La formazione sulla cyber security tra resistenze e necessità: una soluzione efficace

Nell'era digitale in cui le aziende operano, e con le controversie geopolitiche che ci troviamo ad affrontare, la sicurezza informatica è diventata una priorità fondamentale. I dati sensibili e le informazioni aziendali sono sempre più vulnerabili agli attacchi cibernetici e le conseguenze possono essere devastanti per le imprese.

Attacchi cibernetici e fragilità

• Violazioni dei dati: le aziende sono esposte al rischio di subire violazioni dei dati in cui le informazioni sensibili dei clienti, dei dipendenti o aziendali possono essere compromesse con conseguenze finanziarie e legali.
• Attacchi ransomware: gli attacchi ransomware sono sempre più diffusi, con hacker che bloccano l'accesso ai sistemi aziendali e richiedono un riscatto per ripristinarlo. Questi attacchi possono interrompere gravemente le azioni organizzative.
• Phishing e inganno: gli attacchi di phishing, che cercano di ottenere informazioni sensibili tramite messaggi ingannevoli, rappresentano una minaccia persistente. I dipendenti possono essere indotti a fornire involontariamente dati sensibili.
• Vulnerabilità del software e dei sistemi: le aziende devono affrontare il rischio legato alle vulnerabilità nei software e nei sistemi utilizzati (PC, smartphone e tablet). L'installazione tempestiva di patch di sicurezza è fondamentale per mitigare questo rischio.
• Conformità normativa: le aziende sono tenute a rispettare normative specifiche sulla protezione dei dati personali. La mancanza di conformità può comportare multe significative e danni reputazionali.
• Dipendenza da fornitori: la dipendenza da fornitori esterni può creare vulnerabilità nei sistemi informatici condivisi o nella gestione dei dati. Una compromissione della sicurezza da parte di un fornitore può avere ripercussioni dirette anche sull'azienda, sia nella sua operatività sia nella sua immagine.
• Complessità tecnologica: l'evoluzione rapida delle tecnologie e la complessità delle infrastrutture aziendali aumentano l’area di attacco, rendendo più difficile la gestione della sicurezza.
• Insufficiente risposta agli incidenti: una risposta inefficace agli incidenti di sicurezza può amplificare il danno. La mancanza di un piano di risposta agli incidenti può prolungare il periodo di inattività e aumentare i costi associati.

In questo contesto, investire nella sicurezza informatica e formare i dipendenti sulle buone pratiche diventa essenziale per garantire la resistenza delle infrastrutture aziendali.

Come afferma Mary N. Chaney, esperta di sicurezza cibernetica, "La cyber security è molto più che una questione tecnologica; è una questione di gestione del rischio." Un rischio da cui nessuno è escluso. Infatti, secondo il rapporto annuale di Verizon sulla sicurezza, il 43% degli attacchi cibernetici nel 2021 è stato mirato alle piccole imprese (Fonte: Verizon, 2021) e il costo medio di una violazione dei dati aziendali è aumentato del 10% nell'ultimo anno, raggiungendo i 4.24 milioni di dollari. (Fonte: IBM Security, Cost of a Data Breach Report, 2021).

Si potrebbe pensare che le aziende debbano migliorare le proprie tecnologie – e certamente, ciò è necessario - ma è sullo “Uman Factor” che le imprese dovrebbero intervenire perché, come afferma Bruce Schneier, esperto di sicurezza informatica, "La sicurezza è un processo, non un prodotto."

In effetti, gli errori umani rappresentano la causa del 23% delle violazioni di sicurezza (Fonte: IBM Security, Cost of a Data Breach Report, 2021).. La formazione dei dipendenti diventa quindi cruciale per mitigare questo rischio. Una forza lavoro consapevole è dunque la prima linea di difesa contro gli attacchi. La formazione può prevenire errori umani e comportamenti rischiosi.

È proprio qui però che risiede un problema annoso: come rendere responsabili e consapevoli i lavoratori sull’importanza di certe pratiche per difendere l’azienda da possibili attacchi informatici?

Occorre vivisezionare il problema e capire quali sono le difficoltà che si riscontrano nel processo formativo per poter rendere effettivamente efficace la formazione sulla cyber security.

Le difficoltà formative sulla cyber security

1 Mancanza di consapevolezza

Spesso i dipendenti non sono pienamente consapevoli delle minacce cibernetiche e dei rischi associati. La mancanza di consapevolezza, infatti, può rendere difficile identificare situazioni potenzialmente pericolose e, di conseguenza, far considerare ai lavoratori la formazione in questo ambito sostanzialmente inutile.

2 Resistenza al cambiamento

Occorre poi che la formazione contrasti efficacemente la “resistenza al cambiamento”. Alcuni dipendenti potrebbero resistere al cambiamento e alle nuove pratiche di sicurezza, soprattutto se percepite come restrittive, intrusive, noiose, lunghe o difficili. La formazione dovrebbe, dunque, affrontare queste resistenze una ad una, promuovendo una cultura della sicurezza positiva.   

3 Rischio di noia e mancanza di coinvolgimento

Se la formazione sulla cyber security è noiosa o troppo tecnica, i dipendenti possono perdere interesse e non assimilare pienamente le informazioni. È cruciale, quindi, rendere la formazione coinvolgente, semplice e rilevante. Per fare ciò occorre argomentare e selezionare con attenzione i contenuti del corso di formazione, prendendo alcuni accorgimenti che facciano entrare nel vivo della discussione.

4 Personalizzazione

Le esigenze di formazione possono variare tra dipendenti con ruoli diversi. Un approccio generico, - efficace per chi si approccia al tema - potrebbe non coprire tutte le sfaccettature delle responsabilità e dei rischi specifici a cui sono esposti i diversi reparti che intendono affrontare il tema più verticalmente.

5 Necessità di simulazioni pratiche

La mancanza di simulazioni pratiche o di esercitazioni può rendere difficile per i dipendenti applicare le conoscenze acquisite durante la formazione nella vita reale.

6 Tecniche e metodologie didattiche appropriate

L’utilizzo di strumenti didattici non interattivi può influire negativamente sull'efficacia della formazione, a causa della specificità dei contenuti in tema di cyber security. L'uso di metodi e risorse aggiornate e multimediali, combinate alle abilità dialettiche dei formatori, sono quindi cruciali per mantenere l'interesse e la rilevanza.

7 Peculiarità dei corsi e-learning

Per quanto i corsi preregistrati e resi disponibili attraverso piattaforme online consentano ai partecipanti di accedere ai materiali di formazione quando è più conveniente per loro, eliminando quindi la necessità di seguire sessioni in aula o in orari prestabiliti, è comunque possibile affermare che, rispetto alla cyber security, l'interazione continua e diretta tra formatori e lavoratori facilita la discussione spontanea, il coinvolgimento e la risoluzione immediata dei problemi.

In conclusione, è fondamentale affrontare queste sfide, progettando corsi fortemente ingaggianti, con metodologie didattiche efficaci.  

Scopri i corsi Cegos dedicati alla cyber security!

• Cybersecurity basics
• Cybersecurity - Governance e normative recenti
• Sicurezza informatica : lessico, concetti e tecnologie per non specialisti
• Auditing e controllo della sicurezza informatica
• Sicurezza dei sistemi e delle reti - Implementazione
• Sicurezza dei sistemi e delle reti - I fondamenti
• Hacking e Sicurezza - I fondamenti
• Hacking e Sicurezza - Livello avanzato
• Hacking e Sicurezza - Livello esperto

Hai trovato utile questo articolo?

Scritto da

Americo Bazzoffia

Americo Bazzoffia, nato a Roma, Laureato in Scienze della Comunicazione è da 25 anni: Docente universitario in Università pubbliche e private; consulente; giornalista e saggista; formatore aziendale e manageriale senior; master trainer. In particolare, è consulente aziendale, progetta e tiene corsi di formazione in: marketing, comunicazione d’impresa e pubblicitaria, digital marketing and communication, digital trasformation, intelligenza artificiale, cyber security e cyber crime, digital HR, change management, innovation management, train the trainers, giornalismo, leadership, comunicazione pubblica, comunicazione efficace e public speaking, tecniche di negoziazione e vendita. Scopri di più