Tutti i segreti della Cybersecurity: il blog di Cyberoo

Cybersecurity Awareness: guida pratica tra obiettivi e fattori determinanti

Scritto da Luca Bonora | 6 febbraio 2025

 

Quando si parla di formazione si parla di persone e spesso sento dire che, nella sicurezza informatica, le persone sono l’anello debole della catena.

Le persone sono, in realtà, il primo firewall dell’azienda. In questo articolo vediamo l’importanza della formazione necessaria per rendere ogni dipendente una preziosa risorsa per la cybersecurity aziendale.

 

Persone: il primo firewall dell'azienda

È importante riconoscere che ogni azienda può trarre vantaggio dall'implementazione di strumenti efficaci per migliorare la propria Cyber Resilience. Investire nella formazione continua e nella condivisione delle policy aziendali aiuta a mantenere alta l'attenzione dei dipendenti, contribuendo così a prevenire errori umani e a garantire un ambiente di lavoro più sicuro e protetto.

Questa affermazione è da sempre alla base di un concetto che vuole vedere la Cybersecurity come un processo al quale contribuiscono molti aspetti come i sistemi aziendali e le soluzioni in uso per difenderli, le regole e le norme che l’azienda adotta ed indirizza ai propri dipendenti e naturalmente le persone che tramite la loro formazione rappresentano uno dei più importanti baluardi alla sicurezza stessa.

La formazione, che chiameremo Cybersecurity Awareness, degli utenti aziendali rappresenta il modo con cui aggiorniamo il primo firewall dell’azienda, rappresenta cioè la conoscenza e la consapevolezza dei rischi cyber a cui è esposta l’organizzazione e che, può fare la differenza tra il sapere affrontare e gestire un attacco informatico, ad esempio di tipo phishing o ransomware, e il subirlo passivamente.

Le persone sono costantemente soggette a molti attacchi informatici, come phishingsocial engineering e infezioni da malware, che se supportati da comportamenti inconsapevoli o distratti possono aumentare la loro capacità pervasiva.

 

Cybersecurity Awareness: obiettivi

La cybersecurity awareness serve a far sì che gli attacchi siano limitati e poco pervasivi perché supportati da:

  1. Comportamenti consapevoli: molti attacchi informatici si basano sulla manipolazione delle persone. Se ad esempio, un dipendente evita di cliccare su un link malevolo in una email di phishing, può proteggere la rete aziendale dall'ingresso di un malware.

  2. Protezione dei dati sensibili: le persone formate per riconoscere minacce come l'ingegneria sociale, addestrate all’utilizzo di password forti e al rispetto delle politiche di sicurezza aziendali, fanno la differenza e consentono di sventare attacchi anche molto complessi.

  3. Rilevamento precoce di attività sospette: I dipendenti che sono addestrati a riconoscere attività sospette o comportamenti anomali all'interno dei sistemi aziendali possono agire da "sentinelle", segnalandoli prontamente al team di sicurezza.

  4. Responsabilità individuale: La sicurezza informatica è una responsabilità condivisa. Ogni dipendente ben formato e informato contribuisce a ridurre il rischio di vulnerabilità poiché il comportamento umano di personale preparato è estremamente reattivo e le persone sono la risorsa più distribuita in tutta l’infrastruttura aziendale.

In sostanza, mentre è vero che i sistemi informatici e le tecnologie avanzate di sicurezza sono fondamentali per proteggere l'azienda, le persone sono il primo e fondamentale strato di difesa, che può ridurre significativamente il rischio di attacchi attraverso comportamenti informati e prudenti.

 

Phishing: formazione per non abboccare

Il Rapporto Clusit 2024 sulla sicurezza informatica in Italia dedica un'attenzione particolare alla tematica della security awareness consolidando alle imprese il messaggio di mantenere alta la capacità di evolvere questo processo di formazione e consapevolezza.

Nel rapporto si evidenzia come gli attacchi di phishing e altre forme di social engineering siano tra le minacce più diffuse, sfruttando la mancanza di consapevolezza tra i dipendenti e utenti e come la preparazione e la formazione continua risultino quindi fondamentali per prevenire tali minacce.

Le aziende italiane stanno investendo sempre di più in programmi di sensibilizzazione, ma c'è ancora una significativa carenza di investimenti in formazione specifica e continua per i dipendenti. Il Rapporto Clusit stesso suggerisce che la formazione deve essere non solo periodica, ma anche integrata nella cultura aziendale.

Infatti, nonostante gli sforzi di sensibilizzazione, molte organizzazioni non hanno ancora definito una strategia chiara e misurabile per migliorare la consapevolezza sulla sicurezza informatica. La creazione di metriche e l'analisi delle performance potrebbero portare a miglioramenti più concreti.

Aggiungo che tecnologie come l'intelligenza artificiale e gli algoritmi di machine learning possono supportare la formazione sulla sicurezza poiché permettono di identificare comportamenti rischiosi suggerendo percorsi di aggiornamento personalizzati.

 

Attuare una corretta Cybersecurity Awareness

Crediamo che per raggiungere una efficace cybersecurity awareness sia necessario compiere alcuni passi fondamentali che vanno dal coinvolgimento delle strutture aziendali, alla definizione di una vera e propria policy di sicurezza, passando per l’adozione di strumenti di formazione innovativi in grado di attuare una misurazione continua dell’apprendimento volta a garantire il raggiungimento degli obiettivi attesi.

Innanzitutto, è fondamentale capire lo stato attuale della competenza della sicurezza informatica in azienda individuando per ogni singolo dipendente le aree che richiedono un miglioramento. In questa fase, assessment, ed in ogni fase successiva della formazione, è fondamentale tenere traccia sia di ogni aspetto critico sia di ogni stato di avanzamento mediante opportune metriche utilizzate per determinare l’efficacia della campagna formativa.

 

Cybersecurity Awareness: 5 fattori determinanti

In un percorso di formazione che si rispetti è fondamentale l’individuazione dei fattori determinanti al coinvolgimento e alla volontà di crescita dei singoli dipendenti:

  • La motivazione dei partecipanti: aspetto che si ottiene sia mediante la comprensione delle motivazioni aziendali, che spingono il processo formativo, sia il continuo coinvolgimento attraverso attività equilibrate, impegnative e ludiche.

  • Il commitment aziendale: l’azienda nel guidare l’iniziativa può chiaramente dimostrare come la Cybersecurity aziendale sia un processo importante che nel coinvolgere tutti gli elementi fondamentali non può che dare il giusto ruolo alle persone coinvolgendone ogni livello gerarchico e dimostrandosi esempio e motore del cambiamento.

  • La continuità delle attività: esattamente come per hardware, software ed in genere per ogni risorsa aziendale, anche per il primo firewall dell’azienda (i dipendenti) è necessario prevedere un costante aggiornamento. Questo non lo si fa con patch ma lavorando nella costante crescita delle competenze e della consapevolezza, attraverso un piano ben organizzato di formazione che preveda continui aggiornamenti nell’anno e negli anni.

  • Le tempistiche delle attività: gli strumenti messi a disposizione dei dipendenti devono sapersi adattare alle singole esigenze del dipendente stesso sia in termini di capacità di apprendimento ed attenzione sia in termini di volume di tempo da dedicare compatibilmente con le proprie mansioni aziendali.

  • Le misurazioni che dimostrino l’effettivo miglioramento, o meno, della performance aziendale sul terreno della cybersecurity.

 

Proprio in merito alle misurazioni, analizzando soluzioni di mercato che indirizzano la formazione sulla sicurezza, è evidente che non esiste una ricetta unica e uguale per tutti da seguire: il programma della cybersecurity awareness deve essere ovviamente pensato, già in fase di progettazione del programma di formazione, “a misura” dell’organizzazione e tarato opportunamente per far leva sulle risorse principali a cui è rivolta: le persone.

Persone che, devono essere coinvolte ad esempio utilizzando tecniche di gamification e facendo uso di materiale multimediale in grado di attirare l’attenzione. Coinvolgimento che, ovviamente, non può prescindere da un’analisi attenta di quei complessi cognitivi e fattori emotivi che giocano un ruolo essenziale nel mantenimento di attenzione al programma.

Solo con un attento programma di cybersecurity awareness è dunque possibile far sì che la cultura della sicurezza informatica attecchisca all’interno del perimetro virtuale delle aziende supportando quindi la sicurezza dei dati aziendali che prima di tutto rappresentano l’elemento da proteggere e il più interessante da attaccare da parte di un criminal hacker.

Un attecchimento che deve essere tanto più veloce quanto più rapidamente aumenta l’adozione di policy aziendali che coinvolgono l’utilizzo di intelligenza artificiale, dando per consolidato la pratica dello smart working, e l’utilizzo di dispositivi mobili, facendo sempre più uso di IoT e, più in generale, tecnologie digitali all’interno del contesto di Industria 5.0.

Di Luca Bonora - CYBEROO Evangelist

 
Visualizza articolo completo