Torna alla HomePage

La formazione resta la chiave di volta per la difesa

Cyber Guru ha ricordato a Cybertech 2024 come l’esigenza di formazione non sia diminuita con l’aumento della consapevolezza, anzi è vero l’opposto.

Autore: Redazione SecurityOpenLab

Sebbene la consapevolezza riguardo agli attacchi informatici sia aumentata a tal punto da essere riferita anche dai media generalisti, l’utente finale resta l’anello debole della catena di sicurezza, a dispetto di tutte le soluzioni tecnologiche per la protezione dalle minacce digitali. È questo il primo pensiero formulato da Gianni Baroni, CEO di Cyber Guru, in occasione del recente incontro al Cybertech 2024, dove molti hanno ribadito la continua e persistente necessità di awareness.

Il guaio è che l’utente finale è diventato il target principale perché di fatto oggi gli attaccanti preferiscono colpire l'utente finale. Il motivo, spiega Baroni, è piuttosto semplice: una volta compromesso il dispositivo di un utente è facile ottenere l'accesso ai sistemi aziendali. Per questo motivo una percentuale di attacchi cyber inclusa fra l'80% e il 90% prende il via con un errore umano involontario: una motivazione più che sufficiente per sostenere l’importanza delle attività di formazione.

Ma che cosa significa formazione? Baroni sottolinea che spesso il concetto di ‘fare formazione’ è frainteso. “Non basta informare le persone sulle buone pratiche: l’obiettivo reale è cambiare i comportamenti. Un esempio classico è l'uso delle password: sappiamo tutti che dovremmo usare password diverse per ogni account, ma quanti lo fanno effettivamente? Questo dimostra che il semplice trasferimento di nozioni non è sufficiente a cambiare le abitudini degli utenti. Per rendere efficace la formazione, è necessario creare una vera e propria ‘cultura’ della cybersecurity, una sorta di riflesso automatico che ci spinge a comportarci in modo sicuro online, come faremmo in un ambiente fisico sconosciuto e potenzialmente pericoloso”. Da qui l'obiettivo di Cyber Guru, che non è solo insegnare che cosa fare, ma fare sì che gli utenti adottino comportamenti sicuri senza pensarci, come farebbero di fronte a un pericolo evidente nel mondo reale.


Un altro punto cruciale sollevato da Baroni è che la formazione in ambito di cybersecurity non può essere un processo episodico. Non basta offrire ai dipendenti un ciclo di lezioni una tantum e pensare che siano protetti per sempre: Gli attaccanti affinano continuamente le proprie tecniche, e i comportamenti degli utenti devono essere costantemente aggiornati per fronteggiare nuove minacce. Un esempio calzante riguarda il phishing: le simulazioni di attacchi organizzate da Cyber Guru mostrano come l'efficacia di questi tentativi cambi nel tempo. Quando gli utenti vengono esposti a simulazioni periodiche, il loro click rate su email di phishing diminuisce. Ma nel momento in cui l’allenamento viene interrotto le percentuali di errore risalgono rapidamente”.

Risultati concreti e certificazioni

Cyber Guru ha ottenuto risultati tangibili nel tempo, ma il lavoro è tutt’altro che terminato. È necessario introdurre progressivamente moduli formativi più avanzati e aggiornati, come quelli dedicati ai deepfake, che stanno diventando strumenti sempre più diffusi negli attacchi mirati.

Inoltre, Baroni ha evidenziato un traguardo importante raggiunto da Cyber Guru: la certificazione da parte dell'Agenzia per la Cybersicurezza Nazionale (ACN), ottenuta a giugno 2024, che permette a Cyber Guru di essere l'unico sistema di security awareness certificato in Italia per l'uso nelle pubbliche amministrazioni centrali e locali. Un riconoscimento fondamentale per l'azienda, che già vanta oltre un milione di utenti attivi.

Torna alla HomePage