Nella catena difensiva di un’azienda, grande o piccola che sia, la cyber security awareness degli utenti aziendali, cioè la conoscenza e la consapevolezza dei rischi cyber a cui è esposta l’organizzazione, può fare la differenza tra il sapere affrontare e gestire un attacco informatico, ad esempio di tipo phishing o ransomware, e il subirlo passivamente.
Conoscenza e consapevolezza che, ovviamente, derivano da una costante ed efficace formazione in materia di sicurezza informatica per tutti i dipendenti dell’azienda e non solo: è importante, infatti, che anche i quadri dirigenziali acquisiscano le necessarie conoscenze cyber così come anche tutti i fornitori esterni che, in molti casi, rappresentano una porta di accesso non presidiata al perimetro virtuale di sicurezza.
Sempre più spesso, infatti, i criminal hacker sfruttano oltre alle vulnerabilità nei sistemi tecnologici anche le debolezze intrinseche nell’anello più debole della catena difensiva, il fattore umano (o fattore “H”), in quanto spesso basta l’errore di una singola persona per mettere in ginocchio un’intera azienda.
Alcune stime parlano, addirittura, di un 80-90% di incidenti informatici riconducibili a errori umani o comportamenti errati del personale.
Molte volte si tratta di errori involontari, dovuti a negligenza e disattenzione, ma non mancano anche quelli intenzionali compiuti da lavoratori infedeli che effettuano operazioni di sabotaggio ai danni della propria organizzazione.
Cyber security awareness per difendersi dalle nuove minacce
Una conoscenza e consapevolezza delle minacce informatiche resa ancora più indispensabile dal fatto che i rischi cyber non provengono più (o almeno non solo) dai classici malware informatici facilmente arginabili adottando efficienti soluzioni di controllo antivirali.
Come si evince dal Rapporto Clusit 2020, gli attaccanti non sono più “hacker”, e nemmeno gruppi di “artigiani” del cyber crimine: sempre più spesso, quando si parla di criminal hacker ci si riferisce a gruppi criminali organizzati transnazionali che fatturano miliardi, vere e proprie multinazionali del cyber crimine dotate di mezzi illimitati oppure di stati nazionali con i relativi apparati militari e di intelligence, i loro fornitori e contractors o ancora di gruppi state-sponsored civili e/o paramilitari il cui campo di battaglia è il cyber spazio e i bersagli sono le infrastrutture, le reti, i server, i client, i device mobili, gli oggetti IoT e le piattaforme social.
Ecco, quindi, che la sicurezza informatica gioca ormai un ruolo fondamentale per contribuire alla rapida individuazione e alla prevenzione delle minacce e degli incidenti informatici che, se hanno successo, possono causare danni irreversibili all’azienda sia da un punto di vista economico ma anche e soprattutto reputazionale, in particolar modo nell’attuale società data driven in cui i dati hanno acquisito un’importanza strategica rappresentando ormai l’asset primario per qualsiasi azienda.
Come attuare una corretta cyber security awareness
Per raggiungere una efficace cyber security awareness è necessario compiere alcuni passi fondamentali che vanno dal coinvolgimento delle strutture aziendali, alla definizione di una vera e propria policy di sicurezza, passando per l’adozione di strumenti innovativi e per la misurazione continua dell’apprendimento volta a garantire il raggiungimento degli obiettivi attesi.
Innanzitutto, è fondamentale capire lo stato attuale della sicurezza informatica in azienda individuando le aree che richiedono un miglioramento. In questa fase è opportuno tenere traccia di ogni aspetto critico attraverso una puntuale documentazione di ogni evidenza insieme alle metriche che si deciderà di utilizzare per determinare l’efficacia della campagna formativa.
Altrettanto importante, poi, è l’individuazione dei fattori determinanti per il successo dei progetti di sensibilizzazione aziendale sulla sicurezza informatica:
- la motivazione dei partecipanti;
- il commitment aziendale sia nel guidare l’iniziativa sia per fungere da esempio e motore del cambiamento;
- la continuità delle attività che non devono essere pensate “a spot”;
- le tempistiche delle attività che dovranno essere curate con attenzione;
- le misurazioni che dimostrino l’effettivo miglioramento, o meno, della performance aziendale sul terreno della cyber security.
Misurare l’apprendimento
È evidente, comunque, che non esiste una ricetta unica e uguale per tutti da seguire: il programma della cyber security awareness deve essere ovviamente pensato, già in fase di progettazione del programma di formazione, “a misura” dell’organizzazione e tarato opportunamente per far leva sulle risorse principali a cui è rivolta: le persone.
Persone che, devono essere coinvolte ad esempio utilizzando tecniche di gamification e facendo uso di materiale multimediale in grado di attirare l’attenzione. Coinvolgimento che, ovviamente, non può prescindere da un’analisi attenta di quei complessi cognitivi e fattori emotivi che giocano un ruolo essenziale nel mantenimento di attenzione al programma.
La sicurezza dei dati aziendali prima di tutto
Solo con un attento programma di cyber security awareness è dunque possibile far sì che la cultura della sicurezza informatica riesca finalmente ad attecchire all’interno del perimetro virtuale delle aziende.
Un attecchimento che deve essere tanto più veloce quanto più rapidamente aumenta l’adozione di policy aziendali basate sul concetto di smart working e quindi focalizzate su dispositivi mobili, IoT e, più in generale, tecnologie digitali all’interno del contesto di industria 4.0.
