🚨 Il regolamento NIS2 è ora in vigore. La sensibilizzazione alla sicurezza è ora un obbligo di legge nell'UE.

Verifica della conformità
Iniziare la prova gratuita
Torna al Centro risorse

La guida definitiva security awareness per il 2026

Informazioni su NIS2

Questa è una guida SUPER dettagliata alla formazione sulla consapevolezza della sicurezza per il 2026.

In questo nuovo articolo scoprirete che:

  • L'importanza di security awareness
  • I diversi tipi di formazione security awareness
  • I modi migliori per coinvolgere la vostra organizzazione
  • I modi in cui noti marchi olandesi formano i propri dipendenti

Immergiamoci subito.

Che cos'è la formazione su security awareness ?

Security awareness è una formazione che mette il personale in grado di riconoscere ed evitare le minacce informatiche che possono incontrare sul lavoro o nella vita privata. Un buon programma di formazione sulla sicurezza sensibilizza il personale su temi quali phishing, software maligni (malware), social engineering e altri pericoli del mondo digitale.

Security awareness La formazione può riguardare politiche o normative specifiche, come l'HIPAA, o essere più generale. La formazione può assumere diverse forme, da un corso di aggiornamento annuale a una formazione continua erogata su base regolare.

Perché la formazione su security awareness è così importante?

Fino al 95% di tutti gli hack e delle fughe di dati sono causati da errori umani. Dal cliccare su un link di phishing all'utilizzo di password deboli, gli errori commessi dagli esseri umani sono spesso all'origine della criminalità informatica. Ecco perché è fondamentale formare i dipendenti affinché imparino a riconoscere e segnalare le minacce informatiche.

L'importanza della formazione su security awareness è un tema caldo da anni. Non tutti i professionisti della sicurezza la considerano necessaria, in quanto ritengono che non si possa escludere l'errore umano. Credono nelle misure tecnologiche per garantire la sicurezza anche quando si verificano errori umani.

Noi di Guardey crediamo in una combinazione di entrambi. Se è vero che la formazione non può garantire la sicurezza, siamo consapevoli che nemmeno la tecnologia può farlo. Non esiste un filtro antispam al mondo che garantisca di catturare tutte le phishing mail. Per quell'1% di phishing che riesce a superare le vostre difese tecnologiche, volete che i vostri dipendenti siano consapevoli dei pericoli di phishing.

Ci sono molte minacce informatiche che non possono essere prevenute dalla tecnologia. Pensate al social engineering della vita reale, quando una persona entra in ufficio e convince la reception di essere un appaltatore che ha bisogno di accedere ai server. Situazioni come queste possono essere prevenute solo se tutti all'interno dell'organizzazione hanno un alto senso di security awareness.

Un'introduzione alle minacce informatiche più comuni

Phishing, vishing, smishing e quishing

Phishing è l'uso di messaggi di posta elettronica per attaccare un obiettivo. Phishing email fingono di provenire da qualcuno di cui l'obiettivo si fiderebbe normalmente, come un cliente o un collega, o da un'entità affidabile come una banca o un rivenditore online. A volte l'obiettivo di un'e-mail phishing è quello di indurre il destinatario a scaricare un malware. Più generalmente, però, l'obiettivo è ottenere informazioni sensibili, come le credenziali di accesso a un servizio di online banking o informazioni di identificazione personale come il numero di previdenza sociale.

Un grafico che mostra la crescita degli attacchi a phishing nel corso degli anni.

Il vishing è un attacco simile che utilizza chiamate vocali e videochiamate, mentre lo smishing utilizza SMS e messaggi di testo. Lo spear phishing è un attacco mirato a un individuo specifico, come un dirigente di alto livello o qualcuno con accesso all'IT. In questi casi, l'hacker spesso utilizza tecniche di ingegneria sociale per far credere al bersaglio che il messaggio sia autentico. Il quishing si riferisce all'uso di codici QR che inducono i bersagli a visitare siti web dannosi o a trasferire denaro direttamente ai criminali.

Malware

Il malware è un software dannoso diffuso dai criminali informatici. Può infettare singoli computer e altri dispositivi o intere reti. Esistono diversi tipi di malware. Ecco alcuni esempi:

I virus

I virus sono programmi auto-replicanti progettati per causare danni a un sistema, cancellando dati o introducendo ulteriori vulnerabilità che possono essere sfruttate.

Cavalli di Troia

I cavalli di Troia sono programmi mascherati da software legittimo ma che causano danni al sistema. Spesso i cavalli di Troia si nascondono inosservati nei sistemi informatici per un lungo periodo, rubando informazioni e inviandole ai criminali informatici. Un tipo comune di cavallo di Troia è il keylogger. Questo registra tutte le sequenze di tasti immesse in un computer infetto, rivelando potenzialmente password e altre informazioni sensibili. Queste informazioni possono essere utilizzate per altri reati, come il furto di dati e di identità.

Ransomware

Un altro tipo comune di malware è il ransomware. Il ransomware è un malware progettato per ottenere un riscatto dalla vittima. In genere, il ransomware cripta tutti i file di un sistema informatico o di una rete, quindi chiede un riscatto alla vittima in cambio dei mezzi per decifrarli.

I riscatti richiesti sono spesso molto alti, a volte molto più di quanto la vittima possa mai pagare. Anche se il riscatto viene pagato, non c'è alcuna garanzia che l'aggressore fornisca le chiavi di decrittazione. In molti casi, i file crittografati sono persi per sempre. Negli ultimi anni si sono verificati molti attacchi ransomware di alto profilo, come l'attacco 2023 al servizio sanitario nazionale del Regno Unito.

Il ransomware è in aumento a livello internazionale e l'entità dei pagamenti dei riscatti è in crescita.

Pagamenti di riscatto per trimestre

Siti web dannosi

I siti Web dannosi, noti anche come siti di attacco, sono siti Web che ospitano codice dannoso con l'intento di indurre gli utenti a scaricarlo sui loro dispositivi. In alcuni casi, i siti di attacco sono creati per questo scopo specifico. In altri casi, un sito legittimo viene dirottato dai criminali informatici che poi vi inseriscono codice dannoso. Alcuni siti, chiamati siti di attacco drive-by, non richiedono nemmeno che la vittima faccia clic su un link di download o interagisca in alcun modo: la semplice visita al sito è sufficiente per infettare un sistema non adeguatamente protetto.

I siti Web dannosi possono anche imitare siti Web affidabili per indurre gli utenti a inserire le proprie credenziali di accesso, consentendo ai criminali di accedere agli account delle vittime.

Attacchi USB

I supporti rimovibili, come le unità USB, possono essere facilmente utilizzati come vettore di codice maligno. In alcuni casi, un criminale può ottenere l'accesso fisico ai dispositivi di un'organizzazione; più spesso, gli aggressori lasciano le chiavette USB infette dove il personale inconsapevole può trovarle.

Per un aggressore è banale procurarsi un'unità USB con il logo dell'organizzazione bersaglio, o di un'altra entità fidata come un cliente o un fornitore abituale, e lasciarla nei pressi della sede dove verrà prelevata. I dipendenti, curiosi o disponibili, si aspettano che l'unità USB venga collegata a uno dei computer della rete dell'organizzazione per verificarne il contenuto. Una volta collegata, l'unità infetta può depositare il suo carico di malware.

Si noti che qualsiasi dispositivo in grado di memorizzare dati può essere utilizzato per questo tipo di attacco, compresi lettori MP3, fotocamere digitali e smartphone. Un esempio recente è Sogu, una campagna di cyberspionaggio assistita da USB che prende di mira diversi settori.

Tutti questi attacchi possono essere devastanti per un'organizzazione. È possibile ridurre al minimo le probabilità di essere colpiti da un attacco di questo tipo con un'adeguata formazione su security awareness per i dipendenti e i proprietari dell'azienda. Quando il personale di un'organizzazione è consapevole dei rischi e di come evitarli, passa dall'essere un punto di rottura a un firewall umano.

E l'elenco continua

Le minacce informatiche sopra citate sono tra le più diffuse, ma i criminali informatici hanno molti metodi per rubare dati preziosi. Con il passare del tempo, i loro metodi migliorano e sono più difficili da notare per un occhio inesperto. Soprattutto con l'aumento dell'intelligenza artificiale, i diversi tipi di minacce informatiche sembrano illimitati.

I diversi tipi di formazione security awareness

Esistono diversi modi per formare i vostri dipendenti. Di seguito ne illustreremo alcuni tra i più utilizzati.

Corsi annuali

Molte organizzazioni si affidano ancora a corsi di formazione annuali per preparare il personale ad affrontare le minacce informatiche. La formazione annuale dei dipendenti su security awareness presenta due problemi principali. In primo luogo, il panorama delle minacce digitali è in continua evoluzione. Le nuove minacce si presentano continuamente, non solo una volta all'anno, quindi la formazione annuale diventa rapidamente obsoleta.

Una visualizzazione della curva di dimenticanza

In secondo luogo, le persone semplicemente non conservano le informazioni per un anno intero. Anche lo studente più attento non ricorderà tutto ciò che ha imparato per più di qualche mese. Questo decadimento delle conoscenze significa che le conoscenze del personale diventeranno inevitabilmente meno complete nel corso del tempo, rendendole meno efficaci nell'evitare i rischi.

Formazione in classe

La formazione in classe presenta alcuni vantaggi rispetto ad altri metodi di insegnamento. Crea un ambiente privo di distrazioni in cui i discenti possono concentrarsi sugli argomenti specifici che devono comprendere e interiorizzare. Tuttavia, la formazione in classe ha anche degli svantaggi significativi. Gli studenti devono essere distolti da altre attività, il che significa che rimangono indietro con il lavoro o rinunciano al loro tempo libero.

Formazione in classe

Inoltre, la formazione in classe impone agli studenti un modello uguale per tutti, con alcuni studenti che si sentono annoiati o senza sfide e altri che rimangono confusi dai nuovi argomenti.

E-learning tradizionale

L'e-learning tradizionale cerca di replicare l'apprendimento in classe in un ambiente remoto. Le lezioni sono tenute su una piattaforma come Canvas o Moodle, utilizzando diapositive e altri media. Di solito le lezioni sono preregistrate o tenute dal vivo da un istruttore. Sebbene l'e-learning tradizionale sia più flessibile e scalabile rispetto all'apprendimento in classe, presenta alcuni degli stessi svantaggi. L'apprendimento tende a essere passivo, con un'interattività limitata e un coinvolgimento o una ritenzione inferiori alla media.

Formazione gamificata

La formazione gamificata su security awareness offerta da fornitori come Guardey è una soluzione moderna. È simile all'approccio adottato dalle app per l'apprendimento delle lingue come Duolingo. Invece di ricevere una grande quantità di informazioni una volta all'anno, o in classi discrete con un'interazione limitata, gli studenti ricevono un flusso costante di corsi brevi e facilmente digeribili.

Esempio di sfida di consapevolezza Guardey phishing

Con Guardey, gli utenti ricevono una sfida settimanale che richiede circa 3 minuti per essere completata. Durante la sfida, imparano a conoscere le minacce informatiche come phishing, il malware, le password deboli e l'intelligenza artificiale. Ottenendo buoni risultati durante le sfide, possono ottenere punti per la classifica dell'organizzazione. La competizione amichevole tra colleghi ha dimostrato di tenere gli utenti impegnati.

Rendendo l'esperienza di apprendimento un gioco, gli utenti sono intrinsecamente motivati a continuare a giocare. Sia che si tratti di raggiungere il primo posto della classifica, sia che si tratti di continuare la propria striscia di settimane consecutive di gioco, sia che si tratti semplicemente di migliorare il proprio punteggio.

Come coinvolgere la vostra organizzazione nella formazione su security awareness

Avete deciso che l'apprendimento gamificato è la soluzione ideale per le esigenze di formazione sulla sicurezza della vostra organizzazione. Avete trovato alcuni ottimi prodotti che soddisfano tutti i vostri requisiti. Ora arriva la parte difficile: convincere la vostra organizzazione ad adottare una nuova soluzione di formazione.

Le persone possono essere riluttanti a fare il grande passo verso la formazione sulla sicurezza basata sui videogiochi per diversi motivi. Dovrete rispondere a molte domande. Che cos'è security awareness? Quali sono i vantaggi per l'organizzazione? Chi ha già frequentato un corso annuale di cybersecurity potrebbe pensare di non avere nulla da guadagnare da una formazione continua. I manager e i dirigenti potrebbero ritenere che il loro personale sia troppo sveglio per lasciarsi ingannare da un'e-mail di phishing o da una misteriosa chiavetta nel parcheggio. Ecco alcune idee che possono aiutare a persuadere le persone e a coinvolgerle.

Organizzare una settimana security awareness : un evento divertente e coinvolgente security awareness può aiutare le persone a entusiasmarsi per la cybersecurity e a desiderare di saperne di più.

Eseguire una simulazione di spear phishing: una simulazione realistica di spear phishing che prende di mira persone chiave può aiutare a dimostrare che chiunque nella vostra organizzazione potrebbe essere vulnerabile.

Reclutate un oratore ospite: Un oratore esperto può aiutare le persone ad avvicinarsi al vostro punto di vista in modo più efficace rispetto alle informazioni astratte. Potrebbe trattarsi di una vittima del crimine informatico, di un esperto di sicurezza o persino di un hacker etico "white hat".

Come le organizzazioni olandesi fanno formazione security awareness

Ecco alcuni esempi di organizzazioni olandesi che hanno implementato con successo la formazione su security awareness per i propri dipendenti.

EyeOn

Il team di Eyeon

EyeOn è un'azienda specializzata in previsioni e pianificazione che aiuta le aziende internazionali a gestire le sfide della supply chain. EyeOn è responsabile di una grande quantità di dati delle aziende clienti, che devono essere gestiti in modo sicuro. Ha adottato una soluzione di formazione gamificata sulla cybersecurity per assicurarsi che il suo personale fosse all'altezza della sfida e per allineare la sua sicurezza ai requisiti della certificazione ISO27001.

Hanno introdotto il nuovo programma di formazione tra i dipendenti con quella che hanno chiamato la settimana security awareness . "Abbiamo iniziato ogni giorno con un'intervista di 15 minuti, che abbiamo chiamato "safety catch-up". Ogni giorno aveva un tema specifico. Il primo si chiamava 'dalla scrivania alla destinazione'. Si trattava di misure di sicurezza durante i viaggi, come l'uso di uno schermo di sicurezza, la conservazione sicura del computer portatile e così via. Un altro tema riguardava i dati confidenziali, che abbiamo chiamato "come non finire nei guai con la SEC"".

Priore

L'edificio degli uffici di Priore

Priore offre servizi di consulenza contabile e fiscale. Con la responsabilità delle informazioni finanziarie sensibili dei clienti, la sicurezza informatica è di vitale importanza per Priore. Priore voleva mantenere sempre un alto livello di security awareness tra il suo personale. Per questo è passata da un corso annuale di cybersecurity a una soluzione che garantisse un apprendimento continuo: Guardey.

"L'80% dell'organizzazione ha iniziato subito a impegnarsi attivamente dopo la prima e-mail introduttiva. Dopo un mese o due, tutti, a parte 1 o 2 persone, usavano Guardey ogni settimana. Tutto ciò è dovuto alla motivazione intrinseca e alla comprensione dell'importanza di security awareness. Non ci sono incentivi come premi mensili o altro, quindi possiamo ancora provare se la partecipazione dovesse rallentare".

Konot

KONOT

KONOT è una fondazione educativa che fornisce istruzione attraverso 22 scuole primarie olandesi. L'organizzazione aveva bisogno di una soluzione di formazione su security awareness che la allineasse al GDPR. Essendo già stata bersaglio di numerosi attacchi informatici falliti, KONOT aveva bisogno di un prodotto di formazione che mantenesse il personale sempre informato e consapevole. Hanno adottato Guardey per offrire una formazione e una valutazione continue, per garantire la coerenza security awareness.

KONOT ha da poco lanciato Guardey e i primi riscontri stanno arrivando dagli utenti. "Il primo feedback che abbiamo ricevuto è entusiasta. Guardey li ha resi davvero competitivi, il che è un buon segno", afferma Martijn. "È molto accessibile, cosa che apprezzo. Alcuni erano meno entusiasti del concetto di consapevolezza della formazione prima di iniziare, ma valuteremo presto con loro". Frieda prosegue: "Non sono affatto una giocatrice, ma ho notato che continuavo ad affrontare nuove sfide. È davvero facile superare le domande".

Vini Delta

Vini Delta è un grossista di vini. Quando il loro assicuratore ha sottolineato l'importanza della formazione su security awareness e dell'imminente direttiva NIS2, l'amministratore delegato di Delta Wines ha agito. Per coinvolgere tutti, è stata condotta una simulazione su phishing che ha fornito un prezioso campanello d'allarme a molte persone. Dopo aver ricevuto un'e-mail convincente, molti dipendenti si sono dimostrati molto ricettivi nei confronti di un'ulteriore formazione.

"Stiamo ricevendo molti feedback positivi. Molti dipendenti iniziano subito a giocare con la nuova sfida settimanale una volta ricevuta l'e-mail che è pronta. Alcuni di loro sono seriamente delusi quando sbagliano una domanda. Ha dato il via a diverse discussioni interne sulla sicurezza, il che è fantastico".

Marchio di Amsterdam

Gezamenlijke Brandweer Amsterdam (Vigili del Fuoco Uniti di Amsterdam) è un importante dipartimento dei vigili del fuoco, incaricato di rispondere agli incidenti in un'area industriale di Amsterdam. Se un dipartimento dei vigili del fuoco è vittima di un attacco informatico, i risultati potrebbero essere catastrofici. Il dipartimento doveva inoltre soddisfare i requisiti NIS2. Il team leader Raymond Pikee voleva una soluzione di formazione ricorrente che fosse divertente e coinvolgente.

Nella classifica, i vigili del fuoco possono vedere quanto stanno facendo bene rispetto ai colleghi, il che aumenta la competizione interna. "Siamo un gruppo competitivo, quindi questo è un tocco di classe. Questi elementi di gamification rendono divertente giocare a Guardey, il che ci aiuta anche a ricordare le informazioni".

Come iniziare a implementare la formazione su security awareness

Ora che avete compreso le basi dell'addestramento su security awareness , potete iniziare a cercare l'ente di formazione più adatto alle vostre esigenze.

Guardey offre corsi di formazione security awareness gamificati che mirano a mantenere gli utenti impegnati per lunghi periodi di tempo. Grazie all'uso di classifiche, risultati, strisce di successo e altri elementi di gamification, gli utenti percepiscono un senso di competizione amichevole che aumenta la partecipazione.

Iniziare una prova gratuita di 14 giorni

Provate gratuitamente la piattaforma di formazione gamificata security awareness di Guardey.

Iniziare la prova gratuita
Dinela Lokvancic
Dinela Lokvancic Specialista di marketing Dinela mantiene aggiornata la presenza online di Guardey. Crea contenuti che rendono accessibili argomenti complessi relativi alla sicurezza informatica e aiuta le organizzazioni a comprendere perché la formazione sulla consapevolezza della sicurezza è importante per i loro team.
PRONTO A INIZIARE?

Unisciti alle oltre 500 aziende che già proteggono i propri team con Guardey

Inizia la tua prova gratuita di 14 giorni
14 giorni gratis · Nessuna carta di credito richiesta · Accesso completo · Configurazione in 5 minuti
Oppure prenota una demo personalizzata