L’ultima edizione della CyberTech Europe si è da poco conclusa e credo abbia definitivamente sedimentato il concetto di “Sicurezza by design”, ovvero la necessità di considerare la sicurezza informatica parte integrante dell’architettura tecnologica delle organizzazioni e non un’aggiunta da apportare semmai post emergenza.

Ed è un passo molto importante. Da addetto ai lavori mi sorprende ancora la poca attenzione sulla comunicazione, come collante per unire la lunga catena che riguarda il perimetro di attacco di una qualsiasi organizzazione che va dai propri fornitori, fino ai clienti finali passando per i dipendenti.

La comunicazione come asset strategico

Credo che parallelamente all’adozione delle migliori tecnologie, la comunicazione sia un assist strategico per creare un vero tabù rispetto alle regole da seguire per rendere la propria azienda sicura.

Perché sostengo questo? Quanti di noi adottano password veramente sicure?

I dati giustificano le notizie di cronaca che si susseguono: negli ultimi due anni, infatti, la situazione della cyber security ha subito un peggioramento significativo.

A maggio del 2024, ad esempio, sono stati registrati 283 eventi cyber, con un aumento del 148% rispetto al mese precedente, e 45 incidenti con impatto confermato (contro i 27 di aprile), secondo i dati dell’Agenzia per la Cybersicurezza Nazionale.

La centralità della sicurezza informatica

Questi numeri mostrano chiaramente che nei prossimi mesi e anni la sicurezza informatica sarà sempre più centrale nelle politiche pubbliche e private.

Il concetto di “tilt tecnologico” è essenziale per comprendere la portata del rischio. Si parla di tilt tecnologico quando l’equilibrio tra sviluppo tecnologico e sicurezza si rompe, causando un cortocircuito che può esporre aziende, istituzioni e cittadini a vulnerabilità critiche.

Questo fenomeno emerge quando l’innovazione tecnologica procede a un ritmo tale che le misure di sicurezza non riescono a stare al passo non solo per mancanza di aggiornamento tecnologico ma per carenza culturale.

L’importanza della comunicazione nella sicurezza informatica

Come detto,  per una comunicazione efficace della sicurezza informatica, occorre prima di tutto chiarire chi sono i destinatari. Quando parliamo di cyber security, lo spettro degli stakeholder è estremamente ampio: la questione riguarda indistintamente tutti, dal semplice cittadino/consumatore alle grandi imprese, alla catena dei fornitori, passando per le istituzioni statali.

Strategie di comunicazione personalizzate

Diventa quindi fondamentale focalizzarsi sul linguaggio che deve essere personalizzato per ogni target. Un altro aspetto importante è l’inclusività: la sicurezza informatica non è – almeno non solo – un fatto per tecnici quindi bisogna essere inclusivi considerando che in Italia solo poco più della metà della popolazione ha competenze digitali adeguate ma tutti possiedono almeno uno smartphone.

La comunicazione deve quindi diventare informativa, ma anche educativa, puntando su linguaggi accessibili e canali di comunicazione popolari.

All’interno delle imprese italiane non bisogna abbassare la guardia sulla formazione che deve essere continua per adeguare gli atteggiamenti al mutare del rischio e testare continuamente il livello di attenzione dei dipendenti. Non bisogna infatti dimenticarsi che gli hacker sono costantemente alla ricerca di nuove vulnerabilità, sviluppando virus e malware sempre più sofisticati.

Ecco alcune strategie da adottare

Per affrontare in modo efficace le criticità legate alla comunicazione sulla sicurezza informatica, è quindi necessario adottare strategie mirate. Ecco alcuni suggerimenti:

  1. Personalizzare i messaggi: la comunicazione deve essere adattata ai diversi tipi di pubblico. I cittadini, le piccole imprese e le grandi organizzazioni hanno esigenze e livelli di competenza differenti. Creare contenuti su misura per ogni gruppo aumenta l’efficacia della sensibilizzazione.
  2. Semplificare i concetti tecnici: è essenziale rendere il linguaggio della cyber security accessibile a tutti. Utilizzare esempi pratici, analogie e metafore può facilitare la comprensione di concetti complessi.
  3. Integrare la formazione continua: la sicurezza informatica non può essere trattata come una formazione “una tantum”. Le aziende devono implementare programmi di aggiornamento costanti per tutti i dipendenti e metterli alla prova;
  4. Utilizzare più canali di comunicazione: non limitarsi a un solo mezzo. È importante sfruttare diversi canali per raggiungere un pubblico più ampio e diversificato.
  5. Collaborazione tra pubblico e privato: la comunicazione sulla sicurezza informatica deve coinvolgere tutti gli attori dell’ecosistema digitale. Le aziende e le istituzioni pubbliche devono collaborare per creare una rete di protezione diffusa e condividere le best practice.
  6. Monitorare e adattare la strategia di comunicazione: le minacce informatiche cambiano rapidamente, e così devono fare le strategie di comunicazione. Monitorare costantemente l’efficacia della comunicazione e adattarla ai nuovi scenari è fondamentale per mantenere alta la consapevolezza.

L’esempio Cyber Aware in UK

Un esempio recente di campagna di prevenzione sulla cyber security è la fase primaverile della campagna “Cyber Aware” del Regno Unito, lanciata dal National Cyber Security Centre (NCSC) nel 2023.

Questa fase è stata rivolta principalmente a piccole imprese  e ai lavoratori autonomi, con l’obiettivo di proteggerli da minacce come il ransomware e il phishing. La campagna ha enfatizzato due misure chiave di sicurezza: l’uso di password forti basate su tre parole casuali e l’attivazione dell’autenticazione a due fattori (2FA) per proteggere gli account email.

La campagna ha anche offerto strumenti gratuiti, come il Cyber Action Plan, che fornisce un elenco personalizzato di azioni per migliorare la sicurezza informatica, e il servizio Check Your Cyber Security, che analizza i dispositivi connessi a internet per rilevare vulnerabilità comuni.

Questa iniziativa è stata parte di uno sforzo più ampio per aiutare le piccole imprese, che rappresentano una porzione significativa delle vittime di attacchi informatici, a migliorare la loro resilienza e ridurre i costi legati a tali incidenti.

La comunicazione efficace è uno strumento essenziale nella battaglia contro le minacce informatiche.

Solo con una strategia inclusiva, comprensibile e continua possiamo mitigare i rischi del tilt tecnologico e costruire una difesa solida a livello nazionale.

Happy Communication!

 

comunicazione strategica cybersecurity formazione sicurezza informatica