Cittadinanza digitale Sicurezza Informatica Sanità digitale Industry 4.0/Innovazione in azienda Infrastrutture digitali Procurement dell'innovazione Fatturazione elettronica Documenti digitali Scuola digitale Cultura e società digitali Mercati digitali Startup Strumenti Sostenibilità e smart city Intelligenza Artificiale In poche parole

strategia

Come creare un programma di security awareness: guida per le aziende

Home Sicurezza digitale
Partecipa al dibattito
Indirizzo copiato

Un programma di security awareness efficace riduce i rischi informatici. È fondamentale analizzare il contesto aziendale, definire obiettivi chiari, coinvolgere i dipendenti e monitorare continuamente l’efficacia per garantire la protezione delle risorse aziendali

Pubblicato il 16 lug 2025
Francesco Gianfreda

consulente atsec information security srl

cybersecurity pmi zero trust network access Cybersecurity in azienda; competenze digitali terrorismo security awareness; cos'è la direttiva Nis2; cybersecurity OT; Enisa Nis2; CSIRT

La sicurezza informatica rappresenta oggi una delle sfide più critiche per le organizzazioni di ogni settore e dimensione. Tuttavia, nonostante l’adozione di soluzioni tecnologiche avanzate, una delle principali vulnerabilità rimane l’elemento umano.

Educare alla cybersecurity: un approccio centrato sulle persone

Per questo motivo, la Security Awareness — ovvero la consapevolezza della sicurezza da parte degli utenti — si configura come un pilastro fondamentale nella difesa delle risorse aziendali.

La Security Awareness non è semplicemente formazione tecnica o un obbligo normativo: è un processo continuo e strategico che mira a trasformare i dipendenti in un primo livello di difesa attiva contro le minacce informatiche. In un’epoca in cui phishing, social engineering, ransomware e altre minacce evolute sono sempre più sofisticate, aumentare la consapevolezza degli utenti significa ridurre drasticamente i rischi e le conseguenze di incidenti di sicurezza.

Proviamo a offrire, quindi, una guida passo dopo passo nella progettazione e nell’implementazione di un programma di Security Awareness, scoprendo quali sono le best practice per implementarlo efficacemente, gli errori da evitare e come adattare i programmi ai diversi profili di utenti, alla luce anche dei principali riferimenti normativi.

Cos’è la Security Awareness: principi e obiettivi

La Security Awareness si può definire come l’insieme di conoscenze, atteggiamenti e comportamenti consapevoli che gli utenti devono acquisire per riconoscere e gestire le minacce alla sicurezza delle informazioni. Secondo il NIST (National Institute of Standards and Technology), la consapevolezza è “la comprensione e la percezione della sicurezza informatica, che guida comportamenti e decisioni”.

È importante distinguere la Security Awareness dalla semplice formazione tecnica: mentre quest’ultima si concentra sull’apprendimento di competenze specifiche, la consapevolezza mira a creare una cultura della sicurezza, promuovendo comportamenti proattivi e una mentalità di responsabilità condivisa.

Gli obiettivi fondamentali di un programma di Security Awareness sono:

Errori da evitare in un programma di security awareness

Nonostante la consapevolezza sia riconosciuta come fondamentale, molti programmi falliscono o non raggiungono i risultati sperati per alcune ragioni ricorrenti.

  • Approccio passivo e non coinvolgente: molte iniziative si limitano a trasmettere contenuti tecnici tramite slide o documenti, senza stimolare l’interesse o la partecipazione attiva degli utenti. Questo porta a una scarsa attenzione e memorizzazione superficiale delle informazioni.
  • Contenuti troppo generici o non contestualizzati: un altro errore frequente è adottare programmi standardizzati, senza adeguare i messaggi al contesto aziendale o ai diversi profili di utenti. Le informazioni devono essere rilevanti e direttamente applicabili alla realtà quotidiana dei destinatari.
  • Mancanza di monitoraggio e misurazione: spesso non vengono definiti indicatori di performance (KPI) o strumenti per valutare l’efficacia del programma. Senza dati concreti è impossibile migliorare o giustificare l’investimento.
  • Non coinvolgere il management: senza il supporto e l’esempio del top management, la Security Awareness rischia di essere percepita come un obbligo burocratico, privo di valore strategico.
  • Ignorare la diversità generazionale e culturale: non considerare le differenze di età, background e competenze digitali può rendere i contenuti poco efficaci o addirittura controproducenti.

Le fasi di progettazione del programma di security awareness

Per realizzare un programma di successo, è fondamentale seguire un percorso strutturato che coinvolge 5 fasi:

  • Analisi del contesto e del target: prima di tutto, è necessario comprendere il livello di conoscenza e le esigenze degli utenti, identificare i rischi specifici dell’organizzazione e definire le priorità. Un’analisi preliminare può avvalersi di survey, interviste e valutazioni del rischio.
  • Definizione degli obiettivi e pianificazione strategica: in base all’analisi del contesto, si definiscono obiettivi chiari e misurabili, come riduzione degli incidenti dovuti a phishing o aumento delle segnalazioni di anomalie. Si pianifica il calendario delle attività, i canali di comunicazione e le risorse necessarie.
  • Esecuzione e coinvolgimento: la fase operativa include la creazione di contenuti multimediali, workshop interattivi, simulazioni (es. phishing campaigns), e-learning e campagne di comunicazione mirate. È cruciale coinvolgere gli utenti con metodi innovativi e gamification per mantenere alta l’attenzione.
  • Monitoraggio e valutazione: utilizzare KPI come il tasso di apertura delle email di sensibilizzazione, il numero di segnalazioni di phishing, o i risultati di test di valutazione permette di misurare i progressi e individuare aree di miglioramento.
  • Miglioramento continuo: la Security Awareness deve essere un processo dinamico, adattandosi alle evoluzioni delle minacce e ai feedback ricevuti. La revisione periodica garantisce efficacia e rilevanza nel tempo.

Nei paragrafi che seguono, analizzeremo le varie fasi in dettaglio indicando i principali elementi da considerare e le attività da effettuare.

Analisi del contesto e definizione del target del programma

L’obiettivo primario dell’analisi del contesto è comprendere a fondo l’ambiente aziendale in cui verrà implementato il Programma di Awareness, con lo scopo di:

  • Individuare le caratteristiche principali del pubblico destinatario;
  • Valutare il loro livello di conoscenza e consapevolezza riguardo alle tematiche di sicurezza;
  • Verificare lo stato di completezza e adeguatezza dell’impianto documentale relativo alla sicurezza ICT.

In tale ambito, la corretta identificazione delle caratteristiche dell’audience è un elemento fondamentale per potenziare l’efficacia del programma, permettendo di definire modalità di erogazione personalizzate, calibrate sulle esigenze specifiche dei singoli individui o dei gruppi destinatari.
Queste informazioni, solitamente disponibili presso la funzione Risorse Umane, possono comprendere, a titolo esemplificativo:

  • Fasce di età;
  • Livello di istruzione (diploma, laurea triennale, laurea magistrale, ecc.);
  • Inquadramento contrattuale (impiegato, quadro, dirigente, ecc.);
  • Posizione organizzativa e responsabilità aziendali;
  • Turnover (neoassunti, dipendenti di lungo corso, trasferimenti interni, ecc.).

I gruppi target del Programma di Awareness vengono generalmente definiti sulla base di criteri quali omogeneità delle mansioni, uniformità delle competenze, modalità comunicative comuni e specifiche necessità legate alla sicurezza informatica.

Altro passaggio cruciale dell’analisi del contento è è l’assessment del livello di conoscenza e consapevolezza in materia di sicurezza informatica da parte dell’audience.
Sono generalmente adottati due metodi, utilizzabili singolarmente o congiuntamente:

  • Questionario online: somministrato all’intera audience o a un campione rappresentativo per dimensioni e composizione. Il questionario, composto da circa 25-30 domande, è progettato per valutare il comportamento digitale degli utenti e il loro grado di responsabilità nella gestione della sicurezza delle informazioni.
  • Simulazioni di Social Engineering: comprendono campagne di phishing e spear phishing mirate.
    • Phishing: invio massivo di email di phishing standard a tutti gli utenti registrati sul dominio aziendale, contenenti elementi riconoscibili che permettono agli utenti attenti di identificare la comunicazione come falsa.
    • Spear Phishing: invio di email personalizzate da un mittente interno apparente, indirizzate a specifici utenti o gruppi. Queste email invitano a cliccare su link che conducono a siti civetta, simulando una richiesta di credenziali di accesso aziendale. Gli oggetti e gli indirizzi email sono plausibili ma contengono segnali sottili che indicano il tentativo di phishing (es. dominio azienda.info invece di azienda.it, oggetto inerente temi aziendali come Trasparenza Privacy o Piano Ferie).

Infine, come ultimo elemento non meno importante, bisogna valutare la presenza in azienda di un impianto documentale di sicurezza completo, chiaro ed esaustivo.
Particolare attenzione deve essere posta all’esistenza di norme comportamentali ben definite, quali:

  • Regole sull’uso dei dispositivi mobili;
  • Politiche per l’utilizzo di Internet in azienda;
  • Linee guida per l’uso della posta elettronica aziendale;
  • Politiche sulle password;
  • Norme relative all’utilizzo dei social network.

Questi documenti rappresentano il riferimento fondamentale su cui deve essere costruita la massima conoscenza e consapevolezza da parte dei dipendenti. L’assenza o la disponibilità di un impianto documentale di sicurezza può vanificare l’efficacia di un programma di Security Awareness.

La progettazione di un programma di security awareness

La progettazione di un programma di Security Awareness rappresenta il primo passo verso la creazione di una cultura della sicurezza condivisa e diffusa all’interno di un’organizzazione. Questo processo deve essere strutturato in modo accurato, attraverso una serie di fasi distinte e complementari, ciascuna delle quali concorre a costruire un’iniziativa solida e sostenibile nel tempo.

Il primo elemento da considerare è la sponsorizzazione da parte del Top Management. Il sostegno attivo della dirigenza non solo legittima il programma, ma ne garantisce anche la visibilità, l’allineamento con gli obiettivi aziendali e le risorse necessarie. Per ottenere questo supporto, è utile presentare un business case che includa un’analisi del Return On Security Investment (ROSI). Questo valore può essere stimato partendo dai dati storici degli incidenti di sicurezza e da una proiezione dell’impatto positivo del programma sui comportamenti dei dipendenti. Il ROSI combina elementi quantitativi e qualitativi, considerando sia i costi diretti di un incidente (ripristino, sostituzione, configurazione) sia quelli indiretti (perdita di produttività, danno reputazionale, violazione della privacy).

Successivamente, è necessario costituire un team di progetto interdisciplinare, che coinvolga esperti di formazione, comunicazione, IT, Risk Management e, ove opportuno, consulenti esterni. Questo gruppo sarà responsabile dell’intero ciclo di vita del programma, dalla progettazione all’implementazione.

La definizione degli obiettivi rappresenta un altro passaggio cruciale. Essi devono essere realistici, misurabili e allineati ai risultati dell’analisi di contesto, con particolare attenzione ai risultati dell’assessment del livello di consapevolezza in tema di sicurezza effettuato. A partire da questa valutazione, è possibile identificare i gruppi target del programma, comprendere le loro esigenze formative specifiche e progettare contenuti e attività adeguati.

Per monitorare i progressi del programma, è fondamentale stabilire indicatori di performance (KPI) e relativi obiettivi (KPO), i quali consentano di misurare sia l’apprendimento sia l’evoluzione della consapevolezza tra i partecipanti. Infine, occorre definire un budget dettagliato che tenga conto dei costi delle attività previste, delle risorse umane coinvolte e degli strumenti necessari.

Esecuzione pratica e comunicazione nel programma di awareness

Una volta completata la fase di progettazione, si passa all’esecuzione del programma, che comprende la produzione dei materiali, la scelta dei metodi formativi e la strategia comunicativa. Il contenuto formativo deve essere costruito utilizzando una combinazione di fonti interne ed esterne: policy aziendali, normative di settore, linee guida, report su incidenti di sicurezza, casi di studio reali o simulati, oltre a informazioni aggiornate sui rischi emergenti e sulle contromisure più efficaci.

Per quanto riguarda i metodi, è consigliabile adottare un approccio multimodale. I tradizionali corsi in aula possono essere affiancati da percorsi e-learning, seminari interattivi, simulazioni di attacco, giochi a premi e materiali promozionali come gadget e poster. Un sito intranet dedicato alla sicurezza, aggiornato regolarmente, può fungere da punto di riferimento per i dipendenti, ospitando documentazione, aggiornamenti e strumenti di autoformazione. Newsletter, avvisi di sicurezza, opuscoli informativi e momenti formativi leggeri ma incisivi sono altrettanto utili per mantenere alto l’interesse e la partecipazione.

La comunicazione gioca un ruolo determinante nel successo del programma. L’utilizzo di un logo e di un motto coerenti in tutte le iniziative rafforza l’identità del progetto e contribuisce a creare una cultura della sicurezza condivisa. Per aumentare l’engagement, è consigliabile diversificare i canali e gli stili comunicativi, privilegiando un tono accessibile e l’uso di immagini, infografiche e video, possibilmente arricchiti con elementi di umorismo.

Monitoraggio e valutazione dell’efficacia del programma

Il monitoraggio rappresenta la fase conclusiva, ma non meno importante, del ciclo di vita del programma. Esso consente di misurare l’efficacia delle attività svolte, individuare aree di miglioramento e fornire evidenze concrete dell’utilità dell’investimento effettuato.

Il primo livello di valutazione riguarda la diffusione del programma: è importante verificare se le attività previste sono state realizzate nei tempi e con le risorse pianificate, utilizzando strumenti di project management come i report di avanzamento e i verbali di riunione.

Un secondo livello è rappresentato dalla diffusione del messaggio. Qui, l’attenzione si concentra sulla partecipazione dell’audience e sulla qualità del recepimento. Sondaggi, questionari e feedback raccolti direttamente dai partecipanti offrono spunti preziosi per comprendere la percezione del programma.

Infine, il parametro più difficile da misurare, ma anche il più significativo, è l’efficacia complessiva del programma. Una sua valutazione può essere fatta attraverso il monitoraggio di indicatori indiretti, come la riduzione degli incidenti di sicurezza, l’incremento delle segnalazioni da parte degli utenti, i risultati di simulazioni controllate e l’evoluzione nel tempo del comportamento degli utilizzatori. Questi elementi permettono non solo di dimostrare i risultati ottenuti, ma anche di orientare le future strategie di awareness.

Nella figura riportata qui di seguito, sono indicati, a livello esemplificativo, alcuni parametri che possono essere misurati per una valutazione dell’efficacia del programma di awareness.

Il ruolo della security awareness nelle normative di settore

La Security Awareness è a tutti gli effetti una misura di sicurezza e, in quanto tale, va correttamente implementata e mantenuta nel tempo. Questo principio è stato riconosciuto e incorporato da tempo negli standard internazionali di riferimento per la sicurezza informatica, che includono attività di sensibilizzazione come misure fondamentali di mitigazione del rischio.

Tra i principali standard che richiamano l’importanza della Security Awareness troviamo, a titolo esemplificativo, la ISO/IEC 27001, il COBIT 5, il framework NIST, lo standard PCI DSS. Questi standard sottolineano come la formazione e la consapevolezza del personale siano elementi imprescindibili per un’efficace gestione della sicurezza.

Negli ultimi anni, anche principali le Autorità regolatorie, sia a livello nazionale che internazionale, hanno riconosciuto il valore della Security Awareness, integrandola come requisito obbligatorio in diverse normative di rilievo per ambiti in cui la sicurezza informatica è cruciale. Ne sono esempi normative importanti come il GDPR e la NIS2.

Tale esigenza è particolarmente sentita nel settore finanziario dove la maggior parte delle truffe si basa sullo sfruttamento delle debolezze del fattore umano sia lato azienda che lato cliente. Non è quindi un caso che normative europee come la PSD2 e il regolamento DORA chiedano alle aziende di implementare periodicamente programmi di security awareness non sono per i propri dipendenti, ma anche per i clienti dei propri servizi.

L’inserimento esplicito della Security Awareness in queste normative rafforza ulteriormente la necessità, per le organizzazioni, di considerarla non come un’opzione accessoria, bensì come una componente strategica e strutturale del proprio sistema di sicurezza.

Miglioramento continuo del programma di awareness

Una volta completata la fase di monitoraggio, il passo successivo è il miglioramento continuo del programma. L’analisi dei dati raccolti consente di identificare aree di debolezza e opportunità di perfezionamento. Questa fase non si limita a correggere gli eventuali errori riscontrati, ma mira a potenziare l’efficacia complessiva dell’iniziativa.

Le modifiche possono riguardare sia gli strumenti didattici utilizzati che l’approccio comunicativo, l’organizzazione logistica o il livello di dettaglio dei contenuti. Ad esempio, un basso tasso di coinvolgimento potrebbe suggerire l’adozione di modalità formative più interattive, mentre una scarsa comprensione dei messaggi potrebbe richiedere una semplificazione del linguaggio o un maggiore uso di esempi pratici.

Il miglioramento dovrebbe anche tener conto dei cambiamenti nel contesto normativo, tecnologico o organizzativo. L’evoluzione delle minacce, l’introduzione di nuove tecnologie o una ristrutturazione interna richiedono un aggiornamento costante dei contenuti e delle priorità del programma. In questo senso, la Security Awareness non deve essere vista come un progetto a termine, ma come un processo ciclico di apprendimento, adattamento e crescita.

Infine, coinvolgere attivamente i dipendenti nella fase di miglioramento, raccogliendo suggerimenti e valorizzando le buone pratiche emerse sul campo, rappresenta un ulteriore passo verso la costruzione di una cultura della sicurezza realmente condivisa.

Il valore strategico del programma di awareness

La Security Awareness si configura oggi come uno strumento essenziale per proteggere le organizzazioni dalle minacce informatiche, che sempre più spesso sfruttano le vulnerabilità umane. Un programma ben progettato, eseguito con efficacia e sottoposto a un monitoraggio rigoroso permette non solo di migliorare i comportamenti individuali, ma anche di rafforzare l’intero sistema di difesa aziendale.

Tuttavia, perché ciò avvenga, è necessario che la Security Awareness venga trattata come un processo strategico e continuo, pienamente integrato nella governance aziendale. Solo così è possibile passare da una cultura della reazione a una cultura della prevenzione, nella quale ogni dipendente si riconosce come parte attiva della sicurezza dell’organizzazione.

In un mondo digitale in continua evoluzione, investire nella consapevolezza delle persone non è più una scelta opzionale, ma una necessità imprescindibile per garantire la resilienza delle imprese e la protezione dei dati e delle informazioni più critiche.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

G
Francesco Gianfreda
consulente atsec information security srl
Seguimi su

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Argomenti

Canali

Con o Senza – Galaxy AI per il business

Tutti
Mobile security
AI per il lavoro
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone

Articoli correlati

  • equalize dossieraggi competenze cybersecurity

  • l'analisi

    Cybersecurity: le (troppe) lacune che l'Italia deve colmare

    20 Gen 2025

    di Gabriele Gobbo

    Condividi
  • specie digitale; legge Ai applicazioni AI e cittadinanza digitale

  • scenario

    Legge AI italiana in vigore: gli impatti su aziende e professionisti

    10 Ott 2025

    di Roberto Marchiori

    Condividi