Come formare le persone alla sicurezza informatica aziendale 

Qualche anno fa, i dati dell’Information Commissioner’s Office (ICO) inglese rivelarono non soltanto un notevole incremento nella quantità dei data breach, ma soprattutto che solo il 12% fosse il risultato di attacchi intenzionali. L’88% era dovuto a errori umani, dall’invio dell’e-mail al destinatario sbagliato allo smarrimento di documentazione cartacea fino alla memorizzazione dei dati in ambienti non sicuri come gli smartphone o sprovvisti di protezioni all’accesso. 

Il lato umano della sicurezza informatica 

Se rivolgiamo l’attenzione agli attacchi informatici, anche qui la componente umana ha un ruolo. Il Rapporto Clusit 2023 sostiene infatti che gli attacchi più sofisticati, basati su componenti 0-day, sono solamente la punta dell’iceberg: Malware, Phishing, Social Engineering e Vulnerabilità sono le tecniche più adottate e dimostrano quanto le aziende – ma anche le singole persone – non aggiornino i propri sistemi, non gestiscano con cura i propri account e non mostrino un giusto livello di diffidenza nei confronti di contenuti sospetti.  

A rafforzare ulteriormente il concetto ci pensa lo State of Phish 2023 di Proofpoint, secondo cui il 44% delle persone ritiene che le e-mail siano sicure se basate su un branding familiare; inoltre, secondo la ricerca 1/3 degli intervistati ha intrapreso un’azione pericolosa di fronte a un attacco di Phishing. Il tutto all’interno di un contesto in cui solo il 56% delle organizzazioni è impegnata in programmi di Security Awareness. 

Cultura della sicurezza e formazione 

Per proteggere un’azienda dalle crescenti minacce cyber e non andare incontro a danni economici e reputazionali, è necessario adottare un approccio sistemico. Ciò richiede l’implementazione di sistemi e tecnologie di protezione sempre più sofisticate, ma è parimenti importante sviluppare una cultura della sicurezza che faccia dei dipendenti la prima linea invalicabile di difesa. Ciò può essere raggiunto attraverso attività di formazione volte a creare consapevolezza (awareness) su:  

• i rischi informatici connessi all’attività quotidiana; 
• gli strumenti di protezione e le best practice;  
• i comportamenti virtuosi da adottare in un mondo sempre più digitalizzato. 

I percorsi di security awareness mirano specificamente a sviluppare una cultura della sicurezza che vada a integrarsi con le misure di sicurezza tecnologiche, creando così una barriera impermeabile. L’esempio del phishing è eloquente: le tecnologie di monitoraggio integrate nei client di posta potrebbero rilevare anche il 90% delle e-mail malevole, ma il 10% residuo va contrastato con conoscenze adeguate e comportamenti virtuosi da parte delle persone.  

Puntare sull’engagement per creare un percorso efficace 

Poco più della metà delle aziende (56%) è impegnata in percorsi di security awareness. Questa percentuale è relativamente bassa, e a ciò si aggiunge il fatto che non tutte le strutture sono in grado di organizzare percorsi efficaci.  

Il problema principale è la resistenza degli utenti finali: non tutti ritengono di avere il tempo necessario per questa formazione, alcuni la trovano troppo tecnica, mentre altri semplicemente non sono interessati. Di conseguenza, la tradizionale organizzazione di corsi periodici in aula raramente porta a risultati apprezzabili. 

Per creare un percorso efficace, le aziende si devono concentrare sull’engagement degli utenti. In altri termini, devono creare attività – supportate da apposite piattaforme tecnologiche – che si integrino perfettamente nelle dinamiche lavorative tradizionali e mirino a coinvolgere attivamente gli utenti, rendendoli parte di un percorso di crescita della consapevolezza. Tra i pilastri troviamo:  

• Contenuti on-demand e video pillole 
  Le migliori piattaforme tecnologiche per la security awareness si basano su contenuti on-demand, fruibili ovunque e su ogni device; meglio se in video, brevi e fortemente ingaggianti. La sicurezza informatica ha un forte legame con l’attualità, per cui anche una newsletter informativa interna potrebbe avere notevole successo.  
   
• Gamification 
  Sfruttare le dinamiche dei giochi (con badge, premi, classifiche, tornei…) nell’ambito della formazione alla sicurezza informatica garantisce coinvolgimento e stimola una sana competizione.  
   
• Simulazioni 
  Molti attacchi informatici possono essere simulati, come quelli di phishing. Le aziende possono così monitorare il comportamento dell’utente rispetto ad e-mail, documenti e comportamenti sospetti. Diversi gli scopi: valutare la preparazione della persona, lo sviluppo della consapevolezza soggettiva e della security culture aziendale.  
   
• Test e verifiche costanti 
  Anche in questo caso, alle tradizionali survey periodiche si possono aggiungere quelle contestuali alle simulazioni, così da fornire immediatamente una pillola di formazione e stimolare lo sviluppo di pratiche virtuose.  

Investire in security awareness è dunque essenziale per creare una cultura della sicurezza che possa sostenere l’impresa nel suo percorso di crescita, minimizzando i rischi cui essa è nativamente soggetta. Importante, però, è farlo nel modo giusto.