Caro Diario,
Oggi voglio parlarti di una grande trasformazione, un’evoluzione che ho vissuto in prima persona e che, se sei un CISO, probabilmente hai vissuto anche tu. Parliamo del nostro ruolo: da tecnologi rigorosi e ossessionati dal controllo, a leader empatici capaci di ispirare e connettere le persone alla sicurezza. Sembra quasi una favola di formazione, ma con meno magia e più incidenti di sicurezza lungo la strada. Potremmo definirla la “Teoria dell’Evoluzione del CISO”: selezione naturale, adattamento e – per i più fortunati – sopravvivenza nel mondo aziendale.
Fase 1: Il Tecnologo, ovvero “Basta firewall e policy ferree!”
Tanti anni fa, quando ho iniziato, la cybersecurity si basava su un principio semplice: impedire all’utente di sbagliare. E come lo facevamo? Limitando il più possibile le sue azioni. Firewall, sistemi di controllo degli accessi, VPN con mille autenticazioni: se un utente si sentiva soffocato da policy e restrizioni, significava che stavamo facendo bene il nostro lavoro! Peccato che, nonostante tutta questa tecnologia, gli incidenti accadevano comunque. E la colpa? Ovviamente, dell’utente. “È lui l’anello debole”, dicevano tutti. Ah, l’ingenuità…
Fase 2: Il CISO dispregiativo, ovvero “Simulazioni di phishing e giudizio divino”
Dopo anni a limitare gli utenti, abbiamo deciso di “educarli” (più o meno). Sono arrivate le prime simulazioni di phishing, i programmi di awareness a breve termine, le email minacciose che dicevano: “Attento, cliccare su un link sospetto porterà a conseguenze nefaste!”. Il problema? L’utente continuava a essere visto come un problema, come il nemico interno da sorvegliare e sanzionare. Il phishing? Un test per dimostrare quanto fosse inaffidabile. E così, invece di costruire cultura e fiducia, abbiamo rafforzato la paura e il distacco. Spoiler: gli incidenti accadevano lo stesso.
Fase 3: L’Empatico, ovvero “Forse è anche colpa nostra…”
A un certo punto, alcuni di noi hanno avuto un’illuminazione: e se il problema non fosse (solo) l’utente, ma il modo in cui lo trattiamo? Forse non è “l’anello debole”, ma semplicemente un anello che nessuno ha mai veramente rafforzato. Forse investire sulla formazione non significa solo lanciare campagne spot, ma costruire un percorso continuo. E forse – tenetevi forte – la sicurezza non dovrebbe essere solo un fastidio, ma qualcosa di utile, interessante e persino divertente. Abbiamo iniziato a trattare gli utenti con più rispetto e a progettare programmi di awareness coinvolgenti. Risultato? Meno resistenza, più partecipazione, migliori abitudini.
Fase 4: Il Maturo, ovvero “L’utente è il protagonista”
E ora siamo qui. I CISO più evoluti non vedono più la sicurezza come un insieme di restrizioni, ma come una cultura da coltivare. Sanno che il valore non sta nel dimostrare quanti errori fanno gli utenti, ma nell’aiutarli a prevenirli. Il nostro obiettivo non è più proteggere l’azienda dagli utenti, ma con gli utenti. Perché quando le persone si sentono parte della soluzione, iniziano ad agire di conseguenza: segnalano le minacce, adottano comportamenti sicuri e diventano alleati attivi della cybersecurity. In termini darwiniani, non è più una lotta per la sopravvivenza tra IT e dipendenti, ma una simbiosi vantaggiosa per entrambi. E questa, caro Diario, è la vera rivoluzione.
Alla prossima trasformazione.
Indice del Diario
0- Diario di un CISO che fa Awareness
1- Piattaforme di Awareness: Come fare la scelta intelligente
2- Le simulazioni di phishing non funzionano… o quasi
3- Integrazione con Microsoft e Google: un passo avanti per gestire I Distratti
4- Compliance NIS2: non basta spuntare una casella, serve consapevolezza
5- Targetizzare le campagne di awareness: conoscere i tuoi Distratti
6- I momenti educativi: cogliere l’attimo per formare
7- Se il cybercriminale personalizza il phishing, perché tu no?
8- Gestire la compliance delle normative senza stress
9- L’evoluzione del CISO: dal firewall all’empatia (senza estinguerci per strada)
10- Prossimamente…
