Secondo il più recente (2024) Data Beach Investigation Report di Verizon, il 68% dei data breach esaminati a livello globale include un elemento umano. Questo significa che, tra le molteplici concause che conducono all’incidente, c’è quasi sempre un errore, una distrazione, un raggiro o comunque un’azione dannosa inconsapevole (non dolosa) da parte della vittima.
Da anni, tra i professionisti della cyber security si continua a ripetere il mantra del fattore umano come anello debole della sicurezza. E per quanto sia davvero risaputo da tutti gli addetti ai lavori, trasformarlo in una solida linea di difesa è probabilmente la sfida più grande della sicurezza informatica moderna. Ma perché?
Formare le persone non è come aggiornare un software
Riassumiamo un attimo la situazione: il 68% delle sottrazioni di dati ha tra le cause una componente umana, gli attacchi cyber sono aumentati del 27,4% nel 2024 rispetto all’anno precedente (Clusit) e il costo medio di un data breach è cresciuto del 10%, raggiungendo i 4,88 milioni di dollari (IBM).
Per contrastare il fenomeno, le aziende stanno investendo come mai prima d’ora nella security awareness. Se un decennio fa Gartner stimava che questo mercato avrebbe potuto raggiungere il miliardo di dollari, oggi le previsioni parlano di una spesa globale che supererà i 10 miliardi di dollari entro il 2027. Un'accelerazione dovuta non solo alla crescente frequenza degli attacchi, ma anche all’impatto potenzialmente devastante dell’uso improprio della GenAI, che rende ancora più insidiosi i tentativi di social engineering.
Nonostante i forti investimenti, l’errore – o comunque la componente umana – continua ad essere presente negli incidenti cyber. Almeno per tre motivi.
Non si può "patchare" il comportamento umano
Un comportamento sedimentato negli anni è molto più difficile da correggere rispetto a una vulnerabilità del software. Gli errori derivano da abitudini sbagliate, carenze formative, pressioni lavorative o disattenzione. Non a caso, si parla di programmi di security awareness e non di formazione perché lo scopo non è fornire nozioni ma plasmare un nuovo modo di relazionarsi alla sicurezza informatica
Il social engineering evolve troppo velocemente
Gli attacchi di phishing e ingegneria sociale sono sempre più raffinati, adattati al contesto, alla cultura aziendale e persino ai singoli individui. GenAI, da questo specifico punto di vista, sta dando del filo da torcere agli esperti di sicurezza. La velocità con cui gli attaccanti aggiornano le proprie tecniche supera (spesso) quella con cui le organizzazioni riescono a formare il loro personale.
La sicurezza compete con la produttività
Le pressioni lavorative sono una costante in ogni struttura e gli attaccanti ne approfittano. I dipendenti, nel tentativo di alzare o comunque di non condizionare la loro produttività, cercano delle scorciatoie: salvano password dove non dovrebbero, condividono credenziali via chat, allegano documenti riservati in strumenti non sicuri (il tipico gruppo WhatsApp di colleghi) e possono anche ignorare gli alert di sicurezza. Finché la cultura aziendale non interiorizza la sicurezza cyber come un valore strategico, l’errore umano continuerà ad essere una minaccia.
Le aziende non stanno interpretando correttamente il problema
Molte organizzazioni trattano l’errore umano come un problema di formazione, e per questo si limitano a introdurre corsi occasionali, newsletter, contenuti ad hoc o campagne di sensibilizzazione, senza affrontare la questione nella sua reale complessità, che è culturale, organizzativa e comportamentale. Nei capitoli successivi, vedremo come fare.
Security awareness, un tema culturale prima che IT
Nel mondo IT, pochi concetti sono apparentemente semplici come quello di security awareness, che però viene frainteso molto spesso. Da un lato, è evidente che una maggiore consapevolezza contribuisca a migliorare la postura di sicurezza, ma dall’altro, implementarla in modo efficace è una sfida molto complessa.
Cosa si intende per security awareness
Con l’espressione security awareness si intende la capacità delle persone di riconoscere le minacce informatiche a loro indirizzate e di adottare comportamenti virtuosi per prevenirle o gestirle. Non parliamo solo di non cliccare su link sospetti o di usare password sicure, ma della capacità di lavorare e di agire in ogni momento con un mindset orientato alla sicurezza.
L’obiettivo della security awareness non è quello di informare, ma di cambiare i comportamenti rispetto a strumenti, sistemi IT e dati. È creare una cultura in cui la sicurezza non è delegata solo all’IT, ma un valore condiviso da tutti.
Cyber Security Awareness: i 3 prerequisiti
Costruire un programma di security awareness richiede molto più di una buona idea e qualche contenuto formativo. Servono basi solide, visione strategica e una gestione consapevole del cambiamento. Ecco i tre prerequisiti fondamentali.
Sponsorship della dirigenza aziendale
Senza un coinvolgimento forte e convinto del top management, difficilmente un programma di security awareness avrà impatto duraturo. La leadership deve essere la prima a credere, e possibilmente a dimostrare, che la sicurezza è una priorità strategica e una responsabilità di tutti, non solo dell’antivirus o del firewall. Questo significa essere presenti, supportare la comunicazione e dare l’esempio.
Un programma continuativo è fondamentale
La consapevolezza si costruisce nel tempo, non è un progetto temporaneo o una voce residuale nel bilancio dell’IT. Eppure, questo accade spesso: si pianifica un programma per un anno, magari finanziato con ciò che resta dopo aver investito in infrastrutture o strumenti di protezione, e poi lo si interrompe l’anno successivo.
Il problema è che gli attaccanti non fanno pause, e ogni momento di inattività indebolisce la resilienza dell’organizzazione. Se nell’anno di silenzio non succede nulla di grave, sarà ancora più difficile giustificare il rilancio dell’iniziativa l’anno dopo. La continuità è l’unico modo per costruire abitudini e mantenere alta l’attenzione.
Integrare (bene) la sicurezza nel lavoro
Integrare la sicurezza nei processi quotidiani significa, a volte, modificare procedure e rivedere flussi consolidati. Non è semplice, e potrebbe non essere indolore. Serve progettualità: occorre comunicare con chiarezza il valore di ciò che si sta facendo, spiegare come e perché certe pratiche vanno cambiate, ma anche costruire nuovi processi che non rallentino la produttività e non penalizzino i risultati.
Security Awareness, la checklist di un programma efficace
Come si costruisce un programma di security awareness efficace? In questo contesto, i tool non sono soltanto le piattaforme tecnologiche, ma un vero e proprio kit di strumenti, un insieme integrato di risorse, metodi, tecnologie e contenuti che permettono di implementare un percorso solido e duraturo.
Security Awareness Training
Abbiamo sottolineato più volte come i concetti di security awareness e formazione non coincidano, ma ciò non toglie che quest’ultima sia un elemento chiave di ogni programma.
Più che su sessioni in aula, difficili da organizzare e gestire, le piattaforme moderne puntano su contenuti brevi, fruibili in autonomia e progettati per essere efficaci anche in pochi minuti. Video, pillole, quiz, infografiche: l’importante è che siano accessibili, mirati e contestuali. Nessuno vieta di organizzare occasioni di incontro in aula per la presentazione del programma e per gli aggiornamenti più importanti.
Gamification e valutazioni periodiche
Se ben progettata, la gamification serve a rafforzare la memoria, costruire concetti solidi, aumentare l’engagement e creare una sorta di sistema di valutazione continua del livello di consapevolezza. Non è un gara, ma è una metodologia molto interessante per misurare i progressi e stimolare il confronto costruttivo. Badge, classifiche, quiz interattivi: tutto contribuisce a mantenere alta l’attenzione.
Simulazioni di phishing realistiche
Le piattaforme di security awareness più evolute offrono anche simulazioni per valutare il livello di conoscenza e consapevolezza dei dipendenti. È uno degli strumenti più concreti e utili, perché mette alla prova le persone in uno scenario reale, ma controllato. Le piattaforme inviano messaggi di phishing costruiti ad hoc (via email, ma magari anche al telefono, sfruttando la potenza di GenAI) per misurare le reazioni, identificare le aree critiche e intervenire in modo mirato.
Awareness data-driven
I dati raccolti attraverso test, simulazioni e interazioni possono – e devono – guidare la progettazione delle attività successive, che devono essere il più possibile personalizzate. Chi dimostra fragilità in una certa area riceve contenuti aggiuntivi o sessioni dedicate. Chi invece ha un profilo avanzato può diventare un ambassador interno.
Integrazione con la comunicazione interna
Strumenti meno tecnici dei precedenti, come newsletter, messaggi interni, post nei social media enterprise o promemoria per i momenti chiave fanno parte della cassetta degli attrezzi dei migliori programmi di awareness. La chiave, come già accennato, è la continuità.
-1.png "002-Kirey Group - una riga - (color)-1")
