Cosa contraddistingue un’organizzazione cyber-aware da una in cui invece manca una consapevolezza sui rischi cyber? Quando si parla di Security Awareness, si intende la capacità delle persone di gestire l’evenienza – sempre meno remota – di un attacco cyber, grazie a una pregressa formazione e a una corretta attitudine all’uso di servizi e strumenti digitali.
Riconoscere un tentativo di attacco, segnalarlo, bloccarlo, … non può più essere compito solo dell’IT. Perché questo sia possibile in modo diffuso, con persone che lavorano da casa e che utilizzano strumenti personali come lo smartphone per lavorare e comunicare con i colleghi, è indispensabile investire – in vario modo – nel far crescere la cultura informatica delle persone.
Un programma di Security Awareness è quindi, in sostanza, un’attività formativa e educativa, rivolta a tutte le persone che, con ruoli diversi, utilizzano soluzioni aziendali e possono quindi incidentalmente trovarsi a dover gestire una minaccia di cybersecurity. Non si tratta però di impostare una tradizionale attività di aula, perché quello che si vuole, con un’attività di Security Awareness, è incidere direttamente e in modo verificabile sul comportamento delle singole persone. A questo proposito, è molto utile rileggere quanto afferma il NIST[1], “Awareness is not training. The purpose of awareness presentations is simply to focus attention on security. Awareness presentations are intended to allow individuals to recognize IT security concerns and respond accordingly.”
Qual è il valore della Security Awareness
Avere persone cybersecurity-aware significa anche, in aggiunta a una robusta infrastruttura di security (composta da tecnologie specifiche come antivirus, firewall e quant’altro), disporre di “sentinelle umane”, della capacità diffusa nell’organizzazione di riconoscere-segnalare-bloccare-mitigare un eventuale attacco informatico. Al giorno d’oggi, le persone sono le prime ad essere prese di mira dagli hacker (tramite tecniche consolidate di social engineering, phishing, vishing, truffe online pensate per far leva sull’ingenuità di utenti sprovveduti), per cui innalzare le capacità di difesa e di anticipazione del rischio informatico da parte dei singoli è assolutamente fondamentale.
Se ben congeniato ed erogato, un programma di educazione alla cybersecurity potrà portare alle aziende numerosi benefici, come ad esempio:
- Ridurre il numero di errori accidentali
- Individuare nuove soluzioni moderne di cybersecurity (ad esempio, per la sostituzione delle password)
- Migliorare la cultura interna ed elevare il morale delle persone
- Ridurre perdite di tempo e costi legati agli incidenti
- Migliorare la reputazione dell’azienda e la sua “presa” sui clienti
- Rispondere meglio alle norme (ad esempio, per quanto riguarda la gestione dei dati personali)
- Ridurre i malfunzionamenti dell’IT.
Come realizzare un programma di Security Awareness efficace
Per parlare di efficacia del programma di formazione, naturalmente bisogna definire bene cosa si vuole ottenere e come misurare i risultati. In generale, se ben gestito, un programma di security awareness può essere un’ottima via per ridurre gli errori delle persone e per abituarle a comportamenti più corretti nel day-by-day. Uno studio di Osterman Research[2] ha misurato la capacità delle persone di riconoscere minacce di cybersecurity con o senza formazione, con risultati veramente importanti, come mostra la figura successiva. 
Per ottenere questi risultati va però detto che la formazione deve essere pensata come un’attività continuativa, va pensata come un progetto completo che parte dalla comprensione dei bisogni della singola organizzazione, accompagna le persone nel cambiamento (con formazione e con esercitazioni) verso comportamenti più corretti, con l’obiettivo di rendere la sicurezza un modo quotidiano di approcciarsi a qualsiasi strumento e servizio digitale. L’ultimo obiettivo dovrebbe poi essere quello di cambiare lo stesso approccio mentale delle persone, perché siano in grado non solo di gestire i rischi attuali, ma anche di immedesimarsi negli attaccanti e poter quindi intercettare minacce che evolvono continuamente, essere in grado di intercettare e prevedere nuove forme di attacco.
Alcuni suggerimenti generali per rendere più efficace la formazione di sicurezza, estratti dall’esperienza e da ricerche in questo campo, sono
- Prevedere attività regolari di formazione per rinforzare l’apprendimento
Come riporta l’associazione Usenix[3], a distanza di 4 mesi dal corso le persone cominceranno a dimenticare quanto appreso. Questo significa che la formazione deve avvenire in modo costante, a più riprese.
La situazione al momento non è proprio ideale: come riporta sempre Osterman Research[4], a fronte di una continua crescita del tempo medio dedicato alla formazione dei dipendenti (passato da 18 minuti al mese nel 2018, a 23 minuti nel 2019 e 26 minuti nel 2020), con le grandi organizzazioni che in generale dedicano molto pi+ tempo che non le piccole e medie imprese, nella maggior parte dei casi – come mostra la figura successiva – le attività di formazione sono concentrate in pochi momenti. Due o tre volte all’anno (per la maggior parte delle aziende) oppure 1 volta all’anno, se solo in una minoranza di aziende, dalle 4 volte in su.
- Disegnare sessioni di formazione il più possibile interessanti
- Considerare tutti gli aspetti principali della cybersecurity
Una lista proposta[5] è quella che segue:
- Prevedere sessioni di simulazione (es. Phishing simulato) per testare le capacità acquisite dalle persone
- Misurare i risultati della formazione, con test, giochi, verifiche individuali.
A cura di:
Elena Vaciago, @evaciago
