L’anno scorso, il 74% delle violazioni ha comportato un intervento umano, come utenti che adottano comportamenti a rischio o dannosi. Non ci sono dubbi sul fatto che le minacce interne di qualsiasi tipo siano particolarmente difficili da gestire, che derivino da negligenze o errori umani o siano frutto di intenzioni minacciose. Tuttavia, incoraggiare una solida cultura della sicurezza permette di ridurre tali incidenti in modo significativo.
Ma stabilire una solida cultura della sicurezza non è semplice. In primo luogo, il concetto di “cultura della sicurezza” può sembrare vago per alcuni, in particolare perché non esistono dei parametri standardizzati per misurarla. Alcune aziende valutano la cultura tramite i tassi di segnalazione o tassi di clic nelle simulazioni di phishing mentre altre si basano sui tassi di completamento dei corsi di formazione o sulla rapidità con cui i moduli di formazioni assegnati vengono completati.
In questo articolo del blog, prenderemo in esame che cosa significa veramente la cultura della sicurezza, perché è fondamentale per un’azienda e le misure che si possono adottare per stabilire una cultura solida e sostenibile.
Cosa si intende con cultura della sicurezza?
Proofpoint definisce la cultura della sicurezza come le convinzioni, i valori e le attitudini che determinano i comportamenti degli utenti quando si tratta di proteggere la loro azienda contro gli attacchi informatici.
Questo concetto è stato espresso la prima volta dai ricercatori del MIT Keman Huang e Keri Pearlson nel 2019. In particolare, la cultura della sicurezza di un’azienda sarà debole se i suoi collaboratori non percepiscono il valore delle best practice di sicurezza o se considerano la sicurezza informatica in modo negativo, per esempio se la ritengono come un ostacolo alla loro produttività.
Come misurare la cultura della sicurezza?
Il nostro obiettivo è rendere questo concetto più concreto. Per questo motivo lo abbiamo scomposto in tre aspetti fondamentali:
- Responsabilità. I collaboratori sanno di dover adottare un ruolo proattivo per prevenire gli incidenti di sicurezza.
- Importanza. I collaboratori sanno che le minacce informatiche sono un rischio concreto per il successo dell’azienda e che potrebbero riguardarli personalmente.
- Legittimazione. I collaboratori si sentono autorizzati ad agire, perché possiedono conoscenze e competenze relativamente a sicurezza informatica e policy di sicurezza. Se prendono una decisione sbagliata nell’ambito della sicurezza, hanno la certezza che la loro azienda risolverà il problema rapidamente.
Il modello della cultura della sicurezza informatica di Proofpoint si trova all’intersezione di tre fattori chiave.
Per valutare il livello di maturità della sua cultura della sicurezza informatica, un’azienda può condurre un sondaggio su tale tematica. Tale sondaggio può aiutarla a stimare la probabilità che i collaboratori prendano decisioni tenendo conto della sicurezza e reagiscano in modo appropriato.
In fin dei conti, l’obiettivo è stimolare cambiamenti positivi del comportamento. I collaboratori devono sentirsi incoraggiati a contribuire alla protezione dell’azienda adottando best practice di sicurezza.
Perché la cultura alla sicurezza è importante?
Come evidenziato nel report State of the Phish 2024 di Proofpoint, il 96% dei lavoratori adulti che hanno effettuato un’azione pericolosa sapeva che il proprio comportamento era rischioso. Questo risultato sfida l’idea tradizionale secondo cui le persone adottano comportamenti rischiosi perché non hanno conoscenze in materia di sicurezza. Spiega inoltre perché la formazione da sola non basta e perché stabilire una solida cultura della sicurezza è altrettanto importante.
La cultura della sicurezza può essere definita come il modo in cui le persone percepiscono, applicano e seguono le pratiche e le policy di sicurezza. Orienta le loro decisioni, per esempio il modo in cui trattano i dati sensibili o reagiscono a possibili email di phishing. Infine, sono le loro decisioni che influenzano il livello di sicurezza complessivo dell’azienda.
Una solida cultura della sicurezza permette di mitigare i rischi legati alle persone fornendo agli utenti gli strumenti giusti nonché le conoscenze che permettono loro di stabilire cosa rappresenta un pericolo e di evitare i comportamenti avventati. Li motiva inoltre a rispettare le best practice di sicurezza, perché comprendono il valore della sicurezza, i rischi associati e le conseguenze della mancata conformità.
Una solida cultura della sicurezza favorisce anche la responsabilizzazione dei collaboratori. Nel nostro report State of the Phish 2024, il 60% delle persone intervistate non era certo o non riteneva che la protezione della propria azienda fosse una loro responsabilità. Una volta che i collaboratori comprendono l’impatto delle loro azioni sul livello di sicurezza globale della loro azienda, sono più propensi a assumersi le loro responsabilità. Questo senso di responsabilizzazione è fondamentale.
Quali sono gli elementi fondamentali di una solida cultura della sicurezza?
Una solida cultura della sicurezza presenta le seguenti caratteristiche:
- Dirigenza coinvolta. I dirigenti riconoscono l’importanza fondamentale della sicurezza e ne tengono conto nelle loro decisioni strategiche. Questo atteggiamento dà il tono a tutta l’azienda e garantisce che la sicurezza sia un obiettivo perseguito attivamente e non sia solo una considerazione secondaria.
- Collaboratori coinvolti e sensibilizzati. I collaboratori non sono solo sensibilizzati relativamente alla sicurezza, vengono direttamente coinvolti nelle iniziative di formazione di sensibilizzazione alla sicurezza informatica. Dal momento che comprendono i rischi e le possibili conseguenze di una mancata osservanza delle best practice di sicurezza, sono più propensi a apprendere e a applicarle.
- Chiara responsabilità. I collaboratori di qualsiasi livello sanno di ricoprire un ruolo fondamentale nella sicurezza della loro azienda. Non considerano la sicurezza come responsabilità di qualcun altro.
- Fiducia e apertura. I collaboratori si sentono a proprio agio nel segnalare i problemi di sicurezza. Inoltre, non hanno paura ad ammettere i loro errori e non temono di essere sanzionati. Al contrario, vedono il team della sicurezza come una risorsa che può aiutarli in caso di bisogno.
Come favorire una solida cultura della sicurezza?
Tre principi chiave sono alla base di una solida cultura della sicurezza:
- Comprendere l’azienda. In primo luogo, devi identificare i principali rischi organizzativi, come le microculture di cui tenere conto. Questa analisi ti aiuterà a garantire un coinvolgimento trasversale. Durante questa fase, devi anche identificare tutti i rischi di tipo comportamentale e ottenere un riscontro sui principali fattori, come il livello di fiducia dei collaboratori nei confronti del team della sicurezza.
- Creare relazioni. Nella fase successiva, devi collaborare con i leader e gli influencer trasversali. L’obiettivo è creare una rete che include persone dei principali team interni, come le risorse umane, l’ufficio legale e le comunicazioni aziendali. Inoltre, devi ottenere il consenso del team direzionale per ottenere il supporto e le risorse necessarie.
- Rendere i collaboratori dei soggetti interessati. È fondamentale comunicare regolarmente il valore e gli obiettivi di una cultura della sicurezza, nonché le tue aspettative. Parte di questo processo consiste nel creare i canali di comunicazione per raccogliere i pareri dei collaboratori, che siano positivi o negativi. Offri agli utenti l’occasione di constatare personalmente che la sicurezza informatica è un vantaggio per loro. Inoltre, offri ai collaboratori un ambiente sicuro, favorevole all’apprendimento e allo sviluppo personale. per imparare e crescere.
Questi principi sono dettagliati nella guida Proofpoint ZenGuide™. Questa guida completa include un piano di comunicazione per aiutarti a raggiungere i tuoi obiettivi di creazione di una cultura della sicurezza informatica.
Illustrazione del piano di comunicazione di Proofpoint ZenGuide™.
Come superare le principali sfide
Non è semplice stabilire una solida cultura della sicurezza. Ecco alcuni suggerimenti per superare gli ostacoli comuni:
- Sensibilizzazione interna. Non tutti gli utenti hanno lo stesso livello di conoscenza in termini di sicurezza informatica. Considera il tuo programma come una campagna di marketing. Utilizza diversi supporti e canali di comunicazione per raggiungere il tuo pubblico di riferimento. Personalizza il tuo messaggio per renderlo adatto e interessante ai diversi ruoli e persino a ogni collaboratore.
- Utilizza argomenti quantitativi e qualitativi. Se desideri creare un’argomentazione a favore di un investimento in una solida cultura della sicurezza, puoi sfruttare i dati dei report del settore. Tuttavia, una storia ben costruita e presentata ha maggiori probabilità di incontrare il favore delle persone rispetto a semplici dati grezzi. Per questo motivo, quando cerchi di giustificare dei costi o richiedi risorse aggiuntive, è una buona idea combinare dati e spiegazioni in una narrazione efficace.
- Assicurati che la comunicazione sia bidirezionale. Una comunicazione bidirezionale significa che i collaboratori sono incoraggiati a esprimere la loro opinione e a condividere le loro idee. Quando le persone sono incoraggiate a porre domande o a esprimere le loro preoccupazioni relative alle iniziative di sicurezza, si genera un senso di inclusione. Non hanno l’impressione che la responsabilità sia loro imposta dall’alto. Questo è il modo migliore per mantenerli coinvolti.
Conclusione
Una solida cultura della sicurezza è fondamentale per proteggere un’azienda dagli attacchi informatici. Ma la cultura è costruita dalle persone che fanno parte dell’azienda. È determinata dal loro atteggiamento nei confronti della sicurezza, dalla loro percezione della loro responsabilità e dalla loro capacità di agire. Per contro, la cultura ha anche un impatto diretto sulle persone: influenza il modo in cui percepiscono e rispettano le pratiche di sicurezza.
Per stabilire una solida cultura della sicurezza, i team della sicurezza devono conoscere a fondo le loro aziende. Devono anche favorire le relazioni tra i dipartimenti e trasmettere ai collaboratori la sensazione di essere parte attiva nella protezione dell’azienda. Inoltre, devono sempre tenere a mente che si tratta di uno sforzo a lungo termine, che può iniziare con progetti su piccola scala. Se ben studiato, il progetto prenderà gradualmente piede.
Come può aiutarti Proofpoint?
Creare una solida cultura della sicurezza è un impegno collettivo. Tuttavia, disporre di una soluzione completa in quest’ambito e di un partner strategico può aiutarti a ottenere gli effetti desiderati più rapidamente.
Proofpoint adotta un approccio adattivo al rischio umano per stimolare un cambiamento duraturo dei comportamenti e della cultura. La nostra metodologia unica DICE (Detect, Intervene, Change Behavior, and Evaluate ovvero rilevare, intervenire, modificare i comportamenti e valutare) offre alle aziende un framework comprovato per modificare i comportamenti pericolosi e favorire una cultura incentrata sulla sicurezza.
Proofpoint ZenGuide™ utilizza la comprovata metodologia DICE.
Desideri un aiuto più specifico per migliorare le competenze dei tuoi utenti? I servizi Premium di Proofpoint sono la risposta. I nostri programmi di sensibilizzazione alla sicurezza informatica e di gestione dei rischi adottano una prospettiva globale, ben oltre le semplici misure una tantum. Si concentrano sul raggiungimento di un reale cambiamento di cultura e sulla riduzione dei rischi.
Proofpoint offre una partnership strategica a valore aggiunto, in cui ti aiutiamo a implementare le best practice del settore. Inoltre, aiutiamo i team della sicurezza nelle loro iniziative volte a coinvolgere e motivare i collaboratori in modo più efficace, che spesso implica l’utilizzo di dati sulle minacce e informazioni sui rischi per integrare la sicurezza informatica nel mondo reale.
Proofpoint ZenGuide permette ai team della sicurezza ridotti di automatizzare e adattare percorsi di formazione personalizzati in base al profilo di rischio, ai comportamenti e al ruolo di un utente. Consulta la nostra pagina prodotto Proofpoint ZenGuide per saperne di più.
Per ulteriori consigli su come creare una cultura della sicurezza sostenibile, scarica il nostro eBook Oltre la formazione di sensibilizzazione.