Cybersecurity awareness

Formazione alla cyber in azienda: ecco come farla bene

La formazione è un elemento essenziale per prevenire e limitare i rischi cyber in azienda. Ma la cybersecurity è un tema complesso e dalle molteplici sfaccettature. Per modificare il comportamento di tutti coloro che lavorano in azienda occorre perciò impostare bene il percorso di training e awareness. Ma come?

Pubblicato il 08 Nov 2022

Georgia Cesarone

Responsabile Formazione del Centro di Competenza sulla Sicurezza delle Infrastrutture Critiche Digitali – START 4.O

Paola Girdinio

Presidente Centro di Competenza per la Sicurezza e l'Ottimizzazione delle Infrastrutture Strategiche 4.0 (Start 4.0)

Security Solutions

La formazione costituisce un cardine centrale dei processi di prevenzione e di mitigazione del rischio cyber nelle aziende, bersagli sempre più centrali nelle strategie dei criminali informatici.

I dati dimostrano infatti che il fattore umano costituisce la principale vulnerabilità e che attraverso una costante azione di Training & Awareness unita ad attacchi simulati è possibile ridurre i rischi di phishing e di infezioni da malware fino al 90%.

Ma come impostare un corso di formazione efficace sulla cybersecurity?

La cybersecurity “giusta” per difendere aziende e PA: ecco su cosa puntare

La cybersecurity per preservare la continuità del business

Partiamo da un dato inequivocabile: la rilevante crescita degli attacchi di tipo cyber e il peggioramento degli scenari internazionali hanno reso centrale il concetto della cybersecurity per preservare la continuità del business aziendale attraverso processi di prevenzione e di protezione.

Dal rapporto Swascan del secondo trimestre 2022, l’Italia risulta il quarto paese più attaccato al mondo con bersaglio privilegiato le PMI. Una tendenza in costante aumento negli ultimi anni, con ripercussioni molto gravi sul tessuto produttivo del nostro paese.

Infatti, incrociando i dati con il rapporto Clusit 2022 sulla sicurezza ICT il quadro si aggrava perché in questi anni sta aumentando la severity, la gravità degli attacchi di tipo cyber: basti pensare che, ad oggi, gli attacchi devastanti e quelli molto gravi sono praticamente l’80% del totale, mentre risultavano il 56% l’anno scorso.

Nonostante i pericoli che la cybersecurity pone davanti alle aziende, il processo di trasformazione digitale non può arretrare: l’aumento di competitività e di efficienza delle aziende e delle pubbliche amministrazioni italiane passa attraverso la digitalizzazione, così come la sostenibilità intesa nelle sue 3 dimensioni: economica, sociale, ambientale in linea con gli obiettivi dell’agenda ONU 2030.

Per questo la strada da intraprendere è quella della trasformazione digitale sicura che si fonda su tre pilastri: tecnologie, processi e persone.

Le molteplici sfaccettature della cybersecurity

Ma la cybersecurity è un tema che richiede di tener conto di molteplici aspetti e sfaccettature concomitanti che la rendono un tema molto complesso ed è pertanto necessario partire, appunto, dalla corretta impostazione di un corso di formazione sulla cybersecurity. Ma come?

La cybersecurity è un argomento complesso per diverse ragioni:

  • Deve essere affrontato a tutti i livelli all’interno dell’azienda con finalità e metodologie differenti
  • Richiede un approccio olistico e sistemico all’argomento
  • Coinvolge sia aspetti relativi alle competenze delle persone che al loro comportamento ed è quindi una grossa sfida formativa

Enisa (European Union Agency for Cybersecurity) inserisce la formazione e la cultura aziendale ai primi posti nelle linee guida per le PMI per aumentare la protezione cyber con differenti target aziendali.

Diverse esigenze di formazione per le diverse mansioni in azienda

Innanzitutto, i dipendenti e tutti coloro che lavorano in azienda. È necessario sviluppare un cambio comportamentale in tutti coloro che si interfacciano con i sistemi aziendali nei confronti di ogni tipo di comunicazione: sms, telefonate, email, supporti di archiviazione dati esterni, ecc. imparando a considerare tutti questi strumenti alla stregua di lasciare la porta dell’ufficio (o di casa) aperta…in fondo parliamo pur sempre di “porte” anche in questo caso.

Ma esistono mansioni che necessitano di una formazione più verticale che includa aspetti strettamente legati alle mansioni aziendali. È il caso dei livelli manageriali: in questo caso diventa rilevante la conoscenza e la gestione della governance dei processi legati alla cybersicurezza in azienda all’interno di un quadro normativo internazionale ed europeo in continua evoluzione che prevede opportunità e rischi con un impatto diretto sul business aziendale e sui settori di riferimento. Basti pensare al nuovo Cyber Resilient Act in via di approvazione al parlamento Europeo o alla NIS in via di evoluzione verso la nuova NIS2 o alla Direttiva 82/2021 o al Decreto Legge 105/2019 con i successivi decreti attuativi che ha istituito il Perimetro di Sicurezza Nazionale Cibernetica (PSNC).

Ma il quadro della formazione cyber non è ancora completo. Per coloro che si occupano di infrastrutture critiche: ferrovie, porti, monitoraggio di infrastrutture civili, ospedali, ecc. è necessario contestualizzare e rendere verticale la formazione perché il framework tecnico e normativo è stringente vista la criticità del settore di attività.

Così come deve essere specialistica e approfondita la formazione e l’aggiornamento continuo di IT Manager e CISO (Chief Information Security Officer) su tecnologie e strumenti di analisi e protezione in continua evoluzione che molto spesso richiedono la conoscenza complementare di diverse tecnologie abilitanti, basti pensare alla convergenza dei mondi OT e IT, all’introduzione di dispositivi IoT con una pluralità di protocolli e di connettività molto vasta o alle nuove applicazioni di machine learning e intelligenza artificiale alla cybersecurity.

Digital360 Awards & CIOsummIT 2022 - GFC Cup

Digital360 Awards & CIOsummIT 2022 - GFC Cup

Guarda questo video su YouTube

Cambiare i comportamenti per migliorare la resilienza aziendale

È chiaro che queste categorie di utenza hanno necessità stringenti di raggiungere obiettivi eterogenei: i dipendenti e i collaboratori, con l’obiettivo della Cybersecurity awareness, hanno bisogno di un processo lungo e strutturato per completare un cambio di comportamento con conseguente miglioramento nella resilienza aziendale.

  • Per il Top Management l’esigenza è saper impostare e gestire il processo relativo alla sicurezza aziendale mettendo le risorse opportune e stabilendo un budget correttamente dimensionato.
  • Per i Consigli di Amministrazione la comprensione del quadro normativo ha lo scopo di informare sulle importanti responsabilità che i membri di ogni CdA hanno in caso di violazione della sicurezza aziendale e in caso di non adeguamento alle normative, poiché spesso non è noto che i membri del CdA hanno la responsabilità del piano di continuità aziendale in seguito ad un attacco.
  • Per i Manager IT e i CISO, il coordinamento con CdA e Top Managment è fondamentale per l’approccio sistemico spiegato in precedenza. Lo scopo è tenere sotto controllo il perimetro aziendale per capire le vulnerabilità e la loro evoluzione nel tempo, impostando gli strumenti e le corrette misure di protezione. E questo include non solo la tecnologia, ma anche i processi aziendali in cui definire misure di protezione, a seguito di un attacco, tramite piani di business continuity e di disaster recovery.

Da notare che la metodologia formativa è strettamente dipendente dal target, cui sono associati gli obiettivi che abbiamo esplicitato.

Per la modifica del comportamento di tutti coloro che lavorano in azienda, lo strumento migliore è l’uso di una piattaforma che approfondiremo a breve, visto che viene svolta a tappeto su tutti coloro che partecipano alla vita aziendale.

Per il Top management e per il CdA sono opportuni incontri frontali dedicati alle tematiche specifiche viste negli obiettivi.

Da sottolineare che la consapevolezza del Top Management nella valutazione e mitigazione del rischio Cyber è un fattore determinante che incide sulla reattività e sulla responsabilizzazione di tutte le altre classi di utenza, per questo critica sia nelle aziende che nelle pubbliche amministrazioni.

Per la parte tecnica la miglior impostazione è un misto tra lezioni frontali, esercitazioni tecniche per la protezione e simulazioni di attacchi e relative misure di difesa con demo di laboratorio aventi focus particolare sull’interazione IT/OT/IoT.

Cybersecurity Awareness, una nuova consapevolezza dei rischi e delle vulnerabilità di sicurezza

In questo articolo vorremmo approfondire, in particolare, la Cybersecurity Awareness per la sua pervasività e per la sua peculiarità di voler agire sul comportamento delle persone.

Infatti, il progetto formativo di Cybersecurity Awareness si configura come una iniziativa atta ad instaurare una nuova consapevolezza dei rischi e delle vulnerabilità nell’ambito della sicurezza.

L’introduzione di sistemi di protezione non è e non potrà mai essere sufficiente a prevenire e mettere al sicuro l’azienda/PA da attacchi informatici e il fattore umano rappresenta un rischio elevato di vulnerabilità legato alle tecniche di social engineering che agiscono proprio su “vulnerabilità” legate al comportamento delle persone.

Per questo è fondamentale promuovere una cultura aziendale legata ai concetti di cybersecurity, come sancito da ENISA.

Un progetto formativo di Awareness prevede 3 principali macro-fasi di attività (assessment, phishing, formazione) che seguono il ciclo: valutare, istruire, rinforzare, misurare ed hanno obiettivi specifici di progetto:

  • La fase di assessment valuta la consapevolezza degli utenti identificando i rischi all’interno dell’organizzazione e gli utenti a rischio e misurando l’efficacia della formazione.
  • Le campagne di phishing e di USB attack sono costituite da attacchi simulati che sfociano in momenti formativi finali e preparano le persone a identificare, gestire e segnalare ogni anomalia che potrebbe essere sintomo di un attacco e quindi cambiare il comportamento delle persone nei riguardi di richieste o di dispositivi sospetti.
  • La fase di formazione si compone di moduli interattivi grazie ai quali è possibile mostrare ai dipendenti tutte le possibili minacce relative alla cybersicurezza sul posto di lavoro. I moduli vengono assegnati al singolo dipendente in funzione dei risultati delle due fasi precedenti e questo rende il progetto formativo individuale e personalizzato anche in aziende con migliaia di dipendenti, sfruttando la funzione di auto-enrollment che assegna automaticamente la formazione agli utenti in base ai risultati delle campagne.

Per rendere efficace la formazione e raggiungere l’obiettivo, occorre pianificare correttamente sia la strategia che l’evoluzione del progetto formativo. Le campagne, infatti, devono evolvere sia dal punto di vista contenutistico che dal punto di vista strategico (forma/impostazione) seguendo il piano di progetto definito che deve dipendere e aggiornarsi sulla base dall’avanzamento delle attività formative nel loro complesso e dai risultati delle periodiche simulazioni di attacco.

Conclusioni

La ricaduta più evidente di un progetto di Cybersecurity Awareness e la più significativa dal punto di vista del formatore, è la ricaduta personale che questo tipo di formazione ha nella vista privata dei partecipanti. Il cambio di comportamento, infatti, non avverrà solo sul luogo di lavoro, ma come è ovvio che sia, produrrà attenzione e consapevolezza nella vita privata degli utenti che in realtà è molto più esposta agli attacchi cyber (poiché nella propria vita privata non si è difesi da esperti che installano tecnologie per tutelarci).

Capita pertanto di parlare con chi ha svolto questo tipo di corsi ed è riuscito a proteggere sé stesso oppure genitori anziani o figli adolescenti da malintenzionati online.

E questo dimostra che la formazione ha raggiunto il proprio importante obiettivo: mettere in sicurezza la nostra società.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Argomenti

Canali

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Video
Analisi
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Prossimo

Supply chain, pianificare è vitale: cosa dicono i dati PoliMi