Il Rapporto Clusit 2025: training e awareness come pilastri della cybersecurity

Cristian Fassi Blog Nessun commento

Il Rapporto Clusit 2025: training e awareness come pilastri della cybersecurity

È stato pubblicato il Rapporto Clusit 2025, uno degli studi più autorevoli sulla cybersecurity in Italia, e l’ho letto con attenzione per estrarre i punti chiave relativi a un aspetto che ci sta particolarmente a cuore: il training e l’awareness del personale.

Il messaggio è chiaro: senza consapevolezza e training adeguati, aziende, istituzioni e cittadini resteranno esposti a minacce sempre più sofisticate. Ecco i principali spunti che emergono dal Rapporto.

1. L’urgenza della consapevolezza

Il Clusit sottolinea che la necessità di diffondere la cultura della cybersecurity è sempre più urgente. Il numero crescente di attacchi basati sul phishing dimostra che il fattore umano resta l’anello debole della sicurezza informatica1 2. Se le persone non vengono istruite su come riconoscere e prevenire minacce, gli attaccanti continueranno ad avere vita facile.

2. Formazione come prima linea di difesa

Errori umani, come cliccare su link fraudolenti o inserire credenziali in siti malevoli, sono ancora tra le cause principali di violazioni. Per questo motivo, la formazione mirata del personale è considerata un pilastro essenziale per la prevenzione3 4. Una strategia di difesa efficace non può prescindere dall’educazione continua e dalla simulazione di attacchi reali.

3. Formazione su misura per ogni target

Il Rapporto ribadisce che la cybersecurity deve essere insegnata a tutti, dalle scuole alle aziende, fino ai liberi cittadini 3 5. In particolare, nelle organizzazioni è necessario personalizzare la formazione in base ai diversi ruoli, con un’attenzione particolare ai settori critici e ai manager aziendali, chiamati a prendere decisioni strategiche sulla sicurezza 6.

4. Un investimento che fa risparmiare

Un dato interessante riportato nel Rapporto è tratto dal Cost of a Data Breach Report 2024: la formazione del personale è il fattore che più di tutti contribuisce a ridurre i costi di una violazione. La prevenzione, quindi, non è solo una necessità operativa, ma anche un vantaggio economico. 7

5. Metodologie innovative e approcci diversificati

Il Clusit suggerisce di adottare metodi diversificati per sensibilizzare il pubblico:

  • Formazione obbligatoria e personalizzata nelle aziende
  • Uso di canali digitali e influencer per raggiungere il pubblico più giovane
  • Piattaforme di e-learning con intelligenza artificiale, in grado di adattare i contenuti al comportamento degli utenti
  • Approcci tradizionali per chi ha meno familiarità con la tecnologia

6. Verso uno standard di certificazione globale

Per rendere la formazione più efficace e riconosciuta, il Rapporto auspica la creazione di certificazioni internazionali per le competenze in cybersecurity. Questo aiuterebbe a uniformare le competenze e a facilitare la mobilità professionale.

7. L’integrazione con le normative: la spinta della NIS2

Il Rapporto evidenzia come la direttiva NIS2 renda obbligatoria la Security Awareness Training per molte aziende. La cybersecurity non è più solo una buona pratica, ma un requisito normativo, e chi non si adegua rischia sanzioni e conseguenze operative. 8

8. Settori specifici: OT e nuove tecnologie

Alcuni settori, come quello OT (Operational Technology) e l’energia a idrogeno, sono ancora poco preparati sul fronte della formazione cybersecurity 9. Il Rapporto Clusit richiama l’attenzione sulla necessità di colmare queste lacune con programmi specifici.

9. Il management al centro della cultura della sicurezza

La consapevolezza non deve riguardare solo i dipendenti, ma partire dal management. La NIS2 richiama i vertici aziendali alla responsabilità diretta sulla sicurezza informatica: senza il loro supporto attivo, qualsiasi iniziativa di awareness rischia di rimanere inefficace. 3 10

10. Collaborazione tra pubblico e privato

Infine, il Clusit sottolinea l’importanza della sinergia tra aziende, istituzioni, scuole e università per costruire una cultura condivisa della sicurezza. 5 Le PMI, in particolare, devono essere aiutate a colmare il gap formativo attraverso iniziative di supporto e incentivi. 11

Conclusione

Il Rapporto Clusit 2025 lascia un messaggio chiaro: la formazione e l’awareness non sono un’opzione, ma una necessità strategica per ogni organizzazione. Gli attacchi cyber evolvono, e l’unico modo per difendersi è fare in modo che le persone siano pronte, informate e consapevoli.

Se vuoi scoprire come rendere la formazione cybersecurity più efficace nella tua azienda, contattaci: la sicurezza inizia dalla consapevolezza!

Note:

  1. Pag. 5 del Rapporto: Il numero di incidenti è costantemente in aumento, una tendenza che si registra sin dai primi anni della pubblicazione di questo Rapporto, ma negli ultimi anni la crescita è diventata sempre più veloce. Si fa sempre più urgente assumerne totale consapevolezza a livello di persone, di organizzazioni e di istituzioni. ↩︎
  2. Pag. 44 del Rapporto: Resta ancora fondamentale mantenere alta l’attenzione al tema della consapevolezza delle persone: la crescita del 35% degli incidenti cyber basati sul phishing non è l’87% del 2023, ma è ancora un tasso inaccettabile tanto per le piccole/medie, come per le grandi organizzazioni. ↩︎
  3. Pag. 6 del Rapporto: Oltre che dalle evoluzioni tecnologiche, però, le tecniche di difesa passano anche per lo sviluppo di una cultura della cybersecurity, che dovrebbe portare il management di ogni azienda od organizzazione a tenere al centro delle sue priorità la difesa e la prevenzione cibernetica. Altrettanto importante è lo sforzo per rendere consapevole ogni utente: gli adulti, che spesso non hanno familiarità con la tecnologia e, soprattutto, i ragazzi, intervenendo già nei percorsi scolastici (come anche il Clusit sta già facendo). Nel giro di pochi anni i ragazzi di oggi saranno lavoratori, che potranno portare con sé un bagaglio di conoscenze a vantaggio delle realtà nelle quali opereranno. ↩︎
  4. Pag. 210 del Rapporto: In parallelo, è fondamentale investire nella formazione del personale, poiché molte minacce, come il phishing, si basano su errori umani. Workshop, moduli di e-learning e simulazioni pratiche potrebbero aiutare i dipendenti a riconoscere e prevenire attacchi, aumentando la resilienza anche in aziende con budget ridotti.↩︎
  5. Pag. 44 del Rapporto: Sosteniamo ancora una volta che la Scuola, l’Università, i soggetti pubblici e privati debbano lavorare in sinergia per sviluppare una cultura della sicurezza che sia parte del patrimonio di conoscenze di tutti i cittadini, a partire dalle nuove generazioni. ↩︎
  6. Pag. 224 del Rapporto: In ambito lavorativo, invece, si punterà all’obbligo di formazione personalizzata per tutti i soggetti dell’organizzazione, dai vertici aziendali fino ai singoli dipendenti, con particolare attenzione ai settori critici come Finance, Legal, IT e sviluppo software. ↩︎
  7. Pag. 159 del Rapporto: Indubbio sarà il ruolo della education, sia quella generalista, che quella indirizzata a determinate categorie di utenza, come ad esempio gli utenti di un particolare servizio o ai dipendenti d’azienda. Per la protezione dei dati aziendali questo è quantomai attuale. Il Cost of a Data Breach Report 2024 [22] mostra ormai da qualche anno come l’employee training (formazione del dipendente) sia il fattore che da solo contribuisca maggiormente alla riduzione dei costi nel caso in cui una azienda sia vittima di un data breach. ↩︎
  8. Pag. 307 del Rapporto: Phishing e furto di credenziali sono particolarmente insidiosi perché sfruttano l’errore umano e la fiducia intrinseca nei processi aziendali. Per questo motivo, la formazione sulla sicurezza non è più un’opzione, ma un elemento imprescindibile per una strategia di difesa efficace. Con la NIS2, la Security Awareness Training diventa un requisito normativo e un pilastro essenziale di una postura di sicurezza robusta. ↩︎
  9. Pag. 286 del Rapporto: Il Gap nella Formazione sulla Cybersecurity OT: Il nostro SOC osserva anche un significativo divario nella formazione sulla cybersecurity awareness OT. Mentre la formazione e la simulazione sulla IT security sono uno standard consolidato per l’enterprise IT, l’adozione nel settore OT è notevolmente inferiore.↩︎
  10. Pag. 44 del Rapporto: Non possiamo non considerare che la stessa normativa NIS2 richiama alla responsabilizzazione del vertice aziendale sui temi cyber, ed alla capacità, tramite il presidio dei rischi, di adattare la propria postura ai cambiamenti sempre più repentini dello scenario.↩︎
  11. Pag. 203 del Rapporto: Cybersecurity nelle mPMI: un quadro aggiornato dall’analisi dei dati del PID Cyber Check delle Camere di Commercio.↩︎


Condividi:

Share on LinkedIn Share on Pinterest Share on WhatsApp

Cristian Fassi

Oltre 20 anni di esperienza nel settore IT e nella sicurezza informatica, vive in Italia da 15 anni e parla italiano. Relationship Building, B2B, Solution Selling, Key Account Development, Business Strategy for Cyber Security Awareness.

Lascia un commento

Ricerca

Articoli recenti

Nuvola di tag

bec cambiamento comportamentale ciso consapevolezza consigli cybersicurezza formazione e sensibilizzazione hardening di utenti phishing piano di awareness ransomware responsabile sicurezza informatica sicurezza delle informazioni smartfense whitelist

Blog in Spagnolo

Nel blog in spagnolo abbiamo centinaia di articoli da leggere

Vai al Blog in Spagnolo