Nel mondo iperconnesso in cui viviamo, dove le informazioni viaggiano alla velocità della luce e le interazioni digitali sono diventate parte integrante della nostra quotidianità, la sicurezza informatica non può più essere relegata a una semplice questione tecnica. Gli attacchi cyber, sempre più sofisticati e mirati, non colpiscono solo le infrastrutture tecnologiche, ma sfruttano spesso l’anello più debole della catena posta idealmente a protezione dei dati e degli asset preziosi per l’azienda: l’individuo. La conferma arriva, qualora ce ne fosse bisogno, dal “The Global Risk Report 2024” del World Economic Forum, che stima come ben il 95% di tutti gli incidenti di sicurezza cyber nel mondo sia causato da un errore umano.
La Security Awareness, ovvero la consapevolezza rispetto alle caratteristiche, ai contenuti e alle criticità della sicurezza IT all’interno di un’organizzazione, emerge quindi come un elemento cruciale nelle strategie di Risk Management. Non si tratta semplicemente di trasmettere nozioni tecniche, ma piuttosto di sviluppare una vera e propria cultura della sicurezza per far sì che ogni individuo in azienda sia consapevole dei rischi associati ai propri comportamenti e atteggiamenti e arrivi a mettere in pratica delle buone abitudini utili a prevenire gli incidenti, o quantomeno mitigarne l’impatto sul business.
Security Awareness: un pilastro fondamentale della difesa dalle minacce
I dati del primo cyber report annuale di Assintel Confcommercio evidenziano come lo scorso anno ci sia stato un incremento significativo, pari al 184%, negli attacchi informatici a livello globale – quelli identificati e classificati sono 7.068, il 90% dei quali definiti dagli esperti come “gravi” o “gravissimi”. Va da sé, dunque, quanto sia importante investire in una formazione sempre al passo con l’evoluzione delle minacce, ma soprattutto coinvolgente e continuativa.
La formazione sulla Security Awareness è un processo formale con cui l’azienda mira a istruire il proprio personale – dipendenti, manager e anche collaboratori – su come proteggere i sistemi IT, i dati e gli asset di valore da minacce cyber e compromissioni. L’obiettivo è contrastare i pericoli di una scarsa conoscenza sulle conseguenze di distrazioni e comportamenti “leggeri”, che sono spesso la causa principale di un attacco.
Perché è importante fare formazione sulla sicurezza cyber
Una formazione ben concepita e strutturata rappresenta sostanzialmente il primo passo di una difesa efficace. «Le minacce attuali si caratterizzano per un altissimo livello di sofisticatezza – spiega Jean Pierre Onorato, Cybersecurity Presales Consultant di Hornetsecurity –, che spesso induce anche gli utenti più esperti ad abbassare le difese. Mettere gli individui che a vario titolo operano sui dati aziendali in condizione di riconoscere tempestivamente e bloccare proattivamente un attacco permette all’azienda di ridurre al minimo rischi e perdite».
Who's Who
Jean Pierre Onorato
Cybersecurity Presales Consultant di Hornetsecurity
Security Awareness: percezione, continuità e personalizzazione
L’obiettivo principale di una formazione focalizzata sugli aspetti della sicurezza cyber è migliorare la consapevolezza sui rischi, aumentare la conoscenza dei pericoli attuali e rinfrescare la memoria su come affrontare anche le minacce già note (che comunque continuano a mietere vittime), promuovendo l’adozione di comportamenti attenti e adeguati al contesto organizzativo e di mercato. «Per quella che è la mia esperienza – sottolinea il manager –, tre sono gli aspetti più critici. Il primo è quello della percezione, perché specie nelle PMI c’è un po’ la convinzione diffusa che questo tipo di problemi sia troppo complesso per essere affrontato e si finisce per rimandare sempre a un futuro che non arriverà mai. Il secondo è un aspetto più oggettivo, legato alla necessità di garantire la continuità della formazione nel tempo, coinvolgere e ingaggiare tutti i livelli dell’azienda, dal top management in giù. Non ci si può limitare a un paio di corsi l’anno, perché questo approccio è totalmente inefficace. L’ultimo aspetto critico è la valutazione dell’efficacia, per capire la bontà dell’approccio adottato e predisporre gli aggiustamenti del caso».
Quali fattori considerare
Secondo Onorato, i fattori che spingono le aziende a investire nella formazione sulla sicurezza cyber sono legati in prevalenza alla valutazione di questi aspetti:
- Perdite economiche dirette causate dagli attacchi cyber: il blocco della continuità operativa;
- Perdite economiche indirette causate da un attacco cyber: i danni cagionati all’immagine e alla reputazione dell’azienda e dei suoi brand;
- Conseguenze sulla tenuta del business: l’incapacità di “rialzarsi” nell’eventualità di un attacco informatico grave;
- Trade-off del non investire nella Security Awareness: i costi crescenti legati ai premi assicurativi che l’azienda deve pagare, che oggi sono sempre più legati alla postura di sicurezza dell’azienda e alla sua capacità di dimostrare di aver fatto tutto il possibile per evitare un attacco;
- Compliance: la capacità di operare in aderenza a normative, come la NIS2 e il GDPR, che richiedono di mettere a terra percorsi di formazione ad hoc sulla Cyber Security, a pena di pesanti sanzioni.
I 3 passi di una formazione efficace
Il primo passo per creare un percorso di Security Awareness di sicuro effetto è fornire alle persone tutte le informazioni necessarie per comprendere l’importanza di questi aspetti. Questo include una panoramica delle politiche e delle procedure aziendali che definiscono come operare in modo “sicuro” nello svolgimento del proprio lavoro e non solo – questo vale in particolar modo per chi utilizza in modo promiscuo, ovvero per finalità personali e professionali, device aziendali come tablet, smartphone e notebook. Fondamentale è anche l’indicazione dei contatti delle figure chiave da allertare nel caso in cui si individui una potenziale minaccia.
Il secondo step è attivare percorsi in presenza, online oppure misti indirizzati a tutti i livelli dell’organizzazione, anche (e soprattutto) ai neo assunti, realizzati tenendo conto dei ruoli e delle responsabilità ma anche delle caratteristiche personali di ciascun individuo. Sessioni intensive e isolate rischiano di lasciare il tempo che trovano, meglio optare per una formazione continuativa erogata in piccole dosi e fruibile in libertà, così da adattarsi agli impegni dei singoli. Non esistono, in linea di principio, programmi standardizzati e universalmente validi ed è fondamentale adattare le sessioni di formazione alle specifiche esigenze organizzative e aziendali.
Il terzo passo è operare una revisione sistematica dei progressi raggiunti, così da valutare bene la bontà dei percorsi selezionati e “aggiustare il tiro” con rapidità.
Security Awareness Service: e-learning e gamification per coinvolgere e tenere alta l’attenzione
«Security Awareness Service – spiega Onorato – è un servizio SaaS in Cloud che Hornetsecurity ha sviluppato per andare incontro alle esigenze delle aziende che richiedono percorsi di formazione più agili e incisivi, improntati alla massima efficacia. Semplice da attivare e utilizzare, si integra con le altre piattaforme e i software di sicurezza presenti in azienda e il modello di tariffazione prevede costi contenuti, alla portata anche delle PMI. Il training online è disponibile in 23 lingue diverse, un aspetto questo particolarmente apprezzato dalle multinazionali, ed evolve nel tempo in modo adattivo e personalizzato. Il sistema, infatti, autoapprende e aumenterà il livello di sofisticazione dei test e delle simulazioni di attacchi in relazione al fatto che l’utente abbia seguito o meno i corsi previsti e in base a come si è comportato in passato».
Semplicità e coinvolgimento sono le caratteristiche distintive di questo servizio. «Riguardo al primo aspetto – conclude il manager – basta dire che il setup si fa in 10 minuti al massimo e da subito l’utente ha la possibilità di seguire con i propri tempi, in totale libertà, le micropillole di contenuti, della durata di due o tre minuti al massimo, che compongono il percorso. L’engagement, invece, è garantito dal fatto che l’individuo è parte attiva della propria formazione, che viene plasmata e tarata sui suoi comportamenti passati e sulla loro evoluzione nel tempo. L’utilizzo di tecniche di gamification aiuta a interiorizzare la conoscenza di quei dettagli che fanno la differenza tra un tentativo di phishing riuscito e una e-mail riconosciuta come falsa e subito cestinata, alzando la soglia di attenzione. Sulla base delle evidenze dei nostri strumenti di monitoraggio, si parte generalmente da un tasso di riconoscimento del phishing del 20% per arrivare dopo qualche mese al 70% e oltre».
