Nell’era digitale, la cyber sicurezza è diventata una priorità per tutte le aziende, indipendentemente dal settore di appartenenza. Le minacce informatiche sono in costante aumento e diventano sempre più sofisticate, mettendo a rischio non solo le informazioni critiche, ma anche la reputazione e la continuità operativa delle imprese.

Tuttavia, una delle sfide più significative resta la mancanza di consapevolezza e di coinvolgimento da parte dei dipendenti.

Non a caso, il Considerando 89 della Direttiva NIS 2 stabilisce che i soggetti essenziali e importanti, incaricati di mantenere un alto livello di cybersicurezza all’interno delle loro organizzazioni, devono sensibilizzare il personale alle minacce informatiche, al phishing o alle tecniche di ingegneria sociale.

Questo avviene perché, spesso, la sicurezza informatica è percepita come una responsabilità esclusiva del dipartimento IT e del CISO, mentre la realtà è ben diversa: ogni persona all’interno dell’organizzazione svolge un ruolo fondamentale nel garantire la sicurezza informatica.

La proposta: una giornata per la cyber sicurezza

Per affrontare questa sfida, proponiamo l’istituzione della “Giornata della Cybersicurezza” in tutte le organizzazioni, pubbliche e private, indipendentemente dal settore o dalle dimensioni. Questa giornata dovrebbe essere interamente dedicata alla formazione, alla sensibilizzazione e al coinvolgimento attivo dei dipendenti su tematiche legate alla sicurezza informatica, con l’obiettivo di fornire loro gli strumenti necessari per riconoscere, prevenire e gestire le minacce informatiche.

Tuttavia, non deve essere concepita come un semplice evento formale; piuttosto, deve rappresentare un’occasione per trasformare la percezione della cybersicurezza da una competenza esclusivamente tecnica a una responsabilità condivisa, diventando così parte integrante della cultura aziendale.

Una corretta organizzazione

La giornata della cyber sicurezza dovrebbe essere promossa e sostenuta dalla Direzione per sottolineare il suo impegno e supporto all’iniziativa. L’organizzazione dell’evento può essere affidata al dipartimento Risorse Umane, con il supporto tecnico del CISO e dell’ICT, mentre altre funzioni aziendali, come il responsabile del sistema di gestione integrato, possono offrire un contributo significativo.

Il momento ideale per questa giornata è subito dopo la ripresa dalle vacanze estive, un periodo favorevole per rilanciare le attività con rinnovato entusiasmo. Il giovedì è particolarmente indicato, poiché consente di riflettere e discutere ulteriormente il giorno successivo, mantenendo viva l’attenzione sui temi trattati.

È fondamentale che la data sia comunicata con largo anticipo, per evitare sovrapposizioni con altri impegni. L’invito dovrebbe essere emesso direttamente dalla Direzione per conferirgli la massima rilevanza, e promemoria mensili dovrebbero essere inviati per mantenere alta l’attenzione.

Quando possibile, sarebbe preferibile organizzare l’evento in una sede esterna all’azienda, come un agriturismo facilmente raggiungibile, anche se questo potrebbe comportare un aumento dei costi. Una location diversa da quella abituale può trasformare la giornata in un’esperienza arricchente, piuttosto che in un semplice incontro formativo, favorendo la coesione del gruppo. Tuttavia, è opportuno prevedere l’accesso remoto per coloro che, per vari motivi, non possono partecipare in presenza.

Un “ricordo” dell’evento, opportunamente sponsorizzato, è un ulteriore modo per rendere la giornata memorabile. Naturalmente, si dovrebbe evitare la distribuzione di oggetti come chiavette USB non crittografate. Gadget più appropriati potrebbero includere coperture per webcam o porta carte di credito RFID. In alternativa, si potrebbe optare per non distribuire gadget, specificando che i fondi risparmiati sono stati devoluti a un’iniziativa a favore dell’ambiente (si veda anche l’Amd 1_2024 Climate change).

L’invito alla Giornata della Cybersicurezza potrebbe essere esteso a tutti i collaboratori aziendali, non solo a quelli che trattano informazioni nel contesto aziendale. Questo approccio serve a sottolineare l’importanza dell’evento, che, per raggiungere l’obiettivo della consapevolezza, deve andare oltre i confini aziendali.

Formazione, simulazioni e condivisione

La “giornata della cyber sicurezza” dovrebbe essere progettata per coinvolgere tutti i livelli aziendali attraverso una serie di attività mirate. Workshop interattivi potrebbero fornire ai dipendenti conoscenze pratiche su come riconoscere e reagire alle minacce comuni, come il phishing o il ransomware.

Le simulazioni di attacchi informatici, realistiche ma controllate, potrebbero aiutare a testare le risposte operative e a migliorare la preparazione.

Inoltre, sessioni di condivisione di Best Practice tra diversi team potrebbero rafforzare la coesione interna e promuovere una mentalità di sicurezza a 360 gradi.

La giornata tipo

La giornata dovrebbe iniziare al mattino con un’introduzione da parte della Direzione, seguita da una lectio magistralis in plenaria tenuta da un esperto di fama, noto non solo per la qualità e l’innovazione dei contenuti, ma anche per le sue capacità oratorie. A questo relatore andrebbe affidato il compito di delineare lo scenario futuro riguardante il mercato, il settore o la tecnologia di interesse per l’organizzazione.

Successivamente, si potrebbe svolgere un’esercitazione in plenaria, organizzata in squadre o individualmente, in cui l’aspetto ludico è integrato con quello tecnico, rendendo l’attività non solo formativa ma anche coinvolgente.

A seguire, un breve intervento potrebbe trattare l’applicazione delle misure di cybersicurezza anche nel contesto domestico. Questo intervento ha un duplice obiettivo: ridurre i rischi per i lavoratori in smart working e aumentare la consapevolezza generale. È risaputo, infatti, che quando la formazione si riferisce a contesti privati e personali, l’interesse e la consapevolezza dei partecipanti aumentano significativamente.

Un tema che riscuote sempre grande successo in questo ambito è quello delle tecniche di ingegneria sociale.

Nel pomeriggio, i partecipanti possono essere suddivisi in gruppi omogenei per esplorare tematiche di interesse specifico. Alcuni esempi di gruppi potrebbero essere:

1. il gruppo HR, per valutare come rendere il processo di onboarding dei collaboratori più orientato anche al tema della cyber sicurezza;
2. il gruppo ICT, per approfondire gli aspetti tecnici legati alle nuove vulnerabilità;
3. il gruppo Approvvigionamenti, per discutere su come migliorare i criteri di qualifica dei fornitori;
4. il gruppo Privacy, per esercitazioni sulla gestione e risposta a un data breach.

Alla fine della giornata, si potrebbe tenere un ultimo incontro in plenaria, dove ogni gruppo presenta i risultati del proprio lavoro.

La sessione si conclude con la votazione del miglior lavoro presentato, con l’obiettivo di favorire ulteriormente la coesione del gruppo.

La docenza e la conduzione dei gruppi possono essere affidate a soggetti interni o esterni all’organizzazione.

Infine, dovrebbero essere distribuiti gli attestati di partecipazione alla giornata.

Durante la giornata, possono anche essere proiettati video sul tema, reperiti dal web, alcuni dei quali sono particolarmente coinvolgenti ed efficaci.

Il valore aggiunto: un cambiamento culturale profondo

L’obiettivo di questa giornata non è solo quello di educare, ma di innescare un cambiamento culturale.

Quando i collaboratori comprendono l’importanza della sicurezza informatica e il loro ruolo nel proteggerla, sono più inclini ad adottare comportamenti sicuri, sia sul lavoro che nella vita privata.

Questa consapevolezza può ridurre significativamente il rischio di errori umani, che spesso sono alla base delle violazioni di sicurezza.

Una sola giornata, un impatto duraturo

Pensiamo davvero che l’istituzione della “giornata della cyber sicurezza” potrebbe, così, diventare uno strumento potente per rafforzare le difese aziendali, contribuendo a creare una cultura organizzativa che considera la sicurezza informatica come parte del DNA aziendale.

In un mondo sempre più interconnesso e vulnerabile, l’investimento in consapevolezza e formazione continua non è solo una buona pratica, ma una necessità imprescindibile.

Rendere ogni dipendente un custode della sicurezza informatica può fare la differenza tra un’azienda resiliente e una vittima delle minacce del cyber spazio.

E allora, perché aspettare? È ora di fare della cyber sicurezza una responsabilità condivisa, unendo le forze per proteggere ciò che abbiamo di più prezioso.