Autore: Redazione SecurityOpenLab
Sebbene la consapevolezza riguardo agli attacchi informatici sia aumentata a tal punto da essere riferita anche dai media generalisti, l’utente finale resta l’anello debole della catena di sicurezza, a dispetto di tutte le soluzioni tecnologiche per la protezione dalle minacce digitali. È questo il primo pensiero formulato da Gianni Baroni, CEO di Cyber Guru, in occasione del recente incontro al Cybertech 2024, dove molti hanno ribadito la continua e persistente necessità di awareness.
Il guaio è che l’utente finale è diventato il target principale perché di fatto oggi gli attaccanti preferiscono colpire l'utente finale. Il motivo, spiega Baroni, è piuttosto semplice: una volta compromesso il dispositivo di un utente è facile ottenere l'accesso ai sistemi aziendali. Per questo motivo una percentuale di attacchi cyber inclusa fra l'80% e il 90% prende il via con un errore umano involontario: una motivazione più che sufficiente per sostenere l’importanza delle attività di formazione.
Ma che cosa significa formazione? Baroni sottolinea che spesso il concetto di ‘fare formazione’ è frainteso. “Non basta informare le persone sulle buone pratiche: l’obiettivo reale è cambiare i comportamenti. Un esempio classico è l'uso delle password: sappiamo tutti che dovremmo usare password diverse per ogni account, ma quanti lo fanno effettivamente? Questo dimostra che il semplice trasferimento di nozioni non è sufficiente a cambiare le abitudini degli utenti. Per rendere efficace la formazione, è necessario creare una vera e propria ‘cultura’ della cybersecurity, una sorta di riflesso automatico che ci spinge a comportarci in modo sicuro online, come faremmo in un ambiente fisico sconosciuto e potenzialmente pericoloso”. Da qui l'obiettivo di Cyber Guru, che non è solo insegnare che cosa fare, ma fare sì che gli utenti adottino comportamenti sicuri senza pensarci, come farebbero di fronte a un pericolo evidente nel mondo reale.
Un altro punto cruciale sollevato da Baroni è che la formazione in ambito di cybersecurity non può essere un processo episodico. Non basta offrire ai dipendenti un ciclo di lezioni una tantum e pensare che siano protetti per sempre: Gli attaccanti affinano continuamente le proprie tecniche, e i comportamenti degli utenti devono essere costantemente aggiornati per fronteggiare nuove minacce. Un esempio calzante riguarda il phishing: le simulazioni di attacchi organizzate da Cyber Guru mostrano come l'efficacia di questi tentativi cambi nel tempo. Quando gli utenti vengono esposti a simulazioni periodiche, il loro click rate su email di phishing diminuisce. Ma nel momento in cui l’allenamento viene interrotto le percentuali di errore risalgono rapidamente”.
Cyber Guru ha ottenuto risultati tangibili nel tempo, ma il lavoro è tutt’altro che terminato. È necessario introdurre progressivamente moduli formativi più avanzati e aggiornati, come quelli dedicati ai deepfake, che stanno diventando strumenti sempre più diffusi negli attacchi mirati.
Inoltre, Baroni ha evidenziato un traguardo importante raggiunto da Cyber Guru: la certificazione da parte dell'Agenzia per la Cybersicurezza Nazionale (ACN), ottenuta a giugno 2024, che permette a Cyber Guru di essere l'unico sistema di security awareness certificato in Italia per l'uso nelle pubbliche amministrazioni centrali e locali. Un riconoscimento fondamentale per l'azienda, che già vanta oltre un milione di utenti attivi.