Cybersecurity Awareness:
cos’è e come difendersi in azienda

Quando si parla di cybersecurity, da sempre accanto agli aspetti meramente tecnologici legati alla protezione e alla difesa dei propri asset digitali, si finisce per fare riferimento a temi culturali.

Non solo perché, come dimostrano molti dei report, Clusit incluso, molti incidenti di sicurezza sono causati da errori umani, negligenze e configurazioni errate. Promuovere la cultura e la consapevolezza dei rischi è essenziale perché la cybersecurity deve essere una priorità per tutte le persone in azienda.

Ecco, dunque, che si va diffondendo, non solo in Italia o in Europa, ma di fatto in tutto il mondo, il concetto di cybersecurity awareness.

Cybersecurity Awareness

Promuovere la cybersecurity awareness, ovvero la consapevolezza della cybersecurity, nella propria organizzazione significa essere attenti alla sicurezza informatica in tutte le azioni e situazioni quotidiane.

Significa essere consapevoli dei pericoli legati alla navigazione web, gestione delle email, condivisione di dati e interazioni online, indipendentemente dal proprio ruolo nell’organizzazione.

È chiaro che non tutti devono avere competenze su tematiche complesse e strettamente tecniche, ma è fondamentale fornire ad ogni dipendente o collaboratore informazioni rilevanti per il proprio ruolo, preparandoli ad affrontare adeguatamente le situazioni di rischio.

Fornire la formazione appropriata a ciascun team è vitale per costruire un programma di cybersecurity awareness che porti con sé un cambiamento comportamentale duraturo.

Come spesso viene sottolineato, gli incidenti di cybersecurity possono comportare costi elevati per un’azienda, sia dal punto di vista strettamente economico, sia da un punto di vista reputazionale.

Con l’aumento degli attacchi informatici ogni anno, come evidenziato dal rapporto Clusit, il rischio di non educare i dipendenti sulla consapevolezza della cybersecurity cresce costantemente.

Come si legge nella prefazione dell’edizione 2024 del Rapporto Clusit sulla cybersecurity nel nostro Paese, non solo

I criminali informatici trovano costantemente nuovi modi per aggirare gli ultimi strumenti e tecnologie di difesa, infiltrandosi nelle caselle di posta e nei browser dei dipendenti, oppure utilizzando forme di ingegneria sociale.

Preparare dipendenti e collaboratori a identificare gli attacchi e soprattutto a mantenere una corretta “postura” di sicurezza è la sola strada per ridurre significativamente il rischio di incidenti o violazioni.

Per questo, investire oggi nella cybersecurity awareness non è solo una misura preventiva, ma una necessità strategica per la gestione del rischio.

Formare i dipendenti per riconoscere e rispondere alle minacce informatiche è fondamentale per proteggere le risorse aziendali e mantenere la continuità operativa. Per questo si parla di cybersecurity awareness training, ovvero di un processo continuo di educazione e formazione che aiuta ad inculcare nei dipendenti un senso di responsabilità proattiva per mantenere l’azienda e i suoi asset sicuri.

Non è dunque un caso che il cybersecurity awareness training sia componente critico della strategia di cybersecurity di un’organizzazione e comprende diversi strumenti e tecniche utili per informare e rendere consapevoli dipendenti e collaboratori rispetto ai rischi di sicurezza e su come evitarli.

Questo aiuta i dipendenti a capire i rischi cibernetici quotidiani dell’azienda, l’impatto sulle attività e le loro responsabilità nella protezione dei beni digitali.

Attacchi di social engineering, come phishing, spear phishing, business email compromise (BEC) possono perdere efficacia di fronte ad utenti adeguatamente formati, riducendo significativamente il rischio di incidenti di sicurezza e aiutando a prevenire violazioni dei dati.

Chiarito dunque che la formazione sulla cybersecurity awareness è una attività critica per tutti i dipendenti all’interno di un’organizzazione, resta da capire quali siano i temi che andranno sviluppati all’interno di un programma che possa dirsi per lo meno esaustivo.

Possiamo dividere i temi da affrontare in due gruppi distinti.
Nel primo rientra l’analisi vera e propria delle minacce, nel secondo rientra invece una riflessione più approfondita sul contesto.

Il cybersecurity awareness training partirà dunque dalla sicurezza delle mail, che restano uno strumento di comunicazione primario e una vulnerabilità significativa per le aziende.

In questo caso, la formazione dovrebbe concentrarsi sul riconoscimento e la gestione di link e allegati non sicuri e dipendenti e collaboratori dovranno essere in grado di identificare attacchi di phishing, ransomware e compromissione delle email aziendali (BEC).

La seconda area sulla quale lavorare riguarda il phishing e il social engineering: in questo caso, la formazione dovrebbe aiutare i dipendenti a riconoscere i tentativi di phishing e le tattiche di ingegneria sociale per prevenire accessi non autorizzati e violazioni dei dati.

Oltre alla posta, bisogna prendere in considerazione la sicurezza dei browser, aiutando ad adottare le migliori pratiche per una navigazione sicura, il riconoscimento dei siti web non sicuri e implementando policy chiare e rigorose sull’utilizzo di internet e dei social media.

2 – Ransomware e protezione dei dati

Un capitolo importante del percorso di formazione riguarderà malware e ransomware: in questo caso si lavorerà prevalentemente sulla consapevolezza di quali siano le tecniche utilizzate dagli aggressori, quali le tipologie di attacco, inclusi, ad esempio, gli attacchi DoS (Denial of Service).

Il percorso di formazione prenderà poi in esame la sicurezza dei dati, inclusi la gestione, la condivisione, l’archiviazione e lo smaltimento sicuro delle informazioni sensibili.

In ottica di risk management, il training deve comprendere note in merito agli obblighi e ai requisiti normativi e legislativi, anche per quanto riguarda la segnalazione degli incidenti e dei data breach.

3 – Protezione dei dispositivi

Dopo la crisi pandemica, è inevitabile che la formazione riguardi le sfide legate al lavoro da remoto, con focus dedicati, ad esempio, all’importanza delle reti private virtuali (VPN).

Ci sono altri aspetti che devono essere presi in considerazione, come la sicurezza fisica dei dispositivi utilizzati o i rischi legati all’utilizzo di supporti rimovibili, come le chiavette USB e i dischi rigidi portatili.

Anche in questo caso, è importante che le policy aziendali in materia siano chiare e rispettate da tutti.

Non può mancare una riflessione sulla sicurezza delle password e sui furti di identità e dipendenti e collaboratori devono essere incoraggiati a utilizzare sistemi di autenticazione multifattore.

4 – Formazione sul contesto

Per quanto riguarda invece la formazione sul contesto, i dipendenti devono essere consapevoli che lo scenario della cybersecurity è fatto di minacce evolutive.

Questo significa che i criminali cyber sviluppano costantemente nuovi metodi di attacco, rendendo difficile mantenere i programmi di formazione aggiornati.

Analogamente, è importante far capire alla community aziendale che il coinvolgimento nella formazione e negli aggiornamenti riguarda tutti e nessuno può sentirsi escluso.

Un programma di formazione così articolato dovrebbe aiutare le imprese a migliorare significativamente i loro meccanismi di difesa contro le minacce informatiche.

Aggiornamenti continui e metodi di formazione coinvolgenti sono fondamentali per promuovere una forza lavoro consapevole della sicurezza, capace di proteggere gli asset dell’organizzazione.

Ma non basta.

Per costruire una consapevolezza della cybersecurity efficace, è essenziale personalizzare la formazione secondo le esigenze specifiche dell’azienda. Anche l’uso di pratiche di gamification può influenzare positivamente il comportamento dei dipendenti e promuovere un cambiamento culturale nella percezione della sicurezza informatica.

È importante tener presente che i programmi più efficaci per l’educazione alla sicurezza adottano un approccio incentrato sulle persone, allineando la formazione ai ruoli specifici, ai dipartimenti e alle culture aziendali. Questo aumenta l’ingaggio e la rilevanza, promuovendo un cambiamento comportamentale duraturo.

Naturalmente, continuità e coerenza rappresentano una necessità: una volta avviato il programma di formazione, la sicurezza deve restare sempre al centro dell’attenzione dell’organizzazione.

Mantenere un flusso continuo di informazioni e aggiornamenti rafforza l’importanza della cybersecurity e assicura che i dipendenti rimangano vigili e informati sulle ultime minacce e migliori pratiche per proteggere l’azienda.

Per fortuna, le aziende non sono sole nel loro viaggio verso la cybersecurity awareness. Esistono infatti attività di sensibilizzazione che vengono promosse anche a livello istituzionale.

Così, anche in Italia, come negli Stati Uniti e in Europa, ottobre è stato ormai riconosciuto come il Mese della Cybersecurity. E questo ormai da più di dieci anni. Un mese dedicato a sensibilizzare aziende e cittadini sui rischi informatici e a promuovere pratiche di sicurezza efficaci.

Lo scorso anni, i temi principali sono stati il backup dei dati e l’autenticazione forte, due pilastri fondamentali per la protezione contro le minacce informatiche.

L’Agenzia per la cybersicurezza nazionale (ACN) ha coordinato un’iniziativa nazionale, supportata da Clusit, università e centri di ricerca.

Il programma include incontri, webinar sulla sicurezza delle infrastrutture critiche, tavole rotonde sull’insicurezza dell’intelligenza artificiale e conferenze sul ruolo del Chief Information Security Officer (CISO) e sull’importanza delle certificazioni.

Eventi, questi, pensati per creare una cultura della sicurezza informatica solida e consapevole in tutto il paese.