Come iniziare un programma di cybersecurity aziendale

Creare un programma di cybersecurity non deve essere una sfida dispendiosa e complessa. Scopri come in questo post

Cybersecurity, come iniziare? Questa è una delle domande più ricercate sul web. Per le aziende italiane (ed estere) l’implementazione di un programma di cybersecurity sta ormai diventando un requisito obbligatorio.

Un cambio di marcia era già stato effettuato con l’entrata in vigore della normativa GDPR nella primavera 2016. Con l’arrivo imminente del Cyber Resilience Act le aziende Europee dovranno adeguare le proprie infrastrutture e produzione per garantire lo sviluppo di prodotti sicuri.

Nonostante il Cyber Resilience Act si focalizzi sul processo di produzione, è chiaro che per produrre prodotti sicuri, l’azienda stessa deve essere sicura. Un’intrusione informatica a livello aziendale puo’ arrivare a compromettere la catena produttiva, al di là degli investimenti effettuati per mettere in sicurezza la catena stessa.

Di fronte a questa nuova sfida normativa, le aziende (soprattutto medie imprese) si trovano a dover considerare l’implementazione di programmi di cybersecurity aziendale. Iniziare un tale programma puo’ sembrare, in un primo momento, una sfida dispendiosa e complessa. Molte aziende tendono infatti a pensare che servano parecchi soldi per far partire un programma del genere.

Fortunatamente, sapendo dove guardare, si puo’ evitare - almeno inizialmente - di dover spendere grandi quantità di tempo e denaro per iniziare un tale programma. Con un approccio minimalista e focalizzato chirurgicamente sulle basi più semplici della sicurezza informatica, si possono ottenere ottimi risultati fin da subito. Lo si puo’ anche fare senza dover richiedere l’apertura di nuovi budget, ma semplicemente dirigendo intelligentemente il focus del vostro team IT, oppure quello dei vostri fornitori IT.

Identificare un quadro di riferimento iniziale

Affidandosi ai motori di ricerca, una qualsiasi indagine vi condurrà rapidamente verso due framework molto usati per la definizione di programmi di cybersecurity: CIS Controls e NIST cybersecurity framework.

Entrambi sono ormai due standard predefiniti all’interno del mondo della cybersecurity. Entrambi definiscono infatti tutti controlli tecnici necessari da integrare all’interno di un programma di cybersecurity.


Tra i due, CIS controls offre il framework più compatto. Creato dal Center for Internet Security, è strutturato interamente su 18 controlli tecnici da implementare per migliorare rapidamente la propria resilienza informatica aziendale. Il framework parte da controlli di base quali la gestione oculata dei propri inventari hardware e software, la protezione dei dati e la configurazione sicura dei propri sistemi fino ad arrivare a tematiche avanzate quali il pronto intervento ai sinistri e le attività di pentesting.

Il NIST cybersecurity framework rappresenta invece il framework più completo. Creato dal National Institute of Standards and Technology, si fonda principalmente su 5 aree tecniche, ognuna rappresentante una specifica capacità (o, in inglese, capability) sviluppabile all’interno del proprio programma, come illustrato nell’infografica di sotto:

Immagine del NIST framework

All’interno di ogni area tecnica, il NIST framework elenca dai 4 ai 6 controlli tecnici da implementare nel proprio programma. Il NIST framework viene generalmente usato per strutturare programmi di cybersecurity su larga scala e lo si incontra principalmente all’interno delle grandi multinazionali.

Nonostante la loro utilità, è chiaro che i due framework rappresentino lo stato dell’arte e siano indirizzati ad aziende che intendano investire pesantemente nell’incremento della propria difesa e resilienza informatica. Per le piccole e medie imprese I due framework risultano eccessivi e sicuramente poco utili nella definizione di una strategia rapidamente implementabile a costo zero.

Di questo se ne è accorto il governo Britannico che, tramite il suo National Cybersecurity Centre, ha definito un framework specifico per le piccole e medie imprese chiamato Cyber Essentials.

Questo framework raccomanda alle aziende di focalizzarsi su 5 aree tecniche essenziali, tutte utili per sviluppare una discreta capacità di difesa e resilienza informatica. Nello specifico, il framework raccomanda l’implementazione di protezioni di rete (firewall e gateway internet), la configurazione sicura dei propri asset hardware e software, l’accesso controllato ai propri dati, l’installazione di software antivirus e l’implementazione di un programma per la gestione delle vulnerabilità nei software.

Il framework Cyber Essentials rappresenta un ottimo punto di inizio per definire una strategia iniziale. Tuttavia, per eliminare completamente i costi e ottenere così una programma rapidamente implementabile, si dovrà definire un framework ancora più compatto e ottimizzato verso l’utilizzo di risorse e programmi di lavoro esistenti.

Definire il programma

Partendo dal Cyber Essentials possiamo definire un programma facilmente “promuovibile” in azienda o, addirittura, ai propri fornitori IT. Il programma deve avere come obiettivo centrale la protezione dei dati aziendali e deve strutturarsi su quattro punti fondamentali, come evidenziato dall’immagine sottostante:

Programma di cybersecurity di base

I quattro punti chiave contribuiscono ciascuno a migliorare la protezioni dei dati e la resilienza informatica dell’azienda, concentrandosi sulle seguenti capacità tecniche:

  1. Gestione asset: la capacità di recupero da attacchi informatici dipende in larga parte da una conoscenza approfondita dei propri sistemi IT e su quali, in modo particolare, l’azienda dipenda per l’erogazione di prodotti o servizi. Un catalogo degli asset hardware e software diventa dunque centrale non solo per un’accurata gestione del proprio ecosistema IT, ma anche per garantire l’efficacia del proprio programma di cybersecurity (come vedremo meglio in seguito).
  2. Configurazione sicura e backup: il programma deve includere un processo di creazione di configurazioni sicure per i propri sistemi IT. All’interno di questo pilastro, si deve anche comprendere la revisione ed il miglioramento del controllo degli accessi ai dati aziendali, sia da parte degli amministratori di sistema, che dai dipendenti. Infine, si deve includere la definizione di una strategia di backup in modo da garantire la capacità di recupero dei dati in caso di attacchi informatici.
  3. Gestione vulnerabilità: di assoluta importanza per un programma cybersecurity è la gestione delle vulnerabilità nel software aziendale. Senza un programma che permetta il tracciamento delle vulnerabilità software e l’eliminazione rapida ed aggressiva delle stesse tramite aggiornamenti, la vostra azienda subirà sicuramente un numero maggiore di attacchi informatici. Per contenere, o meglio, prevenire i costi di pronto intervento è necessario includere la gestione sistematica delle vulnerabilità software all’interno del proprio programma.
  4. Formazione: la formazione del personale deve costituire l’ultimo pilastro fondamentale per la nostra strategia di base. Senza un personale formato e attenzionato ai rischi della cybersecurity, si rischia di negare completamente i benefici ottenuti dai primi tre pilastri. Senza una formazione apposita, l’azienda si affida a personale che non è in grado di riconoscere e reagire in maniera appropriata ad attività sospette, rischiando di introdurre maldestramente (oppure inconsciamente) programmi malevoli sulla rete aziendale.

Un programma così strutturato porterebbe I seguenti benefici:

  • Semplicità: strutturato su quattro semplici pilastri, il programma fa uso di iniziative ben note all’interno del mondo IT e che non richiedono la partecipazione (o assunzione) di esperti di cybersecurity.
  • Facilità e rapidità d’implementazione: la semplicità del programma dovrebbe renderlo facilmente implementabile con tempistiche rapide. Non occorre dirottare risorse IT o assumerne di nuove: basta co-ordinare internamente l’attenzione del proprio team IT verso l’implementazione di tali iniziative e stabilire obiettivi interni in linea con i pilastri del programma. Se ci si affida a fornitori esterni, si possono usare i pilastri per richiedere un resoconto delle pratiche interne al fornitore a garanzia delle esigenze espresse nel vostro programma cybersecurity.
  • Forte spendibilità interna: Considerando i punti elencati di sopra e l’assenza di costi aggiuntivi, il programma ha forte spendibilità interna e dovrebbe essere facilmente approvabile dal management aziendale.
  • Conformità con noti standard internazionali: utilizzando Cyber Essentials, NIST e CIS come punto di partenza, l’implementazione di un tale programma metterebbe l’azienda nella condizione di maturare il proprio programma, espandendolo e aggiornandolo ulteriormente in linea con la crescita aziendale. infine, il programma stenderebbe le basi per l’ottenimento di certificazioni internazionali per la cybersecurity quali ISO27001 e ISAE3000.

Gestione asset

Il primo passo fondamentale per incrementare la resilienza agli attacchi informatici è assemblare un catalogo aggiornato degli asset IT in uso all’interno dell’azienda (chiamato comunemente catalogo ITAM). L’assenza di una singola fonte di riferimento per rintracciare i propri asset IT è uno dei fattori principali nel causare un allungamento dei tempi di risposta ad un sinistro informatico.

Se un virus colpisce un’azienda senza catalogo ITAM, diventa molto più difficile e dispendioso rintracciare il percorso del virus all’interno della rete aziendale per trovare il dispositivo d’origine. Inoltre, la mancata identificazione del dispositivo d’origine infezione compromette la capacità di effettuare ulteriori analisi per comprendere meglio la causa dell’attacco.

Per le piccole e medie imprese la creazione di un catalogo ITAM non richiede necessariamente l’acquisto di software dedicato. Si puo’ tranquillamente iniziare con un documento Excel e considerare l’acquisto di software in un secondo momento. Un ottimo template iniziale lo si puo’ scaricare qui.

Per le grandi aziende che fanno appoggiano su ambienti IT tradizionali (collegati tramite domini e directory) diventa obbligatorio acquistare software dedicato per garantire l’automazione necessaria per una catalogazione efficace e scalabile. Soluzioni tipicamente utilizzate in questi contesti sono notoriamente offerti da ServiceNow e Atlassian.


Per le aziende (grandi o piccole) che utilizzano principalmente soluzioni cloud per la produttività (come, ad esempio, la suite Google Workspace) la situazione diventa più ostica sul fronte della catalogazione.

Se è vero che la catalogazione degli asset hardware puo’ continuare ad essere effettuata tramite Excel (o con l’acquisto di soluzioni dedicate), la catalogazione automatica di tutte le piattaforme cloud usate dai dipendenti diventa molto più difficile, specie se si utilizza l’autenticazione Single-Sign-On in azienda.

Questa situazione puo’ rapidamente generare una proliferazione incontrollata di piattaforme cloud usate dagli utenti, con conseguente rischio di aumento costi e di introduzione di piattaforme che trattano i dati in maniera potenzialmente incompatibile con le normative Europee sulla privacy. In questo caso, è obbligatorio affidarsi a soluzioni dedicate. Un’ottima soluzione per la catalogazione e gestione di piattaforme cloud è offerta da Zluri, ma ne esistono altre disponibili sul mercato.

Se, invece, ci si affida a terzi per la gestione dei propri sistemi IT, il discorso diventa più semplice: basta richiedere al fornitore una copia aggiornata del catalogo ITAM in modo da poterla visionare e comparare con il proprio catalogo (se disponibile).

Infine, per assicurarsi di creare un catalogo ITAM che supporti in maniera adeguata il proprio programma di cybersecurity, è opportuno adottare i seguenti accorgimenti:

  1. Evidenziare i crown jewels aziendali: nel vostro catalogo ITAM dovreste evidenziare tutti quegli asset (server, piattaforme o sistemi ICS/SCADA) che risultano fondamentali per la sopravvivenza e operatività dell’azienda (noti anche come crown jewels in inglese). Una conoscenza approfondita di questi sistemi vi permetterà di stabilire controlli di sicurezza più focalizzati partendo, appunto, dalla protezione dei sistemi più importanti per l’azienda. Inoltre, in caso di sinistro, una conoscenza dei propri crown jewels permette di analizzare rapidamente il potenziale impatto di un sinistro: un attacco contro un sistema critico per l’azienda ha infatti un impatto maggiore se comparato ad un attacco contro un sistema periferico.
  2. Stabilire un ciclo di revisione trimestrale: il vostro catalogo dovrà essere revisionato regolarmente, soprattutto se non si dispone di metodi o software per la catalogazione auomatizzata. In generale, una revisione trimestrale dovrebbe essere più che sufficiente. Inoltre, il vostro team IT dovrebbe documentare nel dettaglio la procedura di revisione in modo da garantire continuità operativa in caso di assenze o dimissioni.
  3. Stabilire un sistema di ownership: il vostro catalogo deve includere un sistema per la catalogazione di asset IT tramite codice identificativo. Inoltre, il codice identificativo deve preferibilmente favorire l’attribuzione dei vari asset IT a reparti aziendali piuttosto che a singoli individui, per garantire una rendicontazione (nota come ownership in inglese) resistente a potenziali assenze, dimissioni o cambi nell’organico.
  4. Stabilire un sistema di lifecycle tracking: ancora più importante è stabilire un sistema che tenga traccia del ciclo di vita di un asset IT (noto come lifecycle tracking in inglese). Definire gli stadi principali della vita di un asset all’interno della propria azienda è fondamentale per comprendere se l’asset è in utilizzo attivo sul campo o se si tratta di un dispositivo non ancora in dotazione al personale. Tale tracciabilità puo’ inoltre rivelarsi di grande aiuto in caso di attacco informatico. Il vostro team IT, infatti, sarà in grado di modulare il tipo di pronto intervento a seconda dello stadio in cui si trovano i dispositivi sotto attacco: la risposta ad un sinistro dovrà essere molto più aggressiva se l’attacco coinvolge dispositivi in produzione, piuttosto che dispositivi non ancora in dotazione (o in uso limitato) al personale.

Configurazione sicura e backup

Il secondo pilastro del programma svolge un ruolo centrale nel garantire una maggiore resilienza dell’azienda contro gli attacchi informatici. Il pilastro si compone di due elementi:

  • Configurazione sicura: la creazione di configurazioni standard focalizzate sulla sicurezza (note anche come, hardening configurations in inglese) garantisce che l’azienda metta in campo dispositivi resistenti agli attacchi informatici fin da subito. La standardizzazione garantisce, in particolar modo, una riduzione degli errori o l’introduzione accidentale di falle nella sicurezza da parte del team IT.
  • Strategia di backup: l’implementazione di una strategia di backup, applicata in maniera costante e rigorosa, offre la miglior garanzia per un recupero rapido in caso di attacco. Essa va considerata come un’assicurazione contro i sinistri informatici (non solo nel caso di attacchi, ma anche in caso di difetti tecnici): il vostro team IT, infatti, potrà rapidamente recuperare qualsiasi dispositivo semplicemente riaggiornando il sistema operativo ad una versione funzionante prima che l’attacco informatico prendesse piede.

E’ disponibile parecchio materiale in rete contenente raccomandazioni su come creare configurazioni sicure. Il CIS, ad esempio, mette a disposizione un database pubblico e gratuito (chiamato CIS benchmarks) contenente liste di configurazioni sicure standardizzate (chiamate benchmark in inglese) per software desktop, dispositivi mobili, dispositivi networking e molto altro.

Poichè le configurazioni distribuite dal CIS sono estremamente dettagliate e comprensive, il CIS offre kit di compilazione per facilitare l’automazione delle configurazioni di hardening. Tali kit sono progettati per coprire la maggior parte delle impostazioni del benchmark. Tuttavia, siccome i modelli benchmark e i software di installazione non contengono tutte le configurazioni possibili, essi devono essere comunque revisionati e, se necessario, modificati dal vostro team IT per allinearsi agli standard interni alla vostra azienda.

In alternativa, l’Agenzia per l’Italia Digitale (AGID) mette pubblicamente a disposizione delle ottime linee guida per l’hardening di base dei principali sistemi operativi, web browser e anche web server.

Per gli ambienti in cloud il discorso cambia leggermente. In generale, l’approccio migliore è di affidarsi alla documentazione offerta dai fornitori stessi. Google, in particolar modo, offre un’ottima documentazione che copre considerazioni sia a livello strategico, che architetturale. Se la vostra azienda utilizza Google Worskpace, è da considerarsi praticamente obbligatorio adeguarsi agli elenchi di controllo di sicurezza che Google rende pubblicamente disponibili. Se, invece, la vostra azienda utilizza prodotti Google Cloud, il vostro team puo’fare riferimento sul progetto base di piattaforme di sicurezza per far si che l’azienda metta sempre in produzione risorse in perfetto stato di sicurezza.

Per quanto riguarda il secondo elemento - la strategia di backup - è nuovamente possibile trovare molto materiale utile in rete. In generale, una strategia di backup garantisce che l’azienda disponga sempre di un sistema di ridondanza per i propri dati ed il proprio impianto informatico. Creando copie di riserva, un programma di backup garantisce che i propri sistemi informatici possano essere rapidamente ripristinati in caso di problemi tecnici, inclusi quelli causati da un attacco informatico.

Nel definire la propria strategia di backup, vanno definiti gli aspetti seguenti:

  • Le cadenze temporali per la creazione di backup informatici che definiscano, come minimo, delle tempistiche giornaliere, settimanali e mensili per la creazione di backup
  • La definizione di un sistema che garantisca la revisione regolare (almeno su base trimestrale) dei backup e che esso sia ispezionabile e certificabile da revisori esterni (se necessario per il mantenimento di specifiche certificazioni ISO)
  • La definizione di un sistema che vada a certificare, tramite test regolari, il corretto funzionamento delle ridondanze del sistema informatico aziendale

In rete esistono comunque numerose risorse da poter utilizzare nel definire la propria strategia di backup. In particolare, è consigliabile utilizzare il CIS control 11 come punto di partenza. Il CIS control 11 elenca infatti tutti le considerazioni di base da integrare nella vostra strategia. Per un esempio ancora più concreto si puo’ prendere spunto dalla procedura di salvataggio e ripristino dati resa pubblicamente disponibile dalla provincia di Venezia.

Gestione vulnerabilità

Il terzo pilastro svolge invece un ruolo maggiore nel garantire una capacità di resistenza più attiva, piuttosto che passiva, agli attacchi informatici. Un programma di gestione delle vulnerabilità permette infatti all’azienda di identificare e monitorare in tempo reale tutte le vulnerabilità nel proprio catalogo software ed eliminarle rapidamente tramite il rilascio di aggiornamenti software (chiamati patch in inglese).

Il CIS Controls framework offre nuovamente una serie di linee guida utilizzabili gratuitamente: esse sono contenute all’interno del CIS Control numero 7 e offrono numerosi consigli per sviluppare un programma che riduca al minimo la presenza di vulnerabilità all’interno della vostra rete aziendale.

Per gli ambienti in cloud è consigliabile nuovamente affidarsi alla documentazione pubblica offerta dai provider. Per esempio, la divisione security di Microsoft mette a disposizione un’ottima selezione di linee guida in Italiano. Il team di Security a Google, invece, ha di recente pubblicato un ottimo podcast (ascoltabile in inglese) che “apre le porte” sul proprio programma di gestione delle vulnerabilità.

Se vi affidate ad un gestore per il vostro hardware e software IT, dovreste chiedere di poter visionare le loro linee guida ed eventuali disposizioni contrattuali (come, per esempio, gli accordi sul livello del servizio) che descrivano il loro processo di gestione vulnerabilità. Tale processo, infatti, dovrebbe considerarsi parte integrante del servizio di gestione e, in caso di assenza, dovreste insistere sull’integrazione di tale processo a tutela della sicurezza della vostra rete.


All’interno del vostro programma va descritta, in primis, la procedura adottata dal vostro team IT per la gestione delle vulnerabilità. La procedura deve contenere, come minimo, i cinque passaggi descritti nell’immagine di sotto:

Infografica sui cinque passaggi fondamentali per gestire le vulnerabilità informatiche

In aggiunta il programma deve includere:

  • Linee guida per l’esecuzione regolare di scansioni: le scansioni devono essere condotte regolarmente per identificare le vulnerabilità nel proprio software. Le scansioni devono essere eseguite in modo automatico e i risultati devono essere esaminati e risolti tempestivamente. Oggigiorno esistono molti prodotti a pagamento per la scansione di vulnerabilità disponibili sul mercato. Al tempo stesso esistono alternative open source come OpenVAS che possono essere usate gratuitamente.

  • Criteri per l’assegnazione di priorità d’intervento alle vulnerabilità: bisogna tenere presente che alcune vulnerabilità sono più gravi di altre e, per questo, hanno maggiori probabilità di essere sfruttate. Perché il processo di risoluzione delle vulnerabilità sia efficace, il vostro team deve poter concentrare correttamente le proprie risorse facendo leva su un sistema di assegnazione delle priorità; così da poter decidere al meglio come gestirle. Nel definire i criteri di assegnazione prioritaria, vanno considerati i seguenti fattori:

    • Gravità: quanto è grave la vulnerabilità? In questo caso si puo’ utilizzare il sistema CVSS per valutarne la gravità. Tale sistema è infatti considerato uno standard internazionale, e quasi tutti i provider comunicano la gravità delle vulnerabilità nel proprio software utilizzando questo sistema.
    • Sfruttabilità: quanto è probabile che la vulnerabilità venga sfruttata?
    • Impatto: Quale sarebbe l’impatto sull’azienda se la vulnerabilità venisse sfruttata con successo? In questo caso il vostro catalogo ITAM (soprattutto se identifica i crown jewel aziendali) risulta fondamentale per determinare l’impatto di una vulnerabilità sulla reta aziendale, a seconda del tipo di asset che viene compromesso.

  • Piano di pronto intervento: Una volta definiti i criteri per l’assegnazione di priorità alle vulnerabilità, il programma deve includere un piano di intervento per porvi rimedio. Il rimedio può comportare l’applicazione di patch di sicurezza, l’aggiornamento di componenti software o l’implementazione di workaround.

  • Procedure per l’installazione di patch di sicurezza: il programma deve descrivere come le patch di sicurezza debbano essere rilasciate da fornitori di software, o dal proprio team IT, per risolvere le vulnerabilità confermate. In particolar modo, la procedura deve prescrivere le modalità per l’applicazione delle patch di sicurezza in maniera rapida e senza ritardi.

  • Procedure per il monitoraggio e revisione del programma: la gestione delle vulnerabilità va considerata un processo continuo. A tal proposito, il programma deve definire le modalità con il quale il vostro team IT monitora in maniera costante i sistemi e le applicazioni per individuare nuove vulnerabilità. Inoltre il programma deve contenere una procedura di feedback, che permetta al proprio team IT di revisionare periodicamente il programma al fine di identificare miglioramenti e per garantirne l’efficacia continua.

Formazione

Il quarto e ultimo pilastro concerne la formazione del personale tramite programmi di sensibilizzazione sulla sicurezza informatica (il cosiddetto security awareness training in inglese).

I programmi di formazione sulla sicurezza sono programmi educativi progettati per sensibilizzare I dipendenti alle minacce informatiche e per trasmettere tecniche per proteggere se stessi e l’organizzazione da tali minacce. Questi programmi coprono un’ampia gamma di argomenti, tra cui phishing, malware, social engineering, sicurezza delle password e molto altro ancora.

Tale formazione è importante perché, se ben eseguita, aiuta a ridurre l’incidenza di attacchi informatici che coinvolgono vettori umani, come nel caso del phishing e del social engineering. I dipendenti sono spesso la prima linea di difesa contro questo tipo di attacchi ed è quindi essenziale che siano messi in condizioni di riconoscere i segni premonitori e reagire efficacemente.

Nello specifico, l’attuazione di un programma di security awareness porta i seguenti vantaggi:

  1. Migliora la sicurezza dei dati: La formazione sulla sicurezza può contribuire a migliorare la sicurezza dei dati, insegnando ai dipendenti come proteggere i dati sensibili ed evitare violazioni tramite attacchi o truffe che sfruttano vettori umani (come nel caso del vishing).
  2. Riduce i costi di conformità: Molte aziende sono tenute a rispettare normative specifiche sulla privacy e sulla sicurezza dei dati. La formazione sulla sicurezza può aiutare tali organizzazioni a soddisfare questi requisiti di conformità ed evitare multe salate.
  3. Protegge la reputazione dell’organizzazione: Un attacco informatico può danneggiare la reputazione di un’organizzazione e comportare la perdita di clienti e ricavi. Un programma efficace di security awareness può aiutare a proteggere la reputazione dell’organizzazione riducendo il rischio di attacchi informatici e dei danni che ne possono conseguire.

La security awareness deve essere considerata parte integrante di un programma di cybersecurity. Il NIST a questo proposito ha sviluppato e reso pubblico il NIST Special Publication 800-50 dove specifica i requisiti necessari per la messa a punto di un programma efficace di security awareness.

Molte delle linee guida contenute nel NIST 800-50 sono di facile implementazione all’interno della propria azienda, senza costi aggiuntivi. Se si vuole optare per una soluzione ancora più semplice, si puo’ incaricare il team IT di sviluppare in proprio un semplice, ma efficace, programma di security awareness ricopiando e traducendo i materiali di security awareness messi pubblicamente a disposizione dall’Agenzia dell’Unione Europea per la cybersicurezza (ENISA) in occasione del Cybersecurity month. Alcuni dei materiali sono addirittura disponibili in Italiano, come nel caso del poster sulla tematica del phishing visionabile qui sotto:

Poster per il phishing awareness

In qualsiasi caso, nel creare un programma di sensibilizzazione sulla cybersecurity, per quanto semplice, è opportuno seguire alcuni accorgimenti:

  • Adattate il programma alle esigenze dell’organizzazione: nel creare il programma conviene tenere a mente i tipi di minacce informatiche che possono interessare la vostra organizzazione e le specifiche responsabilità dei vostri dipendenti. Un dipendente impiegato nell’ufficio risorse umane deve per forza ricevere un’istruzione più focalizzata sui rischi legati al phishing o vishing. Al contrario, una squadra di programmatori puo’ beneficiare di un corso formativo più avanzato, come nel caso di corsi sulla sensibilizzazione alle vulnerabilità OWASP.
  • Rendete la formazione coinvolgente e interattiva: come in qualsiasi corso di formazione, i dipendenti hanno maggiori probabilità di apprendimento e memorizzazione se la formazione è interattiva e coinvolgente. Se possibile, sarebbe da preferire l’impiego di diversi metodi di formazione, come corsi online, video, esercitazioni di ruolo in presenza o, ancora meglio, l’impiego di simulazioni di phishing.
  • Verificate le conoscenze e le competenze dei dipendenti: oltre a creare il programma, dovete assicurarvi di verificare regolarmente le conoscenze e le competenze acquisite dai dipendenti. Tipicamente, queste verifiche possono essere fatte tramite semplici questionari. In questo caso, é consigliabile usare servizi gratuiti quali SurveyMonkey o Google Forms per complementare le sessioni formative con questionari atti a verificare le conoscenze effettivamente apprese dai dipendenti.
  • Aggiornate regolarmente la formazione: considerando l’evoluzione continua delle minacce informatiche è opportuno aggiornare regolarmente la formazione sulla sicurezza per garantire che copra le minacce più recenti e le migliori forme di risposta.

Oltre alle risorse gratuite discusse di sopra, esistono anche fornitori a pagamento specializzati nell’approviggionamento di corsi di security awareness in lingua italiana. Una semplice ricerca online puo’ aiutarvi a identificare rapidamente quali fornitori siano disponibili nella vostra regione.


Per il mercato Italiano, una soluzione conveniente puo’ essere quella di affidarsi a Curriculaville. Questa piattaforma offre un numero limitato di moduli gratuiti in italiano che coprono tematiche di base quali il phishing, la sicurezza delle password e social engineering. Una volta che la piattaforma entra in utilizzo, si possono sbloccare se necessario ulteriori moduli previa pagamento.

Seguendo un approccio focalizzato sulle basi più semplici della sicurezza informatica e con l’utilizzo di risorse gratuite disponibili in rete, si puo’ creare un programma di cybersecurity iniziale compatto, molto efficace e a costo zero. Prendendo come spunto i framework CIS, NIST e Cyber Essentials, si possono gettare le fondamente per il perseguimento di programmi di sicurezza informatica più ambiziosi ed eventualmente puntare all’ottenimento di certificazioni internazionali per la cybersecurity. Basta semplicemente sapere dove e cosa cercare, oltre ad utilizzare in maniera sapiente le proprie risorse.