La prima linea di difesa siamo noi: perché la “Security Awareness” non è un opzione.

Apr 8, 2025 | LinkedIn article

di Andrea Baldi, Cybersecurity Awareness Ambassador SHOT su LinkedIn

Introduzione

In questo articolo vi parlerò della Security Awareness e del perché rappresenta la prima linea di difesa nella protezione dei nostri asset. Ancora una volta, il fattore umano si conferma essere l’anello più debole, ma anche uno strumento potente per metterci in sicurezza, soprattutto in tutte quelle situazioni in cui le nostre azioni giocano un ruolo chiave nella protezione delle informazioni di cui siamo responsabili. In un’epoca in cui gli attacchi informatici sono sempre più sofisticati, è sorprendente quanto spesso basti una semplice distrazione o la mancata conoscenza degli scenari tipici di attacco per compromettere interi sistemi informativi. La tecnologia, per quanto avanzata, può fare molto, ma non tutto. Sebbene siano sempre necessarie contromisure come firewall, antivirus e sistemi di monitoraggio, la consapevolezza è un investimento che cresce nel tempo e si adatta alle situazioni producendo frutti. Ed è proprio qui che entra in gioco la Security Awareness, cioè un percorso culturale, prima ancora che tecnico.

Cosa si intende con Security Awareness?

Usando i vari traduttori si ottengono più definizioni di “Awareness” come “Consapevolezza”, “Sensibilizzazione”, “Conoscenza”, “Cognizione”, per cui accostandole insieme possiamo ottenere: “Consapevolezza della sicurezza informatica”, “Sensibilizzazione alla sicurezza”, “Conoscenza della sicurezza”, e con un po’ di fantasia “Consapevolezza del rischio informatico”.

Tutte queste definizioni, prese singolarmente, catturano una parte degli aspetti importanti del dominio della Security Awareness, che si compone dei seguenti elementi:

Formazione, cioè programmi formativi strutturati con aggiornamenti regolari che insegnano come riconoscere le minacce, quali comportamenti adottare e quali errori evitare.
Informazioni, cioè comunicazioni periodiche e messaggi che mantengono alta l’attenzione su nuovi rischi emergenti, tendenze e buone pratiche.
Simulazioni, cioè esercitazioni realistiche non annunciate (come test di phishing) che aiutano a mettere in pratica le conoscenze in contesti vicini alla realtà quotidiana.
Comportamenti, cioè trasformare le informazioni ricevute in buone abitudini, scelte corrette e riflessi ponderati nella gestione della sicurezza.
Coinvolgimento, cioè costruire una cultura positiva, dove tutti si sentono parte attiva nel difendere l’organizzazione ed i suoi asset, e non semplici destinatari passivi di policy e di regole.

La Security Awareness quindi non si esaurisce in un corso da completare più o meno in fretta, ma si costruisce nel tempo attraverso un miscela di formazione, esperienza, comunicazione e partecipazione.

È quindi un percorso culturale prima ancora che tecnico, e il suo successo si misura nel comportamento quotidiano delle persone, e non nei punteggi delle piattaforme di e-learning per le formazioni erogate.

Gli Ingredienti

La disinformazione resta una delle cause principali del successo degli attacchi informatici. Ecco perché prendersi qualche secondo in più per riflettere, analizzare e ragionare sul contesto è un gesto tanto semplice quanto utile. Alleniamo la nostra mente a riconoscere le situazioni ambigue, a porsi domande prima di agire, cosicché possiamo sviluppare una consapevolezza del rischio che ci permette di scegliere con lucidità, evitando un potenziale errore e quindi ad agire nel modo più opportuno.

La consapevolezza non va confusa con la paranoia e con la paura di eseguire una qualsiasi azione, ma semplicemente ci permette di lavorare serenamente riconoscendo le situazione a rischio e di conseguenza ad adottare un comportamento consono.

Formazione

La consapevolezza si matura nel tempo, con una formazione continua che deve essere adattata ai tempi ed ai cambiamenti. La formazione non è solo l’obbligo aziendale al training di sicurezza (cosa da spuntare come uno dei task amministrativi obbligatori), ma deve essere colto come un’opportunità per ampliare le nostre conoscenze.

Nella mia carriera professionale ho sempre fatto buon tesoro dei corsi di sicurezza che ho seguito. Da ognuno di essi ho portato a casa qualcosa di utile, non solo per il contesto lavorativo, ma anche per la vita quotidiana e familiare. La consapevolezza acquisita, infatti, non si limita all’ambiente di lavoro ma ci aiuta anche a proteggere noi stessi e le persone vicine, riconoscendo rischi digitali che oggi sono presenti ovunque, dalle email personali ai social network, fino alle applicazioni usate dai nostri figli.

Come ci si aggiorna su argomenti specifici del nostro lavoro, è necessario aggiornarsi nel campo della sicurezza. Solo così l’investimento iniziale, magari fatto con un buon training aziendale, potrà essere mantenuto nel tempo e diventare il nostro coltellino svizzero.

Informazioni

La comunicazione di Informazioni di sicurezza all’interno di un’azienda deve essere snella, regolare e costante, per mantenere alto il livello di attenzione ed allo stesso tempo mirata e sostenibile, per non appesantire ulteriormente canali già saturi dalle molte comunicazioni operative. L’efficacia della comunicazione di un programma di Security Awareness sta anche nella sua capacità di integrarsi nella routine quotidiana, senza diventare un rumore di fondo o una formalità da sbrigare. Perciò è bene puntare su formati brevi, chiari e facilmente fruibili, come brevi video, infografiche o piccoli promemoria. L’obiettivo non è soltanto informare, ma stimolare attenzione e curiosità, mantenendo viva la percezione del rischio in modo costruttivo.

Simulazione

L’uso di strumenti di Simulazione è fondamentale per testare quanto i nostri utenti siano preparati ad affrontare le situazioni di rischio quotidiane, come il phishing, che coinvolge chiunque utilizzi un PC o un cellulare. Questi strumenti permettono di creare e gestire sofisticate campagne di phishing e di monitorare gli esiti in tempo reale, mantenendo una profilazione dettagliata delle risposte degli utenti.

È possibile raggruppare gli utenti in base al loro ruolo, creando ad esempio scenari mirati per direttori, manager, assistenti amministrativi, personale tecnico o scientifico, tenendo conto delle responsabilità specifiche e dei tipi di minacce più rilevanti per ciascun gruppo. Questo approccio personalizzato rende le simulazioni efficaci e realistiche, rispecchiando le situazioni di rischio quotidiane che ciascun gruppo potrebbe affrontare.

Si puo’ misurare il livello di vulnerabilità degli utenti al phishing, analizzando come essi reagiscono alle simulazioni. Questa analisi consente di valutare l’efficacia delle campagne, identificando se è necessario aumentare o ridurre la frequenza o la complessità delle simulazioni. Se un numero significativo di utenti clicca su un link sospetto o fornisce informazioni sensibili, si può intensificare la formazione, personalizzandone i contenuti per rispondere alle specifiche aree di rischio emerse. Al contrario, se i risultati migliorano, si può abbassare la frequenza e magari alzare il livello di difficoltà delle simulazioni. Questa mappatura del comportamento consente di identificare diverse categorie di rischio e pianificare un follow-up mirato per coloro che hanno mostrato una maggiore vulnerabilità.

Comportamento

Il passaggio necessario per avere un comportamento adeguato nella gestione della sicurezza e’ quello di poter trasformare la Formazione, le Informazioni e le Simulazioni in buone abitudini che corrispondono ad azioni ponderate e quindi a scelte corrette. Come avviene tutto ciò?

Per trasformare la formazione, le informazioni e le simulazioni in buone abitudini, è fondamentale che chi si occupa di Security Awareness adotti un approccio pratico e continuativo, che coinvolga gli utenti in modo semplice e quotidiano.

La formazione deve essere mirata e regolare, per mantenere l’attenzione alta. Esempi concreti, di come gestire i dati sensibili, evitare di cliccare su link sospetti, riconoscere tentativi di social engineering, o semplicemente l’importanza di utilizzare sempre l’autenticazione a due fattori, ci danno un’idea di quanto vasto e’ quest’argomento. La formazione deve diventare un percorso, non un evento isolato, per garantire che i comportamenti sicuri si radichino nella routine lavorativa.

Le informazioni di sicurezza devono essere fornite con regolarità e in modo chiaro, senza intasare i canali di comunicazione. Inviare comunicazioni periodiche su minacce emergenti, come nuovi tipi di malware o tecniche di phishing, permette agli utenti di rimanere aggiornati e pronti a riconoscerne i rischi. Una breve notifica che richiama un tema di sicurezza o aggiornamenti tempestivi sui rischi del momento possono fare la differenza, senza appesantire il lavoro quotidiano, nel prevenire situazioni critiche.

Le simulazioni, infine, sono cruciali per testare quanto gli utenti siano davvero pronti ad affrontare scenari di rischio. Non solo le campagne di phishing, ma anche altre esercitazioni pratiche su come proteggere dispositivi mobili, gestire una violazione di dati, riconoscere tentativi di social engineering o proteggere i dati sensibili. Le simulazioni permettono di mettere alla prova le conoscenze in situazioni realistiche, senza conseguenze reali. Il feedback immediato, aiuta gli utenti a correggere le azioni sbagliate, rafforzando il proprio comportamento.

Quando formazione, informazioni e simulazioni si integrano in modo corretto e continuo, gli utenti sviluppano buone abitudini che diventano parte della loro cultura e non solo consentono di evitare i pericoli più evidenti, ma sviluppano la consapevolezza dei rischi che si presentano, anche quando meno evidenti.

Coinvolgimento

Un’altro elemento importante, che spesso viene sottovalutato, nel campo della Security Awareness è il coinvolgimento attivo delle persone. Non basta infatti formare o informare i nostri utenti, ma è necessario farli sentire parte della sicurezza dell’Organizzazione. Quando la sicurezza viene vissuta come una responsabilità condivisa, e non come un obbligo imposto dall’alto, si crea una cultura positiva e pro-attiva. Coinvolgere significa ascoltare la parte in causa e considerare sempre i dubbi espressi, valorizzare i comportamenti corretti, incoraggiare il dialogo tra i team tecnici e non tecnici, riconoscere i successi e soprattutto imparare dagli errori.

Tutto questo implica fornire strumenti e spazi per far emergere segnalazioni, critiche e proposte. Un ambiente dove tutti si sentono parte del Team di Sicurezza è più efficace di uno dove le regole arrivano dall’alto. In questo modo, la sicurezza diventa un elemento del DNA dell’ Organizzazione ed i benefici saranno grandi.

Conclusioni

Come evidenzia il titolo di questo articolo, la prima linea di difesa siamo noi con la nostra mente, con le nostre azioni e i nostri comportamenti a offrire protezione ai nostri asset. Se i nostri comportamenti sono adeguati l’indice di rischio si abbassa e coadiuvati dalla tecnologia a supporto possiamo vivere la nostra realtà lavorativa con maggiore serenità.

Comportamenti adeguati si ottengono con la consapevolezza di ciò che si affronta ogni giorno sul campo, e ciò non si acquisisce con un semplice corso, ma abbracciando il progetto di Security Awareness e lasciandoci coinvolgere nelle sue attività, partecipando attivamente e con curiosità. Solo così possiamo trasformare la sicurezza da un obbligo pesante a una parte naturale del nostro modo di lavorare. La partecipazione attiva di ognuno di noi conta, e piccole azioni quali segnalare un’ anomalia, esserci sempre con la testa, proteggere le informazioni con criterio, fare da ponte con colleghi in difficoltà, ricordare una buona pratica e fare domande quando serve sono tutti elementi che costruiscono una sicurezza concreta in cui noi come gruppo cresciamo giorno dopo giorno.

Per andare oltre

🎧 Ascolta il nostro podcast “Pillole di Cybersicurezza” su Spotify e Apple Podcast.

A proposito dell’autore

Andrea Baldi è SHOT Cybersecurity Ambassador Elite-level. Andrea è laureato in Informatica presso l’Università di Pisa, con oltre 35 anni di esperienza IT in organizzazioni europee, di cui oltre 30 presso l’Agenzia Spaziale Europea (ESA). I momenti salienti della sua carriera includono lo sviluppo di sistemi per il controllo di satelliti presso ESOC, la gestione di infrastrutture IT presso ESRIN e lo sviluppo dil software per l’ Osservazione della Terra. In particolare, Andrea ha guidato l’implementazione di un sistema di Single Sign-On (SSO) sicuro per le applicazioni EO, con un’attenzione particolare alla sicurezza informatica. Negli ultimi sei anni presso ESA, ha ricoperto il ruolo di ESAIT Security Officer, gestendo il Computer Emergency Response Team di ESA (ESACERT) e guidando iniziative di security awareness. Andrea ha inoltre supportato la certificazione ISO 27001 di ESAIT, contribuendo allo sviluppo di un’ingegneria IT sicura. Attualmente, continua a contribuire come sviluppatore indipendente per un’organizzazione non profit di Bologna, coniugando competenza tecnica e valore sociale.

📞 Prenota ora la tua prima telefonata con un Ambassador SHOT: https://calendly.com/bookshot/30min

← Tech from the net: Cybersecurity, una community di esperti a disposizione delle PMI Social Engineering: le tecniche, i rischi che comporta e come difendersi. →

Cyberguerra tra Italia e Russia: Analisi degli Attacchi e Controffensive Digitali

by Angelo Chiacchio | May 12, 2025 | LinkedIn article

di Lina Novetti , SHOT Cybersecurity Awareness su LinkedIn Negli ultimi giorni, l’Italia è stata al centro di una cyberguerra asimmetrica tra gruppi hacktivisti filorussi e collettivi digitali occidentali. Da una parte, il gruppo NoName057(16), legato agli interessi...

Social Engineering: le tecniche, i rischi che comporta e come difendersi.

by Angelo Chiacchio | Apr 30, 2025 | LinkedIn article

di Andrea Baldi, Cybersecurity Awareness Ambassador SHOT su LinkedIn In questo articolo vi parlerò del Social Engineering, una tecnica che a differenza degli attacchi informatici, che sfruttano le vulnerabilità dei sistemi informativi, punta sulle persone, cercando di...