Nel 2022 il mondo delle imprese ha continuato a subire attacchi di ransomware, truffe e violazioni di dati. Tuttavia, non sono state attaccate solo aziende di alto profilo: sanità, istruzione, pubblica amministrazione e piccole imprese sono state tutte vittime di attacchi informatici.

In un rapporto sul 2022, l’Office of National Statistics (ONS) ha evidenziato un aumento del 25% (a 4,5 milioni) dei reati di frode per l’anno che termina a marzo 2022 rispetto all’anno che termina a marzo 2020. Nel 2022, il phishing era ancora la minaccia più comune per le aziende del Regno Unito, con l’83% degli attacchi basati sul phishing.

Tuttavia, un nuovo anno porta con sé nuove speranze e idee.

La formazione sulla sicurezza rimane una priorità assoluta per le aziende che vogliono affrontare frodi, truffe e altre minacce informatiche. Ma come può la tua organizzazione migliorare la formazione sulla sicurezza nel 2023?

Ecco cinque idee per rendere la tua organizzazione adatta alla sicurezza nel 2023.

Sii positivo, sii sicuro

I criminali informatici, in particolare quelli che utilizzano l’ingegneria sociale e il phishing, si basano su comportamenti poco sicuri per far funzionare le loro truffe. Una buona formazione sulla sicurezza informatica consiste nel modificare i comportamenti negativi in favore di un atteggiamento più positivo. Tuttavia, cambiare i modelli comportamentali richiede lavoro.

Il comportamento, come l’impulso a cliccare, è un modello appreso e cambiare azioni profondamente radicate richiede uno sforzo concertato che prevede strategie come le campagne di phishing simulate. Migliora i contenuti della tua formazione sulla sicurezza attraverso campagne basate su strategie collaudate, come l’apprendimento interattivo che modifica le cattive abitudini comportamentali in azioni positive. L’apprendimento interattivo e i contenuti coinvolgenti aumenteranno il coinvolgimento dei dipendenti e aiuteranno la tua organizzazione a sviluppare una cultura positiva della sicurezza.

Mantenere la pertinenza e l’interesse

L’ente del settore della sicurezza, ISACA, ha condotto una ricerca su come migliorare la formazione sulla consapevolezza della sicurezza. La ricerca ha coinvolto oltre 5000 organizzazioni di tutto il mondo. Lo studio ha evidenziato chiaramente che una formazione di sensibilizzazione alla sicurezza efficace richiede il giusto tipo di erogazione di contenuti interessanti e pertinenti.

Tra le conclusioni dell’ISACA c’è il fatto che le informazioni dovrebbero essere fornite in piccoli pezzi dopo la prima sessione e a intervalli regolari per rafforzare l’apprendimento. Anche il tipo di informazioni è importante. I casi di studio reali hanno contribuito a consolidare le conoscenze e a rafforzare l’importanza di un buon comportamento in materia di sicurezza.

I ricercatori hanno scoperto che i contenuti devono essere “pertinenti, legati alla teoria e alla pratica e raccontare una storia”. Utilizza materiale per la formazione sulla sicurezza, come brevi video esplicativi ed esercizi di simulazione di phishing, per coinvolgere i dipendenti e rendere il contenuto relazionabile e rilevante.

Premia i successi e non fare il gioco delle colpe

A nessuno piace giocare a scaricabarile e il corso di formazione sulla sicurezza dovrebbe evitare di attribuire colpe ai dipendenti. Il problema dell’attribuzione di colpe è che può far perdere fiducia alle persone, portando a incidenti ancora peggiori.

Lo sviluppo di una solida posizione di sicurezza informatica richiede tempo e si basa su molti aspetti dei sistemi IT, delle persone e dei processi dell’organizzazione. Non incolpare i dipendenti per gli errori di sicurezza, perché la tecnologia cambia e i criminali informatici modificano le loro tecniche; piuttosto, usa i comportamenti scorretti in materia di sicurezza come scusa per cambiare il tuo comportamento e imparare dagli errori.

I programmi di formazione avanzata sulla consapevolezza della sicurezza prevedono sessioni di formazione interattive durante un’esercitazione per mostrare ai dipendenti dove hanno sbagliato e come assicurarsi che non ripetano lo stesso comportamento.

Inoltre, premia i successi invece di usare il biasimo per farli sentire in colpa. Se i dipendenti ottengono buoni risultati durante le sessioni di formazione, offri loro piccoli premi e incentivi il buon comportamento.

Generare dati utili

Le metriche offrono una visione fondamentale dell’efficacia di un modulo di formazione sulla consapevolezza della sicurezza; alcuni sistemi avanzati forniscono una visione altamente granulare, nel tempo e su base individuale, dell’efficacia formativa di un determinato modulo.

I moduli di simulazione del phishing, ad esempio, generano dati su base dipendente, mostrando le curve di apprendimento dei dipendenti che sviluppano le competenze per identificare le minacce trasmesse via e-mail. Utilizza i dati delle metriche di sensibilizzazione alla sicurezza per perfezionare i tuoi moduli di formazione e identificare i comportamenti difficili da cambiare a cui prestare maggiore attenzione: rivolgiti a ruoli e gruppi specifici utilizzando le metriche per progettare campagne di phishing simulate su misura. Nel tempo, il feedback fornito dalle metriche di formazione granulari ti permetterà di sviluppare sessioni di formazione più efficaci.

Integrare la formazione sulla sicurezza con la tua organizzazione

Le norme di sicurezza devono essere stabilite a livello organizzativo, integrando gli individui con una cultura della sicurezza in cui la sicurezza viene prima di tutto. Il successo della formazione di sensibilizzazione alla sicurezza consiste nella maturazione di metodi e approcci, non in semplici sforzi per soddisfare le normative.

Tuttavia, i requisiti normativi per la formazione di sensibilizzazione alla sicurezza dovrebbero essere utilizzati come base per stabilire le metriche sull’efficacia della formazione. Questo approccio, unendo gli obiettivi organizzativi alla formazione sulla sicurezza, sposta l’onere della sicurezza da un impegno individuale a uno collettivo: costruisci un programma di formazione sulla consapevolezza della sicurezza che si adatti alle esigenze di sicurezza della tua organizzazione e che coinvolga nelle sessioni di formazione tutti, dal livello direttivo in giù. Assicurati che ogni reparto abbia programmi di formazione personalizzati che riflettano le minacce del mondo reale. Ad esempio, truffe come la Business Email Compromise (BEC) prendono di mira reparti come l’ufficio del CEO e la contabilità.

È probabile che il 2023 sarà una sfida per le aziende che si occupano di minacce alla sicurezza come gli anni precedenti. Nessuna organizzazione, indipendentemente dalle dimensioni o dal settore, può sedersi sugli allori e sperare di non essere un bersaglio.

Tuttavia, le nostre persone sono la nostra forza. Applicando queste cinque strategie di miglioramento al tuo programma di formazione sulla consapevolezza della sicurezza per il 2023, potrai contribuire a sviluppare una solida posizione di sicurezza informatica e a rafforzare i tuoi dipendenti contro i criminali informatici e i truffatori.