La formazione alla cybersecurity in azienda è un investimento necessario 

In che modo è possibile investire in gestione del rischio, e in particolare in formazione alla cybersecurity, contraendo gli investimenti e incrementando ricavi e profitti? Questo è il principale dilemma che separa le aziende da una protezione efficace contro minacce in continua ascesa.

Formazione alla cybersecurity: perché è prioritaria

La formazione alla cybersecurity è prioritaria perché buona parte degli attacchi cyber è rivolta contro le persone. Si pensi alle campagne di phishing: sono semplici da porre in essere, ed è sufficiente che il destinatario non abbia le dovute conoscenze, o banalmente sia stanco, per vincere la partita.  

Quando si tratta di phishing, i mezzi tecnologici di protezione e reazione possono essere utili per aiutare le vittime degli attacchi. Ad esempio, spostando automaticamente le mail sospette nel cestino o avvertendo l’utente tramite allarmi specifici. Tuttavia, ci sono situazioni in cui questi strumenti non sono altrettanto efficaci, come nel caso del social engineering telefonico o del business email compromise (BEC). In queste circostanze, i malintenzionati si fanno passare per dirigenti aziendali che hanno accesso ai fondi finanziari dell’azienda. 

Inoltre, ci sono anche le situazioni in cui gli errori involontari possono causare gravi danni, come l’invio di informazioni riservate al destinatario sbagliato o il trasferimento di file contenenti segreti industriali su uno smartphone non protetto. In tutti questi scenari, le soluzioni di sicurezza tradizionali potrebbero non essere sufficienti per proteggersi dalle minacce informatiche.

Cybersecurity: evitare conseguenze di tipo finanziarie, legali e reputazionali

Facendo un passo avanti, possiamo chiederci quali siano le conseguenze di quanto appena esposto. Sempre dal punto di vista del CEO, le raggruppiamo in 3 categorie:

Danni economico-finanziari

Qualsiasi interruzione di operatività o sottrazione di dati, ovvero i due principali obiettivi del cyber crime, causa importanti conseguenze economico-finanziarie, al punto da mettere a rischio la sopravvivenza dell’impresa. Spesso, i danni diretti derivano dal mancato rispetto delle pattuizioni contrattuali: per esempio, ritardare le consegne per il lancio di un prodotto ha effetti significativi non solo sul minor fatturato, ma anche sulle obbligazioni contrattuali siglate con i propri clienti. Nel caso di violazioni di dati dei propri Clienti, questi potranno agire a livello legale per il risarcimento del danno.

Sanzioni legali 

Le sanzioni legali rientrano di solito nella categoria precedente, ovvero si tramutano in danni economici, anche molto rilevanti. Per esempio, gestire i dati in modo non conforme al GDPR può causare sanzioni fino al 2% del fatturato annuo globale, che in termini assoluti può essere una cifra molto consistente. Inoltre, qualsiasi azienda è soggetta a svariati regolamenti verticali, come nell’ambito della sanità, dell’alimentare e dell’universo finanziario. Anche in questi casi, un data breach può avere enormi conseguenze.

Danni reputazionali 

È molto complesso calcolare il costo di un attacco cyber in termini reputazionali, ma le attività che l’azienda deve attuare per riconquistare la fiducia del cliente, tra gestione della crisi e una strategia di marketing e commerciale ad hoc, sono certamente molto costose. A seconda degli effetti dell’attacco, i danni reputazionali possono essere i più significativi in assoluto.

Come andiamo oltre la formazione in cybersecurity 

Di fronte a tutti questi rischi, la formazione in cybersecurity è un pilastro di qualsiasi strategia moderna. In realtà, riteniamo che il termine formazione sia un po’ riduttivo, perché la cyber security ha delle caratteristiche peculiari che la differenziano dalle altre attività formative. Innanzitutto, non è un’attività una tantum: tra minacce e strumenti di difesa, l’universo cyber è in perenne evoluzione e cambia di giorno in giorno. Organizzare un aggiornamento annuale, o semestrale, non porterebbe mai a risultati di rilievo.  

Inoltre, il fine della formazione alla cybersecurity non è solo quello di generare conoscenza sulle minacce, sui comportamenti virtuosi e sulle tecniche/strumenti di difesa, ma di plasmare una vera e propria cultura della sicurezza che indirizzi i comportamenti di ogni giorno e si trasmetta tra le persone in modo naturale, come fosse una sorta di virus positivo.   

Fasternet sostiene le aziende in percorsi continuativi di security awareness con caratteristiche di personalizzazione e coinvolgimento delle persone. Durante i corsi affianchiamo una formazione personalizzata, moderna, on-demand, fondata su simulazioni pratiche degli attacchi più frequenti, sulle verifiche e, soprattutto, sulla valutazione continua dei progressi, delle lacune e delle aree di intervento sia a livello di unità organizzativa che di singola persona. In questo modo, riteniamo non soltanto di erogare una formazione alla cybersecurity in linea con le dinamiche aziendali odierne e con modelli organizzativi sempre più smart, ma anche di non impattare sulla produttività e di costruire, poco per volta, un’architettura di sicurezza che parte dalle persone e le eleva a prima linea di difesa.