I dipendenti consapevoli sono la migliore difesa contro le minacce digitali”. È questo il claim che accompagna l’arrivo in Italia di Awaretrain, azienda olandese che basa il business sulla formazione sulla consapevolezza della sicurezza IT. E lo fa tramite la Security Awareness Training Platform, soluzione pensata per aiutare le organizzazioni a migliorare la propria postura di information security, puntando sui dipendenti. Attraverso la Security Awareness Training Platform propone una formazione online personalizzata.

Il fattore umano. Ma non solo

Per sottolineare il valore della propria proposta, Dennie Spreeuwenberg, CEO di Awaretrain ha ricordato come dai dati riportati nel Verizon Data Breach Report, “l’elemento umano è coinvolto nel 90% di tutte le violazioni della sicurezza e il 98% di tutti incidenti è dovuto alla negligenza degli utenti”. Inoltre, lo studio Dutch Personal Data Authority, eseguito dall’israeliana Guardz e IBM rivela che la maggior parte delle violazioni dei dati è stata causata dall’invio di e-mail a indirizzi sbagliati o con contenuti e allegati che non dovevano essere spediti.

Come se ciò non bastasse, i dati raccolti da Grenke e Cerved indicano che il 72,7% delle aziende italiane non ha mai implementato attività di formazione sulla cybersecurity, mentre il 73,3% dice di non essere a conoscenza degli attacchi ransomware. In più, il 43% delle imprese non ha un responsabile della sicurezza IT e solo il 26% dispone di adeguate misure di protezione. Non stupisce quindi se il Cybersecurity Index PMI 2023 indica che le PMI italiane tendono ancora ad agire da “principianti” sui grandi temi della cyber security: complessivamente raggiungono un livello di consapevolezza in materia di sicurezza digitale di 51 su 100, al di sotto del livello di sufficienza che è di 60.

A fronte di questa situazione, e considerando che l’Italia è il quarto paese più attaccato al mondo con bersaglio privilegiato le PMI (Swascan), e che nei primi sei mesi del 2023 gli attacchi cyber sono aumentati del 40% (secondo il Clusit oltre il 35% è andato a buon fine grazie al malware), l’idea di rendere più consapevoli i dipendenti sia su cosa è la cyber security e su quali danni può portare un attacco che ha avuto “successo” non sembra essere assolutamente peregrina.

Formazione personalizzata

Dennie Spreeuwenberg, CEO di Awaretrain

Dennie Spreeuwenberg, CEO di Awaretrain

All’interno della piattaforma di Awaretrain, usando un qualsiasi browser, è possibile accedere a esempi pratici e utili consigli per imparare a identificare le minacce e affrontare in modo efficace i rischi per la sicurezza. “Il nostro obiettivo è di consentire di lavorare in maniera più sicura e consapevole – precisa Dennie Spreeuwenberg –. E per raggiungerlo ci avvaliamo di un metodo di apprendimento interattivo, che prevede video animati, giochi e test di conoscenza. Gli utenti non si devono annoiare, ma essere attratti dai contenuti proposti”.

Gli argomenti trattati dalla Security Awareness Training Platform sono molteplici e trattano i temi più importanti nell’ambito della sicurezza delle informazioni, della cyber security e della privacy. Il percorso di formazione si articola su vari moduli facilmente comprensibili, con una durata che varia dai 5 ai 20 minuti ciascuno.

I responsabili dell’audit hanno il controllo su contenuti, tempi e attestati/certificazioni. Inoltre, gli amministratori hanno accesso a una libreria con 60 corsi interattivi. È poi possibile creare un numero illimitato di simulazioni di phishing per migliorare le capacità dei propri dipendenti di riconoscere questi attacchi. Quando una persona clicca sul link di phishing, viene indirizzata a una pagina con un feedback diretto e diversi suggerimenti. Anche le email di phishing e le pagine di destinazione possono essere personalizzate sulla base delle necessità aziendali, modificando i modelli esistenti o anche creandone di nuovi. L’intento è di consentire ai responsabili di sicurezza e HR di mettere a facilmente punto programmi di formazione multipli e diversificati, in funzione dei diversi ruoli e competenze all’interno dell’organizzazione.

Trasformare la consapevolezza in comportamento

I contenuti e l’interfaccia utente sono disponibili in 9 lingue diverse: italiano, inglese, olandese, tedesco, francese, spagnolo, portoghese, polacco e ceco. I dipendenti possono facilmente scegliere la lingua che preferiscono. Tutti i video sono registrati da persone madrelingua.

Uno strumento di reporting fornisce informazioni in tempo reale sui progressi e sui risultati dei programmi di formazione e delle simulazioni di phishing dei propri dipendenti e consente di generare rapporti e certificati di partecipazione per utenti e gruppi, anche in lingue diverse.

Fare un unico corso sulla sicurezza, come solitamente accade nelle aziende – sottolinea Dennie Spreeuwenberg – permette di acquisire un’elevata consapevolezza, ma nel tempo questa svanisce. L’ideale sarebbe invece condurre periodicamente sessioni di formazione. In questo modo non solo si mantiene la consapevolezza, ma la si può trasformare in abitudine comportamentale ottenendo così il migliore risultato possibile in termini di approccio alla cybersecurity”. In tal senso, Awaretrain garantisce un aggiornamento costante dell’offerta, con almeno 6 nuovi moduli di formazione ogni anno.

La Security Awareness Training Platform può essere usata da qualsiasi tipo di azienda per istruire i suoi dipendenti. Awaretrain dispone anche delle certificazioni necessarie per l’impiego all’interno della Pubblica Amministrazione. Awaretrain sta anche sviluppando una rete di rivenditori per proporre la sua piattaforma tramite terze parti.