sicurezza. I vendor testano regolarmente i loro prodotti alla ricerca di nuove vulnerabilità che potrebbero essere sfruttate dai criminali informatici ed è proprio per questo motivo che l’installazione tempestiva degli aggiornamenti è una difesa efficace contro gli attacchi.

Aggiornare software e dispositivi: perché è importante

Tuttavia, secondo quanto emerso dall’IT Security Economics 2020 di Kaspersky, in Europa quasi la metà (44%) delle organizzazioni intervistate ha ammesso di utilizzare delle tecnologie ormai obsolete, il che può comportare danni alla reputazione e perdite economiche maggiori rispetto alle aziende che aggiornano i sistemi in modo tempestivo, il 23% in più per le enterprise e il 53% per le PMI.

Per questo motivo è fondamentale installare le ultime versioni dei software non appena queste vengono rilasciate: dare la priorità e investire nel rinnovo dei software si dimostra necessario per ottenere un risparmio economico sul lungo termine.

Nonostante le installazioni e le patch migliorino le funzionalità dei sistemi e delle app, esistono ancora molte resistenze a effettuare regolarmente gli aggiornamenti, che vengono spesso rimandati o ignorati.

I numeri di una cattiva abitudine

Una cattiva abitudine che è stata fotografata nello studio “Pain in the neck” condotto su un campione di 15.000 persone provenienti da 22 Paesi differenti.

Secondo quanto emerso da questa ricerca, per gli italiani aggiornare i dispositivi è un compito noioso e il 50% di loro rimanda infatti l’installazione quando riceve la notifica sul proprio dispositivo. La maggior parte delle volte questo accade perché le notifiche arrivano durante le ore di lavoro (35%), perché l’utente in quel momento sta utilizzando il dispositivo per un’attività che non vuole interrompere (26%) o ancora perché non intende chiudere le applicazioni aperte (23%).

Sebbene gli aggiornamenti vengano scaricati durante l’orario lavorativo in modalità silenziosa e senza interrompere alcuna attività, per applicare le modifiche al sistema è necessario effettuare il riavvio del dispositivo.

Naturalmente, alcune questioni aziendali non possono essere rimandate, per cui all’utente viene data la possibilità di riavviare il dispositivo entro un certo periodo di tempo. Spesso, però, accade che alcune persone non si accorgano delle notifiche di aggiornamento o, in altri casi, scelgano deliberatamente di ignorarle.

Questo accade anche perché la richiesta di riavviare il dispositivo può avvenire nel momento peggiore, come prima di una chiamata importante o mentre si sta scrivendo una lunga e-mail.

Perché si ritarda a installare gli aggiornamenti

I dipendenti temono quindi che il tempo speso per aggiornare i dispositivi possa influire sulla loro produttività. Più della metà degli intervistati viene effettivamente interrotto durante il lavoro dagli aggiornamenti: il 42% decide allora di prendersi una pausa da quello che stava facendo mentre il 7% aspetta pazientemente che finiscano.

Di contro, a livello globale, l’11% degli intervistati ammette di aver ritardato gli aggiornamenti e l’installazione delle patch per più di un mese, esponendo quindi l’azienda a diversi rischi per la sicurezza.

Ma le difficoltà non terminano nella fase di installazione: infatti, il 29% dei dipendenti concorda sul fatto che imparare a utilizzare nuove versioni di software sia una perdita di tempo che potrebbe essere speso per lavorare.

Aggiornare software e dispositivi: consigli utili

Per non influire sulla produttività, invece, è raccomandabile pianificare gli aggiornamenti in modo che avvengano verso la fine della giornata lavorativa, quando i dispositivi sono ancora accesi e possono scaricare gli aggiornamenti richiesti, ma l’attività dei dipendenti è generalmente ridotta.

La tecnologia wake-on-LAN, in questo caso, consente di attivare i terminali da remoto sfruttando la rete così che gli aggiornamenti possano essere scaricati al di fuori dell’orario di lavoro.

Un altro suggerimento per evitare che gli aggiornamenti ritardino le attività aziendali è dividere gli utenti in diversi gruppi, aggiornarli per turni, in modo che l’operatività sia sempre garantita e il dipartimento IT aiuti tutti in modo tempestivo se qualcosa va storto.

L’importanza di aggiornare software e dispositivi

Gli aggiornamenti non si limitano solo a fornire nuove funzionalità e correggere bug, ma eliminano anche le vulnerabilità relative alla sicurezza sfruttate dai criminali informatici. Ecco perché la gestione delle patch è essenziale per la sicurezza aziendale.

Tuttavia, alcuni dipendenti sono riluttanti ad aggiornare i dispositivi aziendali e lasciano che all’interno della rete aziendale ci siano computer, laptop e smartphone vulnerabili.

Nel complesso, il 62% degli intervistati ritiene che rimandare l’installazione degli aggiornamenti non costituisca un problema per la sicurezza.

Di conseguenza, la reticenza ad aggiornare sistemi e dispositivi può scontrarsi con le direttive di sicurezza stabilite dai responsabili IT: ben il 18% dei dipendenti italiani ammette di aver discusso con il dipartimento IT sull’importanza o la frequenza degli aggiornamenti sui dispositivi aziendali.

Sorprendentemente, le discussioni sugli aggiornamenti si concludono sempre a favore dei dipendenti. I team IT permettono a quasi due terzi (60%) dei dipendenti di non installare gli aggiornamenti su alcuni software o sistemi operativi mentre il 67% può addirittura decidere quali fare.

Installare gli aggiornamenti: una buona “scusa”

Grazie alla ricerca “Pain in the neck”è stata inoltre riscontrata la tendenza a sfruttare gli aggiornamenti come una scusa per non partecipare ad una call o ad una riunione (16%) o per giustificare il ritardo a un meeting online (29%).

Questa motivazione risulta piuttosto credibile soprattutto agli occhi di altri colleghi ai quali potrebbe essere capitato di mancare ad una riunione per le stesse ragioni. Il passaggio al lavoro da remoto e ai meeting virtuali ha infatti influito sul numero di riunioni quotidiane e i dipendenti stanno addirittura sviluppando uno stress da video call e accusando maggiore stanchezza accumulata a fine giornata, tanto che il 22% degli intervistati ha ammesso di aver installato gli aggiornamenti proprio per non dover lavorare.

Oltre ai dipendenti che approfittano dei tempi di inattività del dispositivo per procrastinare, c’è chi al contrario vede queste pause come un’opportunità per aumentare il proprio benessere. Infatti, il 34% degli italiani intervistati decide di svolgere altre attività ricreative, mentre il 41% è contento di prendersi una pausa dalla tecnologia.

Di norma, tre le attività svolte durante l’installazione degli aggiornamenti, il 40% degli italiani, quando non può utilizzare il proprio dispositivo, si rilassa guardando la TV o leggendo un libro, il 15% si distrae cucinando mentre il 9% preferisce fare sport o una passeggiata.

Aggiornare software e dispositivi: serve consapevolezza

Purtroppo, a causa del panorama delle minacce in continua evoluzione, delle tecniche di hacking più sofisticate e del crescente desiderio dei criminali informatici di raccogliere informazioni a proprio vantaggio, le organizzazioni devono essere più consapevoli che mai delle potenziali violazioni dovute allo sfruttamento di vulnerabilità non patchate e sistemi obsoleti.

Con il giusto approccio e le tecnologie moderne, le organizzazioni possono adottare dei piani per ridurre questi rischi.

Adottare un approccio di security by design

È quindi raccomandabile non solo installare gli aggiornamenti appena disponibili, ma anche giocare d’anticipo, progettando i sistemi IT moderni e le nuove infrastrutture critiche secondo un approccio di security by design.

In questo modo, i sistemi IT critici o di tecnologia operativa sono sempre protetti, indipendentemente dagli aggiornamenti, e possono eseguire solo attività pre-autorizzate. KasperskyOS, ad esempio, supporta questo concetto di cyber immunity.

La formazione è un altro strumento prioritario per informare i dipendenti dell’importanza di aggiornare tempestivamente i dispositivi e dei rischi a cui sono esposti i loro dati e le risorse aziendali nel caso in cui i criminali informatici riuscissero a sfruttare vulnerabilità senza patch.

I corsi di security awareness su questo argomento possono trasmettere delle nozioni importanti sull’importanza di usare software aggiornato e i rischi di rimandare gli aggiornamenti.

La formazione non deve rivolgersi solo ai dipendenti, ma deve sensibilizzare anche i vertici aziendali per insegnare loro a considerare il budget di cybersecurity come un investimento strategico.

I giochi e il processo di gamification si sono rivelate tecniche di apprendimento molto efficaci e le aziende introducono questo tipo di formazione non solo per incoraggiare il personale a studiare le regole di cyber security, ma per garantire che i dipendenti acquisiscano competenze e le applichino nella quotidianità.

Nel caso della cyber security, un’azienda non può lasciare che ogni dipendente faccia qualcosa di sbagliato – come ad esempio rendere un documento accessibile ai cyber criminali – per verificare quanto gravi possano essere le conseguenze di un attacco informatico.

Può, tuttavia, coinvolgerli in un gioco in cui possano “vivere” la situazione e sperimentare le conseguenze come se stesse accadendo nella realtà, senza però causare alcun danno all’azienda.

Un valido aiuto dalla realtà virtuale

Per aiutare i dirigenti a comprendere le possibili implicazioni che la sicurezza informatica può avere sulla gestione aziendale, è possibile introdurre la realtà virtuale all’interno del gioco di simulazione di business strategico.

Grazie a questa tecnologia, i decision maker e i senior manager dell’azienda potranno calarsi nel ruolo di specialisti della sicurezza informatica. Il gioco permette di sperimentare l’influenza che le decisioni legate alla cyber security hanno sul business e mostrare la connessione tra cyber security ed efficienza aziendale.

Grazie alla simulazione, i dirigenti aziendali potranno comprendere gli effetti che le decisioni prese in materia di cybersecurity, come anche la scelta di non installare per tempo una patch o scaricare la nuova versione di un software, possono avere sul loro business.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5