Come la cybersecurity awareness migliora gli ESG

Il contesto della cybersecurity awareness

Nonostante l’evoluzione continua delle tecnologie di difesa, dall’uso avanzato dell’Intelligenza artificiale nei sistemi di detection alle soluzioni zero trust (basate sul principio “mai fidarsi, verificare sempre”) per cui ogni accesso, interno o esterno, deve essere autenticato, autorizzato e continuamente monitorato, l’errore umano si conferma come uno dei principali vettori di compromissione nei contesti aziendali compromettendo molto spesso la produttività e la tranquillità aziendale.

Il ruolo chiave dei comportamenti umani

Le statistiche globali parlano chiaro: oltre l’80% degli incidenti informatici ha una componente riconducibile a comportamenti umani non corretti, come phishing, cattiva gestione delle credenziali, configurazioni errate o scarsa consapevolezza delle policy di sicurezza.

In un ecosistema digitale sempre più interconnesso, la cybersecurity awareness rappresenta un pilastro fondamentale per la resilienza operativa.

Secondo il Rapporto Clusit 2025, il fattore umano continua a rappresentare una delle principali vulnerabilità nella sicurezza informatica. Nel 2024, il phishing e il social engineering, che sfruttano l’inganno e la manipolazione degli utenti, sono aumentati del 33% a livello globale, confermando la centralità dell’elemento umano come vettore di attacco.

I rischi legati a phishing e il social engineering

In Italia, nel primo semestre del 2024, il phishing e il social engineering hanno costituito il 7% degli attacchi informatici. Sebbene si tratti di una leggera diminuzione rispetto al passato, queste tecniche continuano a rappresentare una minaccia significativa per le organizzazioni.

A livello internazionale, il Data Breach Investigations Report del 2024 ha rilevato che due terzi delle violazioni nella regione EMEA (Europa, Medio Oriente e Africa) sono riconducibili a errori umani non intenzionali, come clic su link malevoli o cadute in trappole di social engineering.

L’importanza di investire su percorsi di formazione verso la cybersecurity awareness

Questi dati evidenziano l’importanza di investire in programmi di formazione e sensibilizzazione per rafforzare la consapevolezza degli utenti e ridurre la superficie di attacco legata al comportamento umano.

Ma come si crea un ambiente in cui la conoscenza e il contrasto agli attacchi informatici possano crescere e progredire diffondendo una cultura aziendale che permei l’intera organizzazione e migliori, di riflesso, perfino i parametri ESG?

Che cosa si intende per cybersecurity awareness

Con il termine cybersecurity awareness (consapevolezza della sicurezza informatica) si intende il livello di conoscenza, comprensione e attenzione che una persona o un’organizzazione ha rispetto ai rischi informatici e alle buone pratiche per prevenirli.

Consapevolezza delle minacce digitali e conoscenza dei comportamenti corretti per agire in sicurezza

In pratica, significa essere consapevoli delle minacce digitali (come phishing, malware, ransomware, ingegneria sociale) e sapere come comportarsi in modo sicuro online.

Tra i componenti principali della cybersecurity awareness possiamo sicuramente indicare la conoscenza delle minacce riuscendo a riconoscere e-mail sospette, Link malevoli, truffe online o software dannosi.

Adottare e stimolare l’adozione di comportamenti sicuri

Attuare comportamenti sicuri come usare password complesse, evitare reti Wi-Fi non protette, diffondere la cultura aziendale adottando piani di formazione periodica sulla cybersecurity awareness dei dipendenti ed effettuando simulazioni di attacco per testare l’apprendimento dei discenti rientrano a pieno titolo tra le pratiche che andrebbero puntualmente ricordate ed effettuate, all’interno delle aziende.

Cybersecurity awareness come primo livello della sicurezza informatica

Concretamente la cybersecurity awareness è una difesa fondamentale, spesso considerata il primo livello di protezione nella sicurezza informatica.

Anche i sistemi più sicuri possono fallire se le persone non sanno riconoscere i rischi. Un solo clic sbagliato su un’e-mail può compromettere l’intera infrastruttura aziendale.

La sicurezza informatica contribuisce in modo sostanziale a creare un ambiente di lavoro sereno e produttivo, perché riduce l’ansia, migliora la fiducia nei sistemi aziendali e tutela sia l’azienda che i dipendenti.

La conoscenza della cybersecurity per i parametri ESG

Per far crescere efficacemente la conoscenza e il contrasto agli attacchi informatici all’interno di un’organizzazione, è necessario sviluppare una cultura della cybersecurity che sia parte integrante dell’identità aziendale. Questo processo non si limita all’adozione di tecnologie, ma richiede un cambiamento culturale trasversale, che coinvolga persone, processi e governance.

Il punto di partenza è la consapevolezza a livello dirigenziale. Quando il top management riconosce la sicurezza informatica come elemento strategico e non meramente tecnico, essa diventa parte integrante della visione aziendale e viene allineata anche agli obiettivi ESG. Infatti, una solida postura di cybersecurity tutela dati, stakeholder e reputazione, rafforzando in particolare i pilastri Social e Governance della sostenibilità.

Una formazione continua per garantire la cybersecurity awareness

Una strategia fondamentale può essere quella di investire nella formazione continua. Non bastano corsi una tantum bensì un percorso permanente, adattato ai diversi ruoli aziendali, che includa anche simulazioni di attacco e strumenti interattivi per favorire un apprendimento attivo.

Il comportamento sicuro deve diventare una competenza diffusa, sostenuta da una comunicazione interna trasparente, che incoraggi la condivisione e non la colpevolizzazione in caso di errore.

La tecnologia, sebbene indispensabile, non può essere l’unica risposta. Soluzioni come l’architettura Zero Trust o l’autenticazione multifattoriale devono essere introdotte insieme a iniziative di sensibilizzazione che ne spieghino la logica e i vantaggi. Solo così l’utente percepirà queste misure non come un ostacolo, ma come strumenti di protezione personale e collettiva.

Sicurezza e parametri ESG

Promuovere una cultura di sicurezza consente sicuramente di migliorare anche i parametri ESG (leggi anche L’ESG aiuta la cybersecurity a crescere n.d.r.). La protezione dei dati personali e il rispetto della privacy valorizzano la dimensione sociale, mentre una governance consapevole dei rischi digitali aumenta la trasparenza e l’affidabilità dell’organizzazione.

In sintesi, coltivare la cultura della cybersecurity significa agire su più livelli – strategico, educativo, operativo – e riconoscere che la resilienza informatica non è solo una questione tecnica, ma un fattore abilitante per un’organizzazione responsabile, sostenibile e orientata al futuro.

I fattori chiave della cybersecurity awareness

Se volessimo riassumere in punti ben specifici il percorso da intraprendere per una qualsiasi organizzazione che intenda investire in questi ambiti sarebbe opportuno puntare su questi ambiti:

1. Leadership e Governance: integrare la cybersecurity nella strategia aziendale

2. Formazione continua e personalizzata

3. Comunicazione e trasparenza

4. Tecnologia a supporto, non totale sostituto

5. Collegamento con i parametri ESG

La correlazione tra cybersecurity e parametri ESG

Con queste premesse è facile comprendere che esistono correlazioni interessanti tra la cybersecurity awareness e i parametri ESG soprattutto negli ambiti Social e Governance. Vediamo di seguito quali siano le relazioni dirette e su cui è possibile lavorare migliorando contemporaneamente più parametri aziendali.

Social (S): Formazione e cultura aziendale

Promuovere la cybersecurity awareness migliora la cultura della sicurezza all’interno dell’organizzazione, contribuendo a un ambiente lavorativo più responsabile e consapevole.

Le iniziative di awareness riducono il rischio di violazioni dei dati, un aspetto cruciale per la protezione della privacy di tutti gli stakeholder aziendali elevando la sicurezza dell’intera supply chain.

Su tale elemento, anche i recenti dettami previsti dalla direttiva NIS2 insistono per un controllo più accurato di tutte le catene di fornitura sempre maggiormente interconnesse tra gli operatori che la compongono.

Investire dunque nella formazione continua dei dipendenti in materia di sicurezza informatica non solo riduce il rischio di incidenti, ma promuove anche una cultura aziendale più responsabile e consapevole.

Secondo l’HLB Cybersecurity Report 2024, solo il 24% delle organizzazioni ha programmi di formazione sulla sicurezza informatica in corso, indicando ampi margini di miglioramento. 

Governance (G): Gestione del rischio, Conformità e trasparenza

Le aziende con alta cybersecurity awareness tendono ad avere migliori pratiche di risk management, aspetto chiave del pilastro Governance. Una solida consapevolezza della sicurezza informatica consente alle aziende di identificare e mitigare i rischi cibernetici, migliorando la loro resilienza operativa.

La cybersecurity negli ESG sottolinea che la sicurezza informatica è fondamentale per il successo aziendale, con un’ampia fetta dei CEO che la ritengono essenziale per il business.

Una solida cultura di cybersecurity supporta la conformità normativa (es. GDPR, NIS2) e rafforza la fiducia degli investitori.

Le normative ESG richiedono alle aziende di essere trasparenti riguardo ai loro impatti ambientali, sociali e di governance. La sicurezza informatica è spesso una componente chiave di queste normative, in quanto la protezione dei dati personali e la sicurezza delle informazioni sono regolamentate da leggi a livello locale e globale.

Governance (G): Accountability del board

La presenza di programmi di cybersecurity awareness è spesso legata a una maggiore attenzione alla sicurezza da parte del CdA (Consiglio di amministrazione), il che migliora la governance complessiva.

Il coinvolgimento attivo del Consiglio di amministrazione nelle questioni di cybersecurity è essenziale.

Affrontare questo tema senza il coinvolgimento di esperti può generare un senso diffuso di inadeguatezza e incertezza, spesso non esplicitato ma chiaramente percepibile.

La natura stessa della sicurezza informatica, fortemente tecnica e in continua evoluzione, rende difficile per i membri del CdA comprendere appieno la portata dei rischi, se privi di un interlocutore qualificato. Ne consegue una gestione potenzialmente superficiale del problema, dove le decisioni vengono prese più per adempimento che per reale consapevolezza strategica.

Senza il supporto di figure competenti, c’è il rischio che le discussioni sulla sicurezza si riducano a valutazioni generiche su budget o tecnologie, perdendo di vista l’essenziale: la cybersecurity è un elemento trasversale, che tocca ogni ambito dell’azienda e può determinare, nel bene o nel male, la sua continuità operativa. Trattarla come un problema IT isolato, invece che come un rischio sistemico, espone l’organizzazione a vulnerabilità significative.

Il timore maggiore non è solo quello di subire un attacco, ma di arrivarci impreparati, senza piani adeguati, senza consapevolezza diffusa, senza responsabilità chiare. A quel punto, l’assenza di una governance informata diventa evidente: le decisioni prese in assenza di visione tecnica non reggono alla prova della realtà, e le conseguenze si riflettono sulla reputazione, sulla fiducia del mercato e, nei casi più gravi, sulla responsabilità stessa degli amministratori.

In questo contesto, le titubanze diventano comprensibili. Parlare di cybersecurity senza esperti significa muoversi in un territorio poco familiare, dove ogni parola rischia di essere fraintesa, ogni scelta sottovalutata (considerando ad esempio anche l’impatto della cybersecurity sul bilancio di sostenibilità n.d.r.).

Per superare questa difficoltà, è necessario che il CdA riconosca il proprio limite tecnico non come un ostacolo, ma come un punto di partenza. Solo con l’aiuto di consulenti qualificati o di un referente interno autorevole, le discussioni possono trasformarsi in decisioni consapevoli, capaci di integrare la sicurezza digitale nella visione strategica complessiva dell’azienda.

Environmental (E): Ambiente sotto protezione

La cybersecurity ha un impatto significativo sulla componente ambientale (“E”) dei criteri ESG, influenzando sia positivamente che negativamente le pratiche di sostenibilità ambientale delle organizzazioni.

Da un lato, la protezione delle infrastrutture digitali è fondamentale per garantire la continuità operativa di sistemi critici per l’ambiente, come le reti elettriche intelligenti, le fonti di energia rinnovabile e i sistemi di monitoraggio ambientale. Un attacco informatico a questi sistemi potrebbe interrompere operazioni essenziali, causare danni ambientali e compromettere gli sforzi di sostenibilità.

Dall’altro lato, le pratiche di cybersecurity possono contribuire all’impatto ambientale dei data center attraverso il consumo energetico e l’utilizzo di hardware. L’implementazione di misure di sicurezza, come la duplicazione dei dati per la resilienza, può aumentare l’uso di risorse e l’energia necessaria.

Per mitigare questi impatti, le organizzazioni possono adottare strategie di “green computing“, ottimizzando l’efficienza energetica dei data center e riducendo l’impronta ambientale delle operazioni di cybersecurity.

In sintesi, la cybersecurity svolge un ruolo cruciale nella protezione delle tecnologie ambientali e nella promozione della sostenibilità, ma richiede una gestione attenta per bilanciare la sicurezza digitale con gli obiettivi ambientali.

La sicurezza informatica è fondamentale per lo sviluppo e l’implementazione di tecnologie sostenibili.

Il ruolo della Green Cybersecurity

La “Green Cybersecurity” è emergente, poiché protegge i processi direttamente e indirettamente legati alla gestione e protezione ambientale. Investire in sicurezza informatica può migliorare l’efficienza operativa riducendo il rischio di interruzioni del servizio e perdite di dati, contribuendo così agli obiettivi ambientali.

Mai come ora, ogni scelta, ogni strategia, ogni decisione può essere ottimizzata se, chi ha il potere decisionale, riesce ad avere una vision tale da considerare anche ciò che non è di immediata comprensione ma può creare un valore importante per l’azienda.