Descrizione Generale
Cattura l’attenzione degli utenti per cambiare i loro comportamenti
Estremamente efficaci, le soluzioni di formazione sulla sicurezza informatica Proofpoint Security Awareness Training (PSAT) utilizzano princìpi pedagogici di provata efficacia per coinvolgere gli studenti e cambiarne il comportamento. Ricerche svolte dall’Università Carnegie Mellon hanno dimostrato che il modo in cui applichiamo questi princìpi pedagogici è efficace.
Per insegnare ai dipendenti e ai loro datori di lavoro a proteggersi da soli dai rischi di cybersecurity, le nostre soluzioni si basano sui seguenti princìpi.
Proponi conoscenze concettuali e procedurali
Le conoscenze concettuali forniscono agli utenti un quadro complessivo e permettono loro di applicare le tecniche per risolvere un problema, mentre le conoscenze procedurali si concentrano sulle azioni specifiche necessarie per risolvere il problema.
La combinazione dei due tipi di conoscenze migliora notevolmente la comprensione degli utenti. Per esempio, gli utenti potrebbero aver bisogno di una lezione procedurale per comprendere che un indirizzo IP incluso in un URL può indicare che si tratta di un URL di phishing. Tuttavia, può rivelarsi necessaria anche una comprensione concettuale di tutte le parti che compongono un URL per capire la differenza fra un indirizzo IP e un nome di dominio, altrimenti potrebbero erroneamente considerare www4.google.com un URL di phishing.
Proponi le conoscenze poco alla volta
Le persone apprendono meglio quando possono concentrarsi su quantità limitate di informazioni che la mente possa assimilare facilmente. Non è ragionevole coprire 55 argomenti diversi in 15 minuti di formazione sulla cybersecurity e aspettarsi che i dipendenti si ricordino tutto e cambino il loro comportamento. Brevi momenti di formazione sono sempre più efficaci.
Ritornare sulle lezioni
La ripetizione delle informazioni nel corso del tempo è fondamentale per l’apprendimento. Senza un frequente riscontro e opportunità di messa in pratica, anche le conoscenze meglio assimilate finiscono per essere dimenticate. La formazione sulla cybersecurity dovrebbe essere un processo continuo, non un evento una tantum.
Contestualizza la formazione
Le persone tendono a ricordare più il contesto che i contenuti. Nella formazione sulla cybersecurity, è importante presentare le lezioni nello stesso contesto in cui una persona ha maggiori probabilità di essere attaccata.
Fornisci un riscontro immediato
Se hai mai praticato uno sport, è facile capire questo punto. Un po’ come quando l’arbitro di calcio fischia un fallo, i messaggi formativi puntuali che appaiono quando si commette un errore permettono al dipendente di ricevere informazioni immediate sulla minacce, aumentando notevolmente l’impatto sul suo apprendimento. Se gli utenti che cadono nella trappola di una simulazione di attacco ricevono immediatamente consigli e suggerimenti, è meno probabile che si lascino nuovamente trarre in inganno.
Adattati al ritmo degli utenti
Per quanto possa sembrare un cliché, è proprio vero che ognuno impara al proprio ritmo. Un programma di formazione sulla sicurezza uguale per tutti è destinato a fallire perché non permette agli utenti di procedere al proprio ritmo.
Racconta una storia
Per catturare l’attenzione degli studenti, proponi loro una storia con personaggi in cui possono identificarsi. Piuttosto che elencare dati e fatti, è meglio utilizzare delle tecniche narrative.
Varia il messaggio
Per facilitare l’acquisizione dei concetti, esprimili in modi diversi e adotta diversi punti di vista. La formazione sulla cybersecurity che presenta più volte un concetto, riformulandolo in modo diverso, facilita all’allievo il collegamento con le esperienze passate e la creazione di nuove connessioni.
Coinvolgi gli studenti
Gli studenti attivamente coinvolti nel processo di apprendimento hanno maggiori probabilità di ricordare ciò che viene insegnato loro. Se un utente ha l’opportunità di esercitarsi a identificare gli schemi del phishing e a creare buone password efficaci, i miglioramenti possono essere notevoli. Purtroppo, le aziende spesso privilegiano i modelli educativi tradizionali (come le temute lezioni) alle attività pratiche.
Forzali a riflettere
Per migliorare, le persone devono poter elaborare e valutare le proprie prestazioni. I programmi di formazione e sensibilizzazione alla sicurezza devono stimolare i dipendenti a esaminare le informazioni fornite, metterne in discussione la validità e trarre le proprie conclusioni.
Misura i risultati
Raccogli i dati di riferimento e i nuovi dati dopo ogni campagna di formazione per rafforzare i comportamenti positivi tramite l’incoraggiamento.
Anche se non possiamo considerare la misurazione dei risultati come un principio pedagogico comprovato, si tratta di un elemento essenziale di qualsiasi programma formativo. Valutare le conoscenze dei dipendenti e identificare i loro punti di forza e di debolezza è essenziale per stabilire il loro grado di vulnerabilità agli attacchi.