La transizione digitale, in atto da qualche anno ed accelerata con il periodo pandemico, ha causato il trasferimento in modalità “online” di molte delle attività lavorative e di buona parte di quelle quotidiane.
Indice degli argomenti
L’importanza della formazione alla sicurezza e del suo ROI
Grazie all’aumento della digitalizzazione e al conseguente maggiore utilizzo di Internet, dei dispositivi mobili, dei PC e di tutte le piattaforme software abilitanti, i criminali digitali hanno esteso ed amplificato le opportunità legate allo sfruttamento delle vulnerabilità del codice, per trarre profitto. Il loro guadagno, stimato in termini di “costo del crimine informatico” ha un valore pari a 7 trilioni di dollari nel 2022, secondo il rapporto Boardroom Cybersecurity Report.
Investire in consapevolezza
Data l’entità del fenomeno criminoso, l’invito per i C-level delle aziende non è solo quello di comunicare in modo rapido ed efficace con il board, per ottenere più budget a supporto delle prassi di sicurezza informatica, ma anche di investire in consapevolezza e formazione sulla sicurezza per aumentare la cultura alla sicurezza informatica e la conseguente capacità di prevenzione da attacchi informatici ai sistemi di una organizzazione, evitando così le dolorose conseguenze delle violazioni dei dati tipicamente legate alla perdita della reputazione del marchio e a perdite finanziarie.
Gap di competenze e investimenti necessari
Con la costante crescita degli attacchi il rischio di compromissione per le aziende è sempre più elevato. L’incremento è stato valutato pari al 59% in più rispetto allo scorso anno. In particolare, in Italia, negli ultimi 6 mesi, un’organizzazione è stata attaccata in media 1214 volte a settimana, rispetto ai 1142 attacchi per singola organizzazione a livello globale (fonte: Check Point Technologies).
Altri dati indicano i motivi specifici del successo degli attaccanti. Un recente report del World Economic Forum ha evidenziato che il 95% dei problemi di cyber security è causato da errori umani mentre il Fortinet’s global 2022 Cybersecurity Skills Gap Report ha rilevato che l’80% delle violazioni può essere attribuito a una mancanza di competenze informatiche e/o consapevolezza.
Molti professionisti hanno cominciato fuori dall’ICT
Si tenga conto anche che molti professionisti iniziano la loro carriera al di fuori dell’ICT e quindi non sono preparati ai fenomeni legati alla digitalizzazione. In particolare uno studio specifico sulle competenze della forza lavoro, l’(ISC)² Cybersecurity Workforce 2021 aveva stimato un 17% passato all’ICT da campi di carriera non correlati, un 15% proveniente da studi di educazione alla sicurezza informatica e un 15% capace di approfondire la sicurezza informatica in modo indipendente con solo il 38% delle partecipanti donne nell’IT rispetto al 50% dei partecipanti uomini.
Creare una cultura aziendale della sicurezza
Un ulteriore dato negativo risiede nella difficoltà per le aziende nel trovare personale qualificato e dei lavoratori che non sentono di avere le competenze appropriate (fonte: Digital Skills Index 2022).
È quindi auspicabile, come primo punto, che a livello educativo, la recente riforma degli Istituti Tecnico Scientifici-ITS abiliti una rivisitazione e perfezionamento dei piani formativi degli istituti tecnici come premessa abilitante dei profili STEM e come secondo punto, emerge l’evidenza di due delle sfide per i C-level aziendali (non solo quelli dediti alla sicurezza informatica): riduzione del divario di competenze (skill gap) e creazione di una cultura dell’apprendimento sui temi di sicurezza in tutta l’azienda.
In particolare, David Gubiani, Regional Director SE EMEA Southern di Check Point Software sottolinea come sia cruciale “conoscere le minacce e tutti i modi correlati per attuare una tutela dalle cyber minacce, sia nel privato che sul lavoro”.
Dunque, sia che i tratti di studiare fin dalle scuole superiori, o che in azienda si possa costruire una comprensione di base fondamentale delle migliori pratiche di sicurezza informatica e/o di migliorare le competenze informatiche altamente tecniche, i percorsi di istruzione, di formazione e di certificazione costituiscono un mezzo per garantire che il divario di competenze non comprometta la postura di sicurezza per qualsiasi tipo di organizzazione.
L’auspicio è che tutti i dipendenti, tecnici o meno siano sensibilizzati e abbiano una conoscenza di base del panorama delle minacce e delle migliori pratiche di sicurezza informatica per identificare e segnalare attività informatiche sospette e mantenere un adeguato livello di “igiene informatica” nell’organizzazione.
Misurare le competenze
Una volta capito il problema e il rischio legato alla mancata conoscenza delle minacce informatiche è opportuno introdurre progetti di formazione e awareness. In qualsiasi iniziativa di questo genere è necessario inizialmente introdurre un assessment che misuri il punto di partenza iniziale della situazione aziendale, perché è opportuno saper correlare la relazione tra il grado di rischio e il livello iniziale della preparazione delle persone.
Un gioco per capire quanto ne sai di cyber security
Effettuare tale misura attraverso il gioco (o tecnica della gamification) è uno dei sistemi più efficaci, sia peri l’alto grado di coinvolgimento delle risorse, sia per l’autovalutazione dei singoli che abilita un primo mattone del percorso di consapevolezza alla sicurezza informatica. Se si pensa che circa il 90% delle persone sopravvaluta le proprie capacità in materia di cyber security (fonte: Kaspersky), allora un tool che giocando misuri il grado di conoscenza può stimolare ogni persona a comprendere il proprio reale grado di preparazione.
Esempi in commercio consentono di misurare e valorizzare decisioni prese in situazioni comuni o durante scenari di lavoro a distanza, valutando se le azioni scelte comportino rischi informatici.
La chiave è nel potenziamento progressivo
Alexander Lunev, Product Manager, Security Awareness & Academic Affairs di Kaspersky spiega che: “il meccanismo del gioco coinvolge maggiormente i dipendenti nell’apprendimento e aiuta le organizzazioni a individuare il programma formativo più adatto alle proprie esigenze specifiche. Inoltre, anche se si ottiene un punteggio alto non significa che l’utente non abbia bisogno di formazione avanzata o di un aggiornamento periodico. Infatti, poiché gli attacchi possono cambiare, il livello di prudenza e di conoscenza potrebbe riabbassarsi. L’apprendimento deve quindi essere sempre seguito da un potenziamento progressivo per ogni tipo di discente aziendale principiante o esperto che sia”.
Per sviluppare una metrica appropriata al programma di formazione che si vuole sviluppare l’organizzazione SANS (SysAdmin, Audit, Networking, and Security) suggerisce di: identificare quali dipartimenti o unità aziendali hanno il numero di comportamenti meno sicuri e rappresentano il rischio maggiore per l’organizzazione; identificare quali regioni, dipartimenti o unità aziendali stanno modificando il comportamento con maggior successo, in che modo e perché; usare quanto appreso per applicarle ai dipartimenti meno sicuri; quando si verifica un incidente, capire se la vittima era stata addestrata e identificare l’area di appartenenza.
Il SANS specifica come non sia necessario misurare tutto, ma usare metriche utili al proprio caso (fonte: Security Awareness Program).
Le risorse formative
In Italia
Le risorse formative per avviare un percorso di cultura alla sicurezza sono molteplici. La formazione specialistica del più alto livello accademico è partita con il primo dottorato nazionale in cyber sicurezza realizzato dalla Scuola IMT, in collaborazione con il Laboratorio nazionale di cyber security del CINI (Consorzio Interuniversitario Nazionale per l’Informatica) e la collaborazione dell’Agenzia di Cybersicurezza Nazionale (ACN), per il quale sono state recentemente istituite e assegnate 38 borse di studio cofinanziate dalla Scuola IMT Alti Studi di Lucca, dal Ministero dell’università e della ricerca, da 24 università e centri di ricerca nazionali e 10 aziende.
In Europa
Sul fronte europeo alcuni dei progetti, finanziati dai fondi di Horizon 2020, sono stati dedicati allo sviluppo di risorse abilitanti alla formazione. Uno di questi, il progetto GEIGER orientato alle piccole imprese aveva come focus lo sviluppo di un “contatore Geiger” ovvero un tool kit per misurare il livello di cybersecurity delle micro e small enterprise (MSEs) e aumentare la loro consapevolezza in merito alla protezione dei dati e alla privacy, grazie a strumenti formativi specifici (Fonte Kaspercsky come parte del consorzio).
Con chi fare formazione
Per sviluppare programmi di awareness & training esistono diversi attori di mercato (system integrator, società di consulenza e vendor produttori di software) che offrono progetti di formazione mediante piattaforme abilitanti da configurare per adeguarsi alle esigenze specifiche di una singola organizzazione.
Per capire quale sia il più adatto alla propria realtà aziendale si può consultare il Security Awareness Training Software Reviews 2022 di Gartner che offre una panoramica delle piattaforme di training valutando diversi elementi: formazione e contenuti educativi pronti all’uso; test dei dipendenti e controlli delle conoscenze; disponibilità in più lingue, nativamente o tramite sottotitolazione o traduzione parziale (in molti casi il supporto linguistico è vario e localizzato); simulazioni di phishing e di attacchi di ingegneria sociale; misurare l’efficacia del programma di sensibilizzazione.
Il ROI della formazione
Con il termine “Ritorno dell’investimento (Return of Investment – ROI) si indica generalmente una tecnica di valutazione finanziaria costituita dal Tasso di rendimento (return) sul totale degli investimenti (investment) di un’impresa.
Quanto vale
Nell’ambito della formazione e consapevolezza alla Sicurezza informatica, tuttavia, il valore del ROI non è solo di carattere economico, bensì include: il valore della gestione dei rischi della sicurezza sia in termini di conformità, sia verso le terze parti, il valore degli interventi di segnalazioni e warning preventivo che i dipendenti imparano ad attuare in relazione a campagne di attacco in azienda, il valore del danno evitato rispetto all’attacco che non va a buon fine e in generale anche il valore stesso di un processo di formazione che può incidere positivamente a diversi livelli aziendali.
Giovanni Ziccardi: “L’Italia ha bisogno di una visione per la cyber security”
In questo senso Mark Thomas presidente di Escoute consulting sostiene che: “La formazione fa emergere argomenti che se affrontati singolarmente possono avere soluzioni limitate, ma se considerati con un atteggiamento più aperto all’apprendimento permettono di risolvere molti problemi garantendo alle aziende di diventare più resilienti, agili e aperte al miglioramento continuo.
In particolare, la formazione come processo aziendale può aiutare le aziende a comprendere meglio in che modo aree come audit, rischio, privacy e governance possono essere utilizzate per fornire una base più stabile su cui innovare e creare fiducia digitale con i clienti.
A breve termine, il ROI può favorire il ricorso a idee innovative per applicare rapidamente parte dell’apprendimento ricevuto, mentre a lungo termine, il ROI può essere monitorato in aree mission-critical come il successo di programmi e portfolio, la soddisfazione dei clienti e se una forza lavoro competente sta chiaramente contribuendo al raggiungimento dei propri obiettivi da parte dell’azienda”.
