Azioni “maldestre”, messe in atto dagli utenti o dal personale ICT, sarebbero alla base del 64% degli incidenti di cyber security di cui sono vittime le aziende. A dirlo è il rapporto 2023 del Clusit sulla sicurezza ICT in Italia, secondo cui le alte percentuali di attacchi informatici causati da malware, vulnerabilità, phishing e furto di credenziali testimoniano come all’interno delle organizzazioni siano ancora molte le persone che non sanno gestire correttamente i propri account, non tengono aggiornati i dispositivi e cliccano in modo incauto su link e allegati ricevuti via mail.
Phishing e social engineering continuano, infatti, a rappresentare uno dei vettori principali di infezione per le reti aziendali almeno nel 12% dei casi. Mentre i dipartimenti IT sono chiamati a presidiare un’area sempre più ampia, agli attaccanti basta un piccolo errore o una semplice dimenticanza per trovare la via d’accesso ai sistemi aziendali. Ecco perché, se l’obiettivo prediletto dei criminali resta il personale, occorre investire nella formazione in cyber security, migliorare la consapevolezza sui rischi informatici e responsabilizzare gli utenti. Per trasformarli da bersagli in sentinelle.
Non è un caso che siano sempre di più le imprese che stanno avviando iniziative di sensibilizzazione sui possibili impatti cyber delle attività dei dipendenti. Secondo l’ultimo Osservatorio Cybersecurity & Data Protection, promosso dalla School of Management del Politecnico di Milano, in Italia l’80% delle organizzazioni ha definito piani di formazione strutturati, che quasi sempre coinvolgono tutti gli attori aziendali.
Formazione cyber security awareness: da costo a investimento
Diverse ricerche hanno dimostrato che poter contare su personale preparato riduce in modo significativo l’esposizione ai rischi informatici. Eppure, non sono ancora la maggioranza le organizzazioni pronte a investire in programmi strutturati di cyber security awareness: alcune aziende organizzano corsi solo in funzione di esigenze di business contingenti o per adeguarsi a framework internazionali, altre soltanto in relazione agli adempimenti richiesti dal GDPR.
La ragione è soprattutto economica. In molte organizzazioni permane ancora la convinzione che la cyber security e, di conseguenza la formazione mirata su questi temi, rappresenti soprattutto una spesa. In realtà, il Ponemon Insititute ha accertato che il ROI dei programmi di sicurezza cyber che includono simulazioni realistiche degli attacchi è cresciuto del 40% nel 2023. Investire nella formazione in cyber security non è quindi un costo, bensì un’opportunità chiave per ridurre le vulnerabilità.
Condurre una formazione regolare, che misuri l’impegno e la consapevolezza maturata dai dipendenti, è un fattore decisivo per un efficace piano di sensibilizzazione in materia di cyber security. Anche perché, considerato l’elevato impatto che hanno oggi i moderni attacchi informatici in termini di interruzione del business, perdita di dati e danni reputazionali, basta un solo incidente di sicurezza per ripagare l’investimento in formazione.
Formazione cyber security, l’utente al centro: l’approccio di BlendIT
L’efficacia della formazione, insomma, non è più in discussione, ma per produrre effetti concreti deve focalizzarsi sull’impatto diretto sperimentato dai dipendenti nelle attività quotidiane. È questo l’approccio seguito da B-01, la business unit del gruppo BlendIT dedicata alla formazione in cyber security. Grazie a un team di professionisti, B-01 offre servizi di formazione e sensibilizzazione degli utenti sull’utilizzo degli strumenti informatici e sui possibili rischi connessi a tale utilizzo, dalle informazioni personali lasciate in rete alla geolocalizzazione e profilazione online.
Con più di 20 anni di esperienza nella sicurezza informatica, B-01 è in grado di strutturare corsi di formazione trasversali e aperti a tutti i dipendenti, dal management agli operatori di linea, con contenuti sempre aggiornati e al passo con l’evoluzione delle minacce. I programmi di sensibilizzazione sulla sicurezza messi a punto dagli esperti di B-01 tengono conto sia del contesto attuale sia dei possibili scenari futuri, grazie al continuo aggiornamento su tecnologie e tecniche di attacco e allo studio costante dei comportamenti delle principali organizzazioni attive nel cybercrime.
B-01 può contare anche su una filiera di collaborazioni con i principali esperti del mondo della cyber security, incluse Pubbliche Amministrazioni e forze dell’ordine. Oltre ai corsi di formazione in presenza e da remoto, BlendIT ha progettato anche una piattaforma di security awareness con validità annuale, che le aziende possono mettere a disposizione dei dipendenti per una formazione più flessibile, fruibile in qualsiasi momento – anche fuori dall’orario di lavoro – e sempre aggiornata.
Fonti consultate: