Security Awareness: non più una scelta, ma una richiesta del mercato e delle normative

La sicurezza informatica non dipende solo da firewall e tecnologie: clienti, auditor, partner commerciali e organismi di vigilanza chiedono sempre più evidenze sulla preparazione delle persone.

Molte aziende continuano a investire in firewall, antivirus, backup, autenticazione multifattore e sistemi di monitoraggio avanzati.

Ed è giusto farlo.

Tuttavia, il panorama delle minacce è profondamente cambiato.

I cyber criminali non cercano più soltanto vulnerabilità nei sistemi informatici. Cercano vulnerabilità nelle persone.

Grazie all’intelligenza artificiale e all’enorme quantità di informazioni disponibili online, gli attaccanti sono oggi sempre più rapidi e abili nell’identificare ruoli aziendali, relazioni professionali e comportamenti da sfruttare per aggirare anche le migliori difese tecnologiche.

Spesso non è necessario compromettere un server o violare un firewall.

È sufficiente convincere una persona a cliccare un collegamento, aprire un allegato o condividere informazioni che non dovrebbe divulgare.

Gli attacchi di social engineering non fanno leva sull’incompetenza delle persone, ma sulle normali dinamiche lavorative: fiducia, urgenza, collaborazione e senso di responsabilità.

Per questo motivo nessuna organizzazione può considerarsi immune.

Secondo numerosi studi di settore, il fattore umano continua a essere tra le principali cause o concause degli incidenti di sicurezza informatica.

Se questo non bastasse a comprendere l’importanza della Security Awareness, dovrebbero far riflettere le richieste che sempre più organizzazioni stanno ricevendo da clienti, auditor, partner commerciali e organismi di vigilanza.

Non è più soltanto una questione di sicurezza

Le principali normative europee in materia di cybersecurity e resilienza operativa stanno spingendo le organizzazioni ad affrontare il rischio informatico in modo più strutturato.

La Direttiva NIS2 richiede misure di gestione del rischio che includono espressamente la formazione del personale, le pratiche di cyber hygiene e il coinvolgimento degli organi di direzione.

Anche il Regolamento DORA, pienamente applicabile dal 17 gennaio 2025 per il settore finanziario, richiede programmi di sensibilizzazione e formazione sulla sicurezza ICT rivolti a tutto il personale, management compreso.

Il messaggio è chiaro: la resilienza informatica non dipende esclusivamente dalla tecnologia.

Dipende anche dalla capacità delle persone di riconoscere una minaccia, adottare comportamenti corretti e contribuire attivamente alla sicurezza dell’organizzazione.

Firewall, backup e procedure rimangono indispensabili, ma da soli non sono più sufficienti.

Il nuovo protagonista: la sicurezza della catena di fornitura

Esiste però un ulteriore elemento che molte aziende stanno iniziando a comprendere soltanto negli ultimi anni.

Le organizzazioni non vengono più valutate esclusivamente per il proprio livello di sicurezza.

Vengono valutate anche per il rischio che possono rappresentare per i propri clienti.

La NIS2 identifica la sicurezza della supply chain come uno degli elementi fondamentali della gestione del rischio, mentre il DORA introduce requisiti specifici per la gestione dei fornitori ICT e dei soggetti terzi critici.

Questo fenomeno è ormai evidente nella quotidianità di molte imprese, anche di piccole e medie dimensioni.

Sempre più frequentemente clienti e committenti richiedono questionari di sicurezza, audit, documentazione di conformità e verifiche preventive prima di instaurare o rinnovare rapporti commerciali.

Molte organizzazioni scoprono l’esistenza di NIS2, DORA, ISO/IEC 27001 o dei requisiti di sicurezza della supply chain proprio quando ricevono richieste come:

• Quali attività di Security Awareness svolgete?
• Con quale frequenza formate il personale?
• Effettuate simulazioni di phishing?
• Come misurate l’efficacia della formazione?
• Quali evidenze siete in grado di fornire?

Fino a pochi anni fa queste richieste erano tipiche delle grandi organizzazioni o dei settori regolamentati. Oggi stanno rapidamente diventando la normalità in gran parte delle filiere produttive e dei rapporti B2B.

Non si tratta di semplici formalità burocratiche.

Le aziende più strutturate stanno trasferendo parte delle proprie attività di valutazione del rischio ai fornitori, richiedendo evidenze concrete e verificabili.

La domanda che molti committenti si pongono non è più soltanto:

“Quanto siete sicuri?”

ma sempre più spesso:

“Quanto rischio rappresentate per noi?”

Chi non è in grado di dimostrare adeguati livelli di consapevolezza del personale rischia non soltanto di aumentare la propria esposizione agli attacchi informatici, ma anche di trovarsi in difficoltà durante audit, qualificazioni fornitori, gare e processi di onboarding.

Il phishing simulato come evidenza concreta

In questo scenario le campagne di phishing simulato assumono un valore particolarmente importante.

Non rappresentano soltanto uno strumento di formazione.

Diventano una prova concreta dell’impegno dell’organizzazione nella gestione del rischio umano.

Le simulazioni consentono di dimostrare:

• che il personale viene periodicamente formato;
• che l’efficacia della formazione viene misurata;
• che esiste un percorso di miglioramento continuo;
• che l’organizzazione monitora una delle principali superfici di attacco: il comportamento umano.

Il loro obiettivo non è individuare colpevoli, ma aumentare la capacità delle persone di riconoscere e gestire situazioni potenzialmente pericolose.

Ciò che non viene misurato, infatti, difficilmente può essere migliorato.

Conclusioni

La Security Awareness non è più soltanto una misura di sicurezza.

È diventata un elemento di governance, conformità e competitività aziendale.

Le organizzazioni che investono nella consapevolezza delle persone non stanno semplicemente riducendo il rischio di phishing o di errore umano.

Stanno costruendo una cultura aziendale capace di riconoscere, affrontare e gestire minacce sempre più sofisticate.

Perché, in definitiva, la sicurezza informatica non dipende esclusivamente dalla capacità di bloccare un attacco.

Dipende anche dalla capacità delle persone di riconoscerlo quando si presenta.

E oggi questa capacità non è più soltanto una scelta organizzativa.

È una richiesta sempre più esplicita del mercato, delle normative e della catena di fornitura. Ignorarla significa esporsi non solo a maggiori rischi informatici, ma anche a crescenti difficoltà nel dimostrare la propria affidabilità a clienti, partner e stakeholder.

Una domanda per la tua organizzazione

Se uno dei tuoi collaboratori ricevesse oggi una email di phishing particolarmente credibile, sarebbe in grado di riconoscerla?

La risposta non dovrebbe basarsi su una sensazione, ma su dati concreti.

Una campagna di phishing simulato consente di misurare il livello di consapevolezza dell’organizzazione, identificare eventuali aree di rischio e trasformare la formazione in un processo realmente misurabile.

Valuta il livello di preparazione della tua organizzazione e scopri se il fattore umano rappresenta una linea di difesa o una potenziale vulnerabilità.