Measuring Security Awareness Success: For Your CISO — and Your Organization

Tre errori comuni con i programmi di sensibilizzazione alla sicurezza informatica

Share with your network!

Nonostante le risorse e il budget e ingenti investiti nella sicurezza informatica, le violazioni sono ancora frequenti e causano sempre più danni. Quando si analizzano questi incidenti, emerge un fattore comune: la tecnologia di controllo è ostacolata dall’attività umana. Ad esempio, il personale può distribuire le credenziali di accesso, accedere a richieste non autorizzate, cadere vittima di email di spoofing ed eseguire malware su ordine di un criminale informatico.

Quando il World Economic Forum afferma che il 95% delle violazioni di sicurezza è attribuibile all’attività umana, è chiaro che la sensibilizzazione alla sicurezza informatica all’interno della tua azienda riveste un’importanza cruciale. Ma nonostante anni di sforzi, c’è ancora molto da fare.

Ecco alcuni errori che potresti commettere e che ostacolano il tuo programma di sicurezza, e le misure che puoi adottare per correggerli.

Errore n. 1: Hai scelto il nome sbagliato per il tuo programma di sicurezza

Per quanto possa sembrare semplice, potresti aver scelto un nome inappropriato per il tuo programma di sicurezza.

Tutti ci concentriamo sulla sensibilizzazione alla sicurezza informatica e creiamo “programmi di sensibilizzazione alla sicurezza informatica” per le nostre aziende, ma non è quello che desideriamo veramente. Il nostro vero obiettivo non si limita al rafforzamento della sensibilizzazione, si tratta di cambiare i comportamenti. Chiamare il nostro programma “programma di sensibilizzazione alla sicurezza informatica” ci spinge a concentrarci sull’obiettivo sbagliato. Dopotutto, se il nostro vero obiettivo fosse quello di incoraggiare le persone a smettere di fumare, non chiameremmo la nostra iniziativa “Campagna di sensibilizzazione sui rischi legati al fumo”.

Questo problema è facile da risolvere: è sufficiente cambiare semplicemente il nome del programma. Definisci il tuo obiettivo e scegli un nome appropriato per il tuo programma, ad esempio “Programma per il cambiamento dei comportamenti” o “Programma per la creazione di una cultura della sicurezza”. Sarai sorpreso dalla differenza che può fare un cambiamento così piccolo, poiché il nuovo nome sarà un promemoria costante di ciò che stai cercando di ottenere.

Errore n. 2: Pensi che un’elevata sensibilizzazione porti alla creazione di una cultura della sicurezza informatica

Il secondo errore è legato al primo. Troppo spesso le aziende decidono di poter cambiare la loro cultura aumentando la quantità di formazione di sensibilizzazione frequentati dal tuo staff. Ma si sbagliano. Un elevato livello di sensibilizzazione non è sinonimo di creazione di una cultura della sicurezza informatica.

Io utilizzo un modello di maturità “ABC”, che sta per Awareness (Sensibilizzazione), Behavior (Comportamento) e Culture (Cultura). Ogni lettera rappresenta una fase che si basa su quella precedente. In ogni fase è necessario un cambiamento di direzione per passare da un livello al successivo.

Supponiamo di offrire già una formazione di sensibilizzazione (fase A). Per passare alla fase B, è necessario assicurarsi che il personale comprenda le conseguenze della sicurezza informatica, sia a livello personale che professionale. Una volta che sono sensibilizzati e motivati, è molto più probabile che adottino il comportamento giusto (Esistono prove scientifiche a sostegno di questo approccio semplificato e consiglio di consultare il modello comportamentale del Professor BJ Fogg).

Una volta che la fase B è ben avviata, il tuo obiettivo diventa la cultura. Il passaggio alla fase C consiste nella creazione di una percezione diffusa del fatto che tutti in azienda hanno a cuore la sicurezza. Si noti che ho utilizzato la parola “percezione”. Inizialmente non è necessario che sia così, perché per il momento si tratta solo di far finta di niente.

Crea questa percezione adattando il tuo piano di comunicazione per garantire che i messaggi sulla sicurezza provengano da tutta l’azienda (dirigenti, receptionist e soprattutto quadri e capi reparto). In realtà, questi messaggi devono provenire da quasi tutti, ad eccezione del Chief Information Security Officer (CISO).

Ciò creerà in tutti i membri dello staff la percezione che tutti intorno a loro si preoccupano della sicurezza, spingendoli ad agire in modo simile. Si tratta dell’origine della cultura.

Errore n. 3: Utilizzi i modelli sanzionatori come motivazione principale

La chiave per passare alla fase B sopra menzionata è motivare gli utenti a cambiare il loro comportamento. La motivazione può essere incoraggiata in diversi modi. Uno degli approcci consiste nel creare la paura di essere puniti o messi in imbarazzo se un membro dello staff commette un errore o non supera un test di sicurezza.

Molti professionisti della sicurezza hanno opinioni definitive su questo tema. Alcuni ritengono che i modelli sanzionatori vadano evitati a tutti i costi. Altri li utilizzano come principale strumento di motivazione. Sbagliano entrambi, e la miglior strategia sta nel mezzo.

I team della sicurezza che sono pronti a punire gli utenti perderanno il sostegno dei collaboratori e saranno percepiti come vigilanti aziendali. Potrai anche fornire un servizio, ma lo farai a spese dell’agilità, della flessibilità e del pragmatismo, tutte caratteristiche di cui le aziende moderne hanno estremo bisogno. Lo staff sarà meno propenso a contattarti per esporti le sue preoccupazioni, vulnerabilità e idee. Ogni sanzione aggiunge un’altra pietra alla tua torre d’avorio.

Tuttavia, l’azienda che ha registrato il tasso di clic più basso per le sue simulazioni di phishing utilizzava il modello sanzionatorio e disponeva di un team di sicurezza accessibile e apprezzato. Come ha fatto? È una questione di tempistica.

Quando adotti dei modelli sanzionatori, devi concentrarti esclusivamente sulle ricompense per i comportamenti corretti. Solo quando l’azienda passa dalla fase B alla fase C si dovrebbe prendere in considerazione un modello sanzionatorio.

A questo punto, disponi di un solido livello di supporto in tutta l’azienda e il modello sanzionatorio può essere messo in atto nella fase finale per motivare gli ultimi collaboratori recalcitranti che non sono ancora allineati con la cultura che gli altri hanno già adottato. L’implementazione è la stessa, ma il messaggio è completamente diverso.

Conclusioni

In un’epoca in cui l’identità è la nuova superficie d’attacco e le persone giocano un ruolo fondamentale nella nostra difesa informatica, la cultura della sicurezza informatica diventa un controllo essenziale a cui ogni CISO dovrebbe dare priorità. La correzione di questi tre errori comuni farà un’enorme differenza nel tuo programma di sicurezza. Inoltre, ridurrà il rischio di una violazione di sicurezza tramite la tua base di utenti.

Scopri di più sulla formazione di sensibilizzazione alla sicurezza di Proofpoint e inizia subito a stimolare un cambiamento dei comportamenti.