In un contesto digitale sempre più esposto ad attacchi hacker sofisticati, le falle nella sicurezza informatica delle organizzazioni possono trovarsi, non solo nei sistemi informatici, ma sempre più spesso nelle carenze formative delle risorse umane. Phishing, social engineering e attacchi mirati sfruttano infatti la componente umana, approfittando di disattenzioni o mancanza di consapevolezza.
Un caso emblematico è rappresentato dalla recente truffa ai danni di noti imprenditori italiani, orchestrata attraverso l’uso di tecnologie avanzate di clonazione vocale. In questo attacco di social engineering, i truffatori hanno replicato la voce del Ministro della Difesa, Guido Crosetto, per contattare imprenditori di spicco italiani, richiedendo bonifici, con la falsa motivazione di finanziare operazioni riservate per il rilascio di ostaggi italiani. Questo episodio, che ha avuto una grossa risonanza mediatica, sottolinea come le minacce informatiche non si limitino più ad attacchi al sistema informatico, ma sfruttino sofisticate tecniche di ingegneria sociale per manipolare le persone e indurle a compiere azioni dannose. La crescente accessibilità di strumenti basati sull’intelligenza artificiale, capaci anche di creare deepfake vocali, rende queste truffe ancora più credibili e difficili da individuare.
Studi recenti hanno evidenziato come una percentuale significativa degli incidenti informatici sia causata da errori umani. Ad esempio, una ricerca di IBM dello scorso anno, indica che il 95% delle violazioni della sicurezza informatica sono attribuibili a errori o disattenzioni del personale. Uno studio condotto da Stanford University in collaborazione con una importante organizzazione internazionale di cybersecurity, ha rilevato che circa l’88% delle violazioni dei dati sono originate da errori umani.
Questi dati evidenziano l’importanza cruciale della formazione continua e mirata, non solo del personale operativo, ma anche delle figure apicali delle organizzazioni. Investire nella consapevolezza e nella preparazione di dipendenti e dirigenti è fondamentale per riconoscere e contrastare efficacemente quelle minacce informatiche, che sfruttano la componente umana delle organizzazioni.
NIS2: formazione obbligatoria per tutte le figure aziendali
La Direttiva NIS2, entrata in vigore in Italia con il D.lgs. 82/2024, cerca di contrastare, tra gli altri, anche il fenomeno crescente del social engineering, introducendo nuovi e più stringenti requisiti in materia di cybersecurity e ponendo l’accento, non solo sulle misure tecniche e organizzative, ma anche sulle competenze delle persone coinvolte nei processi aziendali.
Tra le novità più rilevanti, la direttiva NIS2 impone esplicitamente l’obbligo di formazione periodica per:
- Le figure apicali (amministratori, dirigenti, organi di governance), che devono essere in grado di comprendere i rischi informatici, valutare le decisioni in materia di sicurezza e dimostrare un coinvolgimento attivo nella gestione delle misure di protezione.
- Il personale operativo, ovvero tutti i dipendenti, collaboratori o utenti che interagiscono con i sistemi IT aziendali, che devono ricevere formazione mirata per riconoscere e gestire minacce come phishing, malware, furti di credenziali o comportamenti a rischio.
La NIS2 detta poi le regole di come la formazione deve essere organizzata:
- Regolare e tracciabile, con evidenze documentate;
- Aggiornata rispetto all’evoluzione delle minacce e delle tecnologie;
- Personalizzata, in base ai ruoli, ai livelli di rischio e alle responsabilità interne.
In particolare, l’articolo 21 della direttiva stabilisce che le entità soggette devono adottare misure per:
“…garantire un’adeguata formazione alla cybersecurity, e promuovere una cultura della sicurezza informatica a tutti i livelli dell’organizzazione”.
Al di là di quanto richiesto dalla NIS2, la formazione non può più essere considerata un’attività “facoltativa” o una tantum, ma rappresenta un pilastro strategico del piano di sicurezza aziendale. La non conformità può comportare sanzioni economiche e amministrative per le imprese soggette, così come un’esposizione maggiore al rischio operativo e reputazionale.
Human Firewall: trasformare il punto debole in un punto di forza
Investire nella formazione del personale significa costruire un vero e proprio “Human Firewall”: un insieme di persone consapevoli, informate e in grado di individuare tentativi di intrusione o comportamenti anomali prima che si traducano in un attacco.
Per rendere efficace questo approccio, è fondamentale affiancare alla formazione strumenti che permettano di valutare il livello di preparazione e la reazione degli utenti di fronte ad attacchi simulati. Le soluzioni più efficaci in questo ambito sono le piattaforme di simulazione phishing e formazione (abbiamo approfondito questo aspetto in un precedente articolo: Lucy Security e Human Firewall). Con questi strumenti è possibile verificare periodicamente il livello di formazione raggiunta dalle risorse umane:
- Simulando campagne di phishing reali per testare la risposta del personale;
- Misurando le performance e individuando le aree di miglioramento;
- Offrendo percorsi formativi personalizzati in base al livello di rischio;
- Generando report dettagliati per la governance aziendale.
NEW è al fianco delle imprese anche nella formazione sulla sicurezza informatica
Per le aziende che devono adeguarsi alla normativa NIS2 o che vogliono semplicemente rafforzare la propria cultura della sicurezza, offriamo percorsi di formazione mirati e soluzioni per la simulazione di attacchi con piattaforme avanzate.
