Caro Diario,
Ieri un dipendente mi ha chiesto: “Ma io ci ho cliccato perché è da tempo che ci credo in vincere la lotteria!”. Sembrava genuinamente convinto di ricevere milioni da un principe nigeriano. Lì per lì non sapevo cosa fare: dargli la tastiera in testa, bloccarlo a vita e impedirgli di aprire mai più la posta elettronica, oppure spendere preziosi secondi della mia vita per spiegargli cosa vuol dire “phishing”. Ed è così che è nata l’idea di scrivere questo diario e di pubblicarlo, proprio come fece Charles Darwin con il suo Viaggio di un naturalista intorno al mondo. Solo che io esploro una fauna diversa: i dipendenti aziendali che soffrono della patologia dei cliccatori seriali.
Da oggi, caro Diario, li chiamerò “I Distratti”. E spero che quello che scriverò qui possa diventare una guida pratica per altri CISO che, come me, combattono questa battaglia quotidiana.
Introduzione ai rischi del fattore umano
Quando pensiamo alla cybersecurity, ci vengono in mente hacker in cappuccio, sofisticati attacchi alimentati dall’intelligenza artificiale, e tecnologie all’avanguardia. Ma dopo anni di esperienza sul campo, ho capito una cosa: il vero punto debole della catena di sicurezza non è mai una macchina, bensì il fattore umano. I “Distratti” sono la porta d’ingresso preferita dai cybercriminali, e un clic sbagliato può mandare in fumo anche il miglior firewall, ogni volta che un dipendente clicca su un link malevolo, è come se stesse premendo il pulsante rosso del Dr. Stranamore.
Questo non è solo il mio pensiero, caro Diario. Secondo il Cost of a Data Breach Report 2024 di IBM, la formazione dei dipendenti è il fattore che riduce maggiormente i costi di una violazione. Ti allego qui il grafico del report: un dato che parla da solo e che rende evidente quanto sia fondamentale investire nella consapevolezza.
Il motivo di questo diario
Dopo anni trascorsi tra server, policy e firewall, ho capito che educare i dipendenti non è solo un’opzione, ma una vera e propria strategia di difesa. Ho provato diversi strumenti di awareness, e non ti nascondo che alcuni mi hanno deluso profondamente. Altri, invece, mi hanno sorpreso. Alla fine, ho scelto una piattaforma che si adattava alle nostre esigenze, ma non è una soluzione universale: ogni azienda ha bisogni specifici.
Perché questo diario? Voglio condividere errori, successi e trucchi che ho imparato nel tempo. Ecco un assaggio di quello che ti racconterò nei prossimi episodi:
- La scelta di una piattaforma di awareness: perché ho capito che non tutte le soluzioni sono uguali.
- Le simulazioni di phishing non funzionano: pensavo così ma poi ho capito che c’erano i falsi positivi. Ti spiegherò come ho risolto.
- Integrazione con Microsoft e Google: semplificare la gestione dei “Distratti”.
- La compliance NIS2: come usare la formazione per essere a norma. Che bella direttiva la NIS2! Lo dico davvero, non è sarcasmo.
- Targetizzare le campagne di awareness: perché ogni dipendenti è diverso.
- I teachable moments: l’arte di cogliere l’attimo per educare.
- Personalizzare contenuti e scenari di phishing: coinvolgere per educare.
- Gestire la compliance normativa: esterna ed interna, senza impazzire.
- L’evoluzione del CISO: come ho capito che da tecnico dovevo essere un leader empatico.
- Gamification: uso ma non abuso!
- Altri consigli pratici per vincere la battaglia contro il fattore umano.
Caro Diario, ora che ti ho introdotto al mio mondo, non vedo l’ora di raccontarti le prossime avventure. Sarà un viaggio tra errori, sorprese e, chissà, anche qualche vittoria. Perché, come diceva Sherlock Holmes: “Una catena è forte quanto il suo anello più debole”. Noi siamo qui per rafforzare ogni anello.
A domani! (o dopodomani, non so se ho tutto questo tempo per scriverti tutti i giorni)
Indice del Diario
0- Diario di un CISO che fa Awareness
1- Piattaforme di Awareness: Come fare la scelta intelligente
2- Le simulazioni di phishing non funzionano… o quasi
3- Integrazione con Microsoft e Google: un passo avanti per gestire I Distratti
4- Prossimamente…
1 Comment
Bellissimi questi articoli, complimenti! Un ottimo modo per fare awareness sull’awareness… 🙂