Cybersecurity: l’inconsapevolezza del fattore umano e l’importanza della formazione

L’ultimo Rapporto Clusit – edizione di Ottobre 2024 mette in luce una crescita senza precedenti delle minacce informatiche, delineando un quadro allarmante per la sicurezza globale e nazionale. Le statistiche evidenziano come il cybercrime rappresenti l’88% degli attacchi subiti, con tecniche sempre più sofisticate come malware, ransomware e phishing. In particolare, il fenomeno del furto di identità (identity theft) ha raggiunto livelli critici, superando i dati storici degli anni precedenti.

Tale escalation trova terreno fertile nella vulnerabilità del fattore umano, definito spesso come l’anello più debole della catena di sicurezza aziendale. Questo aspetto è confermato dalla prevalenza di reati informatici che sfruttano l’errore umano, come l’incauta apertura di allegati dannosi o la divulgazione inconsapevole di credenziali sensibili. La combinazione tra l’evoluzione delle minacce e l’assenza di consapevolezza interna crea un ambiente estremamente favorevole per i criminali informatici.

Il Fattore Umano: un problema sistematizzato

Gli attacchi basati su tecniche di ingegneria sociale rappresentano un elemento chiave nelle strategie dei cybercriminali. Il phishing, ad esempio, pur essendo una delle forme di attacco più semplici, continua a mietere vittime grazie a un livello di sofisticazione sempre maggiore. Le campagne fraudolente risultano sempre più difficili da identificare per gli utenti non adeguatamente formati, complice anche, parallelamente al phishing, l’utilizzo di tecniche di vishing e deep fake.

L’inefficacia delle difese aziendali non risiede più soltanto nella mancanza di strumenti tecnologici avanzati, ma nell’assenza di una cultura della sicurezza informatica diffusa. La mancata formazione del personale comporta la moltiplicazione del rischio operativo, poiché basta un singolo errore umano per compromettere l’intera infrastruttura aziendale.

NIS2: una risposta normativa

La risposta normativa, con l’entrata in vigore della Direttiva NIS2, impone alle organizzazioni ritenute sensibili l’adozione di misure concrete per garantire la sicurezza delle proprie infrastrutture digitali. Tra le novità più rilevanti, spicca l’obbligo di implementare programmi di formazione e awareness interni rivolti al personale aziendale. Questa disposizione sancisce ufficialmente il ruolo della formazione come pilastro strategico nella gestione della sicurezza informatica.

L’imposizione normativa fungerà da catalizzatore per l’adozione di percorsi strutturati di Cyber Security Awareness, con l’obiettivo di:

1. Sensibilizzare i dipendenti ai rischi cyber.
2. Istruire il personale sulle tecniche di attacco più diffuse.
3. Prevenire comportamenti incauti o negligenti.

Attraverso questa evoluzione, si crea un quadro normativo in cui la sicurezza non è solo un obbligo tecnico, ma una responsabilità condivisa a ogni livello aziendale. È bene notare che tali programmi di formazione sono altamente raccomandati a prescindere dagli obblighi normativi. Ogni organizzazione, indipendentemente dalla sua inclusione formale nel perimetro normativo definito dalla NIS2, può trarre beneficio da un personale più consapevole e preparato, riducendo significativamente il rischio di errori umani e migliorando la propria resilienza complessiva contro le minacce cyber emergenti.

In questo scenario complesso, Argo Spa emerge come il partner ideale per guidare le aziende nell’affrontare le nuove sfide della cybersicurezza. Grazie a un team multidisciplinare di esperti e all’utilizzo di tecnologie avanzate, Argo offre soluzioni su misura per implementare programmi di formazione, conformi alla normativa NIS2 e ai principali standard di settore.