La vulnerabilità degli utenti agli attacchi informatici non è solo una questione di strumenti e politiche, ma è piuttosto una questione di conoscenza della necessità di tali strumenti e politiche, per non parlare della consapevolezza delle opportunità di intrusione e sfruttamento delle debolezze da parte degli hacker. Lo dimostrano diverse violazioni della sicurezza informatica (il ransomware WannaCry che colpisce 150 paesi è un esempio recente), che sfruttano l'elemento umano anche laddove strumenti e politiche sono fortemente implementati. Rafforzare la consapevolezza e le competenze degli utenti sulla sicurezza informatica può essere una soluzione per integrare efficacemente strumenti e politiche con il fattore umano. Quest'area di indagine, pur riconoscendo in molti casi il ruolo del fattore umano, ha preso in considerazione quasi esclusivamente fattori demografici e di personalità.
Negli ultimi anni, sia a livello nazionale che internazionale, tra gli obiettivi di molti programmi di intervento in materia di cybersecurty è stato incluso quello di fornire maggiore potere agli utenti attraverso una migliore comprensione dei rischi legati alla sicurezza informatica. In particolar modo, tra le principali vittime di comportamenti scorretti, si riscontrano i neofiti IT che non hanno conoscenza sufficiente per riconoscere i rischi di attacchi informatici, ma anche utenti che possono riconoscere il rischio, pur ignorando quale sia il comportamento corretto da utilizzare.
Considerate tali premesse, l¿obiettivo del progetto è quello di creare un inventario di indicatori comportamentali della vulnerabilità agli attacchi informatici, al fine di indagare sia le conoscenze generali degli utenti sui rischi informatici, sia le loro conoscenze su specifici tipi di attacchi (come le e-mail di phishing). Questa scala di valutazione verrà utilizzata per classificare gli utenti e correlare il punteggio di vulnerabilità ai risultati comportamentali e alle minacce alla sicurezza.
Sebbene Rahim et al. (2015) abbiano riferito che la valutazione della consapevolezza della sicurezza informatica non è nuova, a nostra conoscenza non esiste ancora uno strumento convalidato, riconosciuto e di uso generale per classificare gli utenti in termini di consapevolezza della sicurezza informatica. Questo studio rappresenterebbe il primo studio per la valutazione della conoscenza e dei comportamenti degli utenti, nel tentativo di individuare informazioni e strategie che possano fornire un valido contributo per impostare il giusto livello di sicurezza all'interno di un sistema.
I dati forniti dallo strumento che si intende sviluppare potrebbero fornire informazioni sulla consapevolezza delle persone dei rischi informatici e sulle loro capacità nell'attuare il comportamento corretto in situazioni di rischio. Gli utenti devono comprendere e utilizzare correttamente i sistemi per garantire l'efficacia di qualsiasi strategia di sicurezza implementata (Furnell, 2005). Inoltre, la possibilità di valutare il livello di conoscenza ed esperienza che l'utente ha sui temi della cybersecurity potrebbe risultare utile per pianificare azioni che spingano l'utente inesperto a rispettare determinati protocolli, necessari per la protezione delle informazioni sensibili e, allo stesso tempo, azioni che consentono agli utenti esperti di interagire con sistemi ottimizzati e più veloci.