L'awareness è una componente importante delle iniziative di cybersecurity di un'azienda, ma è ancora molto sottovalutata. I motivi di questa sottovalutazione sono diversi, culturali e non, e comprendono certamente il fatto che non è affatto semplice mettere in piedi un qualsiasi programma concreto di formazione dei dipendenti sui temi della sicurezza IT.

Tra le realtà che spingono la diffusione delle inizitive di awareness c'è anche ENISA, l'agenzia europea per la cybersecurity. Secondo la quale "le attività di sensibilizzazione.. sono fondamentali per integrare la cybersecurity nella cultura organizzativa". Ed ENISA va anche oltre, proponendo l'applicazione di elementi di gamification nelle attività di awareness sulla cybersecurity, perché questi elementi possono "semplificare la familiarizzazione con termini e concetti attraverso un'esperienza pratica e motivare la partecipazione dei dipendenti".

Per aiutare le imprese ad avviare propri programmi di cybersecurity awareness, ENISA ha collaborato con l'agenzia cipriota per la cibersicurezza nel definire un toolkit completo: l'Awareness Raising in a Box (AR-in-a-BOX). Che in effetti esisteva già prima, ma che è stato sensibilmente aggiornato con l'aggiunta di una nuova guida per lo sviluppo di piani di comunicazione interni ed esterni per le crisi informatiche.

La guida alla comunicazione delle crisi informatiche - spiega ENISA - aiuta le organizzazioni a migliorare le comunicazioni verso gli stakeholder esterni ed interni in caso di crisi di cybersecurity, come l'esfiltrazione di dati sensibili o brecce nelle reti. Poiché tali incidenti possono avere un impatto su diversi aspetti operativi delle imprese, la guida fornisce un approccio definito "olistico" alla mitigazione dei rischi e dei danni.

Più in generale, AR-in-a-Box è un insieme di documenti, esempi e guide pensato per enti pubblici, operatori di servizi essenziali e aziende private, con nozioni teoriche e pratiche su come progettare e implementare programmi efficaci di sensibilizzazione alla cybersecurity. Illustra ad esempio come creare programmi di awareness personalizzati per uso interno all'azienda e per gli stakeholder esterni, come scegliere gli strumenti e i canali appropriati per raggiungere efficacemente il pubblico target, come identificare i KPI migliori per valutare l'efficacia di un programma di awareness.

Oltre ad una parte dedicata alle strategie di comunicazione interna utili a raggiungere gli obiettivi di awareness e allo sviluppo di piani di comunicazione per le crisi, AR-in-a-Box comprende poi quiz ed esercizi di simulazione che servono a verificare la comprensione e l'apprendimento delle informazioni chiave per la cybersecurity.