Negli ultimi anni, il tema della sensibilizzazione alla sicurezza informatica è stato affrontato da diversi professionisti, analisti e fornitori, che si interrogano su ciò che costituisce un programma di successo, sui metodi che permettono di misurarne l’efficacia e sui motivi per cui è necessario farlo.
In base a centinaia di conversazioni con aziende di diverse dimensioni e complessità, è evidente che i metodi tradizionali di formazione e sensibilizzazione alla sicurezza informatica basati sulla conformità non sono all’altezza, così come i nostri metodi per misurarne l’efficacia.
Se l’obiettivo è ridurre i rischi di sicurezza informatica legati alle azioni e ai comportamenti dei collaboratori, dobbiamo andare oltre la sensibilizzazione per stimolare dei cambiamenti di comportamento sostenibili e creare una cultura incentrata sulla sicurezza.
Le sfide associate ai programmi tradizionali di sensibilizzazione alla sicurezza informatica
I programmi tradizionali di sensibilizzazione alla sicurezza informatica fanno parte da tempo delle iniziative di sicurezza informatica delle aziende. Perché non sono efficaci?
Approccio universale
Molti programmi tradizionali utilizzano gli stessi contenuti di formazione generici e basati sulla conformità anno dopo anno. Questo approccio non risponde alle situazioni uniche e reali a cui i collaboratori che ricoprono diverse funzioni in azienda potrebbero trovarsi di fronte.
Una metodologia universale può essere sinonimo di poco impegno e mancanza di pertinenza per i collaboratori. Tuttavia, può essere difficile per i team della sicurezza proporre un approccio personalizzato, specialmente se dispongono di risorse limitate.
Mancanza di connessione con il mondo reale
I programmi tradizionali permettono ai collaboratori di sviluppare delle conoscenze, ma spesso faticano a tradurre tali conoscenze in cambiamenti di comportamento sostenibili. In base alle ricerche condotte per il report State of the Phish 2024 di Proofpoint, oltre due terzi (68%) dei collaboratori adottano consapevolmente comportamenti pericolosi, nonostante il fatto che il 99% delle aziende dispone di un programma di sensibilizzazione alla sicurezza informatica.
La maggior parte dei programmi di sensibilizzazione sono come insegnare a qualcuno a fare paracadutismo chiedendogli di guardare alcuni video e leggere una policy. Ma quando questa persona salta dall’aereo è disorientata. Non è abituata alle sensazioni che prova e non sa quando aprire il paracadute.
Allo stesso modo, i collaboratori cui viene proposta solo una formazione passiva sulla sicurezza informatica faticano a applicare le loro conoscenze quando si trovano di fronte a minacce reali. I collaboratori possono comprendere i concetti di sicurezza, ma faticare ad applicarli in modo coerente nella loro attività quotidiana.
Perché un cambiamento di terminologia non è la soluzione
Un nuovo termine sta emergendo nelle nostre discussioni con i clienti: la gestione dei rischi legati agli utenti.
Molti clienti ci dicono che desiderano adottare tale approccio. Affermano di voler misurare i rischi, ma non sanno cosa misurare né quale metodo utilizzare. L’importazione di dati provenienti da diversi fornitori e fonti nonché la loro interpretazione è una sfida. I clienti spiegano anche di voler utilizzare l’automazione, la gamification e altri elementi per migliorare il coinvolgimento dei collaboratori.
Si tratta di strumenti eccellenti, e senza dubbio dobbiamo comprendere i rischi e trovare dei mezzi per interagire in modo più efficace con il personale. Ma sono solo degli strumenti, che non sono in grado di comprendere come cambiare i comportamenti. Per farlo è necessario esaminare principi e tecniche di scienza comportamentale, attività su cui la maggior parte dei team di sicurezza informatica non è solitamente formata.
Alcuni clienti, analisti e fornitori di soluzioni utilizzano il temine “gestione dei rischi legati agli utenti” per designare la sensibilizzazione alla sicurezza informatica senza comprenderne il significato. Questo termine è sia confuso che negativo. Suggerisce l’idea che gli utenti sono “a rischio” e devono essere “gestiti”. Perpetua l’idea che il collaboratore sia il problema e favorisce una mentalità di confronto piuttosto che inclusiva.
In Proofpoint riteniamo che sia utile comprendere i collaboratori: cosa fanno, cosa sanno e cosa credono. Tale comprensione deve essere anche quantificata per creare un programma che promuova un cambiamento sostenibile dei comportamenti.
La sensibilizzazione è fondamentale
Consideriamo come segno positivo il fatto che i clienti ci pongano domande sulla gestione dei rischi legati agli utenti. Anche il termine stesso è negativo, ci offre l’opportunità di parlare con i clienti dei comportamenti e dei programmi di cultura della sicurezza informatica in modo più ampio, nonché del ruolo della sensibilizzazione.
La sensibilizzazione è fondamentale. Offre ai collaboratori conoscenze di base sulle potenziali minacce, le best practice e l’importanza della sicurezza informatica nell’ambito delle loro attività quotidiane.
Non vogliamo mettere una croce sui fondamentali della sensibilizzazione, piuttosto farla evolvere integrando contenuti adattati a ruoli e responsabilità specifiche di persone che fanno parte dell’azienda. Questo metodo riconosce che diverse funzioni affrontano sfide di sicurezza informatica uniche. Sono necessarie conoscenze specifiche di ruoli, minacce e privilegi per adottare in modo efficace comportamenti più sicuri e combattere contro le minacce.
Raccomandiamo di completare il tuo programma esistente con formazioni pertinenti sulle minacce proposte sotto forma di moduli brevi e in diversi formati, come i seguenti:
- Simulazioni interattive
- Esperienze di gamification
- Campagne di rafforzamento costante
Incoraggiamo i nostri clienti a riflettere sul modo in cui possono offrire consigli in tempo reale per incoraggiare i collaboratori a fare scelte più sicure. Raccomandiamo anche di coinvolgere e far partecipare un gruppo trasversale di collaboratori. Potresti essere piacevolmente sorpreso di scoprire che includerli nella soluzione aumenterà la loro creatività e il loro impegno.
La cultura regna sovrana
Si dice che “la cultura mangia strategia a colazione”. Questa espressione è molto pertinente nel contesto dei comportamenti e dei programmi di cultura della sicurezza informatica. Sottolinea il ruolo essenziale che la cultura di un’azienda gioca nel successo delle iniziative di sicurezza. La cultura rappresenta le fondamenta dei comportamenti di sicurezza informatica. Anche la strategia di sicurezza meglio elaborata vacillerà se non è sostenuta da una cultura che valorizza la sicurezza e le dà priorità.
Una strategia di sicurezza descrive il piano e gli obiettivi della protezione delle risorse di un’azienda. Ma la cultura è ciò che determina l’efficacia con cui queste strategie vengono implementate. Non importa il fornitore di soluzioni o la tecnologia che si sceglie, se la tua azienda non adotta una cultura incentrata sulla sicurezza, la tua capacità di stimolare dei cambiamenti di comportamento sostenibili tra i tuoi collaboratori è molto limitata.
Una cultura incentrata sulla sicurezza richiede il supporto della dirigenza. Ricorda che la dirigenza va oltre il CISO. I migliori programmi tengono conto anche degli indicatori chiave di prestazione complessivi dell’azienda, non solo di quelli del team della sicurezza. Vengono sviluppati in collaborazione con un team interfunzionale che promuove la responsabilità piuttosto che la paura. Inoltre, questi programmi:
- Incoraggiano la partecipazione volontaria
- Considerano i collaboratori come la soluzione, non il problema
- Utilizzano indicatori di sicurezza informatica legati agli obiettivi operativi e strategici
Inoltre, i migliori programmi correlano direttamente il modo in cui le attività dei collaboratori che contribuiscono a ridurre gli incidenti di sicurezza informatica:
- Migliorano il livello di rischio globale dell’azienda
- Migliorano la produttività della forza lavoro
- Influenzano il raggiungimento delle previsioni di ricavi e costi nonché degli obiettivi strategici
Può sembrare complesso, ma puoi iniziare immediatamente. Il framework PIPE di Gartner può aiutarti a andare oltre la sensibilizzazione alla sicurezza informatica e stimolare un cambiamento sostenibile dei comportamenti. Può anche aiutarti a creare una cultura incentrata sulla sicurezza.
Conclusione
Hai bisogno di un forte sostegno da parte della dirigenza, obiettivi allineati, creatività e strumenti adeguati per promuovere un cambiamento sostenibile dei comportamenti. Così come non esistono scorciatoie per diventare un esperto di paracadutismo, anche per raggiungere i propri obiettivi sono necessari pratica, consigli e tecniche efficaci.
In Proofpoint, facciamo evolvere costantemente le nostre soluzioni per rispondere alle esigenze dei nostri clienti attuali e futuri. I tuoi commenti sul nostro lavoro sono i benvenuti. Se desideri saperne di più o continuare la discussione, partecipa a una delle prossime conferenze Proofpoint Protect a Londra, Austin o Chicago.