- Il 78% dei CISO dichiara di voler ripensare il proprio approccio alla consapevolezza della sicurezza informatica
- Il 74% afferma che i rapporti sulla sicurezza creano dei cruscotti, ma non una comprensione sufficiente per migliorare il processo decisionale.
- Solo l’11% è in grado di collegare con sicurezza l’attività di sensibilizzazione alla riduzione degli incidenti o dei quasi incidenti.
- I CISO si stanno orientando verso strategie di sensibilizzazione alla sicurezza incentrate sui comportamenti, specifiche per i ruoli e misurabili.
Da qualche anno è in atto un cambiamento nella sicurezza informatica e la maggior parte dei CISO lo ha percepito in un modo o nell’altro. Molti hanno cercato di aggirare il problema, modificando i programmi, aggiungendo nuovi strumenti e perfezionando la messaggistica, ma è sempre più difficile ignorare che qualcosa di più fondamentale deve cambiare.
Il modo in cui ci siamo approcciati alla consapevolezza della sicurezza non corrisponde più al modo in cui si verificano i rischi.
Nel nostro recente rapporto Rethinking Human Cyber Risk: How CISOs can transform security awareness training to drive measurable risk reduction ( Ripensare il rischio informatico umano: come i CISO possono trasformare la formazione sulla sicurezza per ridurre i rischi in modo misurabile), basato su una ricerca condotta su 200 CISO in tutto il Regno Unito e in Europa, questo cambiamento emerge chiaramente. Il 78% dichiara di voler ripensare il proprio approccio alla sensibilizzazione alla sicurezza. Non per modificarlo o migliorarlo leggermente, ma per cambiarlo davvero. Questo naturalmente fa sorgere la domanda: perché proprio ora, soprattutto quando la consapevolezza è stata una parte fondamentale delle strategie di sicurezza per così tanto tempo?
La risposta risiede in una combinazione di fattori che si sono accumulati nel tempo. Le minacce si sono evolute rapidamente, le aspettative della leadership sono aumentate e il divario tra ciò che i programmi di sensibilizzazione offrono e ciò di cui le organizzazioni hanno effettivamente bisogno è diventato molto più visibile.
Sta diventando chiaro che non si tratta di apportare piccoli miglioramenti ai programmi e ai controlli esistenti, ma di qualcosa di più fondamentale. Per molte organizzazioni, questo significa ripensare completamente il modello e adottare un approccio diverso alla consapevolezza della sicurezza informatica.
Il paesaggio delle minacce è cambiato più velocemente della consapevolezza
La natura delle minacce informatiche oggi è molto diversa da quella per cui molti programmi di sensibilizzazione alla sicurezza erano stati originariamente concepiti. Gli attacchi non sono più facili da individuare o limitati a generiche e-mail di phishing. Sono più mirati, più convincenti e molto più in linea con il modo in cui le persone lavorano.
L’intelligenza artificiale ha accelerato questo cambiamento. È ora possibile generare messaggi che suonano naturali, riflettono accuratamente il tono e fanno riferimento al contesto del mondo reale, rendendoli molto più difficili da individuare. Infatti, il 46% dei CISO che si sentono meno sicuri nella gestione del rischio informatico umano rispetto a un anno fa, indicano direttamente il social engineering abilitato dall’intelligenza artificiale come una delle ragioni principali. Allo stesso tempo, l’ingegneria sociale è diventata più sofisticata, utilizzando informazioni pubblicamente disponibili per creare scenari che sembrano familiari e credibili.
Questo crea una sfida perché i dipendenti spesso si affidano a una guida creata per un altro tipo di minaccia. Riconoscere una grammatica scorretta o una formattazione sospetta non è più sufficiente quando il messaggio sembra legittimo. Di conseguenza, il divario tra la formazione sulla sicurezza e la realtà continua ad aumentare, anche nelle organizzazioni che investono molto nella sensibilizzazione.
Perché gli approcci tradizionali alla sensibilizzazione sono in difficoltà
“Il 74% dei CISO afferma che il loro reporting produce dashboard, ma non abbastanza chiarezza per prendere decisioni migliori”.
Nel corso degli anni la maggior parte delle organizzazioni si è impegnata a fondo nella sensibilizzazione alla sicurezza, ma il modo in cui viene misurato il successo non è cambiato allo stesso ritmo. I tassi di completamento, le firme sulle policy e i risultati delle simulazioni di phishing costituiscono ancora la spina dorsale di molti programmi: il 70% dei CISO afferma che i propri sistemi di misurazione si basano su queste metriche basate sulle attività. Il problema è che non sempre riflettono il comportamento delle persone in situazioni reali, motivo per cui il 74% afferma che i loro report producono cruscotti, ma non abbastanza chiari per prendere decisioni migliori.
C’è una differenza tra la comprensione di un buon comportamento in materia di sicurezza e la sua applicazione sul momento, in particolare quando una persona è impegnata, sotto pressione o ha a che fare con priorità contrastanti. I programmi di sensibilizzazione spesso si collocano al di fuori di questa realtà e vengono erogati come attività a sé stanti piuttosto che essere integrati nel processo decisionale quotidiano.
C’è anche il problema della rilevanza. Una formazione generica sulla sicurezza può aumentare le conoscenze di base, ma raramente riflette i rischi specifici che le persone affrontano nei loro ruoli. Chi lavora nel settore finanziario, in quello delle risorse umane o in quello informatico si troverà di fronte a scenari molto diversi, ma spesso riceve gli stessi contenuti formativi. Nel corso del tempo, questo scollamento rende più difficile influenzare il comportamento in modo significativo, come dimostrano i dati: tre quarti dei CISO affermano che la rilevanza della formazione è più importante della frequenza della formazione quando si tratta di promuovere un comportamento sicuro.
Le aspettative dei consiglieri si stanno muovendo più velocemente delle capacità
“Solo l’11% dei CISO è in grado di collegare con sicurezza la propria attività di sensibilizzazione alla riduzione degli incidenti o dei quasi incidenti”.
Allo stesso tempo, le aspettative dei CISO stanno aumentando. La sicurezza informatica è ormai stabilmente posizionata come un rischio aziendale e i consigli di amministrazione vogliono una comprensione più chiara di come tale rischio viene gestito, in particolare quando si tratta di comportamenti umani. In effetti, il 77% dei CISO afferma che ora ci si aspetta che dimostrino il ROI in modo più rigoroso per le iniziative sul rischio umano che per i controlli tecnici, alzando il livello di misurazione e di giustificazione dei programmi di sensibilizzazione.
Non è più sufficiente dimostrare che la formazione sulla sicurezza è stata completata. I leader vogliono sapere se funziona, dove il rischio è maggiore e cosa si sta facendo per ridurlo. Questo cambiamento di aspettative sta avvenendo rapidamente e, in molti casi, sta superando le capacità dei programmi di sensibilizzazione tradizionali.
Questo crea una posizione difficile per i CISO. Viene chiesto loro di fornire prove dell’impatto, ma le metriche disponibili non sempre raccontano la storia completa. Sebbene molte organizzazioni abbiano accesso a grandi quantità di dati, il 74% afferma che la loro reportistica produce dei cruscotti ma non una chiarezza sufficiente per prendere decisioni migliori, e solo l’11% è in grado di collegare con sicurezza la propria attività di sensibilizzazione alla riduzione degli incidenti o dei quasi incidenti. Questo divario rende molto più difficile dimostrare il ritorno sugli investimenti o giustificare ulteriori spese.
Il costo dello stare fermi
Continuare con lo stesso approccio di sensibilizzazione alla sicurezza comporta un costo crescente, anche se non è immediatamente visibile per l’organizzazione. Gli incidenti legati al comportamento umano possono portare a perdite finanziarie, controlli normativi e danni alla reputazione, ma oltre a questo c’è un impatto più sottile sul funzionamento delle funzioni di sicurezza.
Quando i programmi di sensibilizzazione non riescono a influenzare completamente il comportamento, i team di sicurezza spesso compensano altrove. Ciò può significare aggiungere altri controlli, aumentare il monitoraggio o rispondere più frequentemente a incidenti che avrebbero potuto essere prevenuti prima. Con il tempo, questo crea ulteriore pressione sulle risorse e limita la possibilità di concentrarsi sui miglioramenti a lungo termine.
Rimanere indietro comporta anche un rischio strategico. Con la continua evoluzione delle minacce, le organizzazioni che non adattano il loro approccio alla consapevolezza avranno sempre più difficoltà a colmare il divario. Ciò che oggi sembra gestibile può diventare rapidamente un problema molto più grande con l’aumentare della complessità.
Ripensare la consapevolezza della sicurezza informatica per il panorama odierno delle minacce
È chiaro che molti CISO riconoscono la necessità di un cambiamento: il 79% dichiara di voler adottare un approccio più strategico alla gestione del rischio umano. Si tratta di capire come questo si traduca in pratica e in che modo la consapevolezza della sicurezza informatica debba evolversi per sostenerlo.
Evolvere non significa ripartire da zero, né eliminare del tutto la formazione sulla sicurezza. Si tratta di spostare l’attenzione dalla misurazione dell’attività a quella del comportamento, e da interventi una tantum a qualcosa di più continuo e integrato nel modo di lavorare delle persone.
Ciò richiede la comprensione del modo in cui le persone prendono le decisioni in scenari reali, dove tali decisioni introducono il rischio e come questo cambia nel tempo. Significa anche orientarsi verso approcci più contestuali e specifici per il ruolo, in cui la formazione riflette le situazioni che gli individui possono incontrare.
Per molte organizzazioni, questo richiede un modo diverso di pensare alla consapevolezza. Non si tratta più di fornire contenuti, ma di creare un ambiente in cui il comportamento sicuro sia più facile, più intuitivo e meglio supportato. Questo cambiamento consente ai CISO di andare oltre le metriche di superficie e di ottenere una visione più chiara di come il rischio si sviluppa all’interno dell’organizzazione.
Un momento decisivo per la consapevolezza informatica
Il motivo per cui il 2026 sembra essere diverso è che diverse pressioni si sono sommate nello stesso momento. Le minacce sono più avanzate, le aspettative sono più alte e i limiti degli approcci esistenti sono sempre più difficili da ignorare. L’intelligenza artificiale sta accelerando questa pressione: il 46% dei CISO che si sentono meno fiduciosi nel loro approccio alla sicurezza rispetto a 12 mesi fa citano l’ingegneria sociale abilitata dall’intelligenza artificiale come fattore chiave.
I CISO riconoscono già la necessità di un cambiamento, ma ora l’opportunità è quella di trasformare questo riconoscimento in azione. Le organizzazioni che evolvono il loro approccio saranno meglio posizionate per comprendere e ridurre il rischio umano, mentre quelle che continuano a seguire lo stesso modello potrebbero avere sempre più difficoltà a tenere il passo.
Non si tratta di reagire a una singola tendenza. Si tratta di rispondere a un cambiamento più ampio nel modo in cui il rischio informatico si sviluppa e come deve essere gestito.
Come può aiutarti MetaCompliance
Noi di MetaCompliance ci concentriamo sui comportamenti che stanno alla base dei rischi per la sicurezza, non solo sul completamento dei programmi di formazione.
La consapevolezza informatica deve riflettere il modo in cui le persone lavorano, le decisioni che vengono prese sotto pressione e i punti in cui è più probabile che si manifesti il rischio. Questo significa andare oltre gli approcci tradizionali e costruire programmi di sicurezza che forniscano una visione reale del comportamento, non solo dell’attività.
Aiutiamo le organizzazioni a capire dove esiste il rischio umano, come si evolve e quali sono le misure pratiche da adottare per ridurlo nel tempo. Combinando la conoscenza dei comportamenti con una formazione mirata e pertinente, consentiamo ai responsabili della sicurezza di dimostrare un impatto misurabile e di costruire organizzazioni più forti e resistenti.
Se stai ripensando al tuo approccio alla consapevolezza della sicurezza informatica nel 2026, è il momento di fare il passo successivo.
Leggi il nostro ultimo rapporto per scoprire come le organizzazioni più importanti stanno già iniziando a ripensare il rischio umano.
Domande frequenti sulla sicurezza informatica
Cos'è la consapevolezza della sicurezza informatica e perché è importante?
La consapevolezza della sicurezza informatica si riferisce alla capacità dei dipendenti di comprendere, riconoscere e rispondere alle minacce informatiche nel loro lavoro quotidiano. È importante perché la maggior parte degli incidenti di sicurezza coinvolge il comportamento umano, che si tratti di cliccare su un link di phishing, di gestire male i dati o di prendere una decisione sotto pressione. Una forte consapevolezza aiuta a ridurre i rischi, consentendo alle persone di individuare e rispondere adeguatamente alle minacce prima che si aggravino.
Perché le organizzazioni stanno ripensando la formazione sulla sicurezza nel 2026?
Molte organizzazioni stanno ripensando il loro approccio alla formazione sulla sicurezza perché i metodi tradizionali faticano a tenere il passo con le minacce moderne. Gli aggressori utilizzano l’intelligenza artificiale e tecniche di social engineering più avanzate, mentre i programmi di sensibilizzazione spesso si basano su contenuti statici e metriche di base. Di conseguenza, i CISO sono alla ricerca di approcci più efficaci, incentrati sul comportamento, che riflettano meglio i rischi del mondo reale.
Quali sono le maggiori difficoltà dei programmi tradizionali di sensibilizzazione alla sicurezza?
Una delle sfide più grandi è che i programmi tradizionali tendono a concentrarsi sul completamento della formazione piuttosto che sul comportamento. Metriche come i tassi di completamento della formazione o i risultati dei test di phishing non sempre mostrano come le persone agiscono in situazioni reali. Inoltre, spesso manca la pertinenza, con contenuti generici che non riflettono ruoli specifici o decisioni quotidiane, rendendo più difficile guidare un cambiamento significativo.
Come possono i CISO misurare l'efficacia della consapevolezza informatica?
Per misurare l’efficacia è necessario andare oltre le metriche di partecipazione di base e analizzare i comportamenti. Ciò include la comprensione di come i dipendenti rispondono agli scenari del mondo reale, dove è più probabile che si verifichino i rischi e come cambia il comportamento nel tempo. Gli approcci più avanzati utilizzano dati e analisi per fornire visibilità sui rischi umani e dimostrare miglioramenti misurabili.
Che cos’è l’Human Risk Management nella cybersicurezza?
La gestione del rischio umano è un approccio che si concentra sulla comprensione e sulla riduzione dei rischi creati dal comportamento umano all’interno di un’organizzazione. Invece di considerare le persone come l’anello debole, analizza il modo in cui vengono prese le decisioni, cosa le influenza e come le organizzazioni possono favorire risultati migliori. Combina dati comportamentali, formazione mirata e miglioramento continuo per ridurre l’esposizione alle minacce informatiche.