Con il Regno Unito al primo posto nella classifica della densità di crimini informatici, con 4.783 vittime per milione di persone, le aziende devono assicurarsi di fare tutto il possibile per proteggere l'organizzazione.
Uno dei modi più efficaci per dimostrare che la formazione sulla sicurezza funziona è quando i risultati del programma mostrano progressi positivi. Se i risultati della formazione sulla sicurezza possono migliorare, bisogna capire perché.
Ottimizzare la formazione sulla sicurezza è fondamentale, dato che le minacce informatiche continuano a diventare complesse e impegnative. Ecco cinque motivi per cui la vostra formazione sulla sicurezza potrebbe non essere all'altezza:
#1 Mancanza di contenuti motivanti
La noia è nemica dell'apprendimento; la pianificazione è fondamentale per creare campagne di formazione sulla sicurezza motivanti e stimolanti. L'utilizzo di "attività interconnesse" e di contenuti coinvolgenti è una best practice nell'apprendimento degli adulti e dovrebbe essere utilizzata per migliorare le esperienze di apprendimento.
Un programma di sensibilizzazione alla sicurezza deve essere progettato in modo da riflettere le esperienze del mondo reale per coinvolgere i dipendenti. Se la formazione non è stimolante e non è relazionabile, può allontanare i partecipanti ed essere considerata noiosa. Un pubblico annoiato non tratterrà le informazioni e i comportamenti scorretti in materia di sicurezza rimarranno un problema.
Progettate una campagna di formazione sulla sicurezza che coinvolga il pubblico a livello emotivo e che affronti, ad esempio, specifici comportamenti a rischio:
Formazione basata sui ruoli: utilizzare campagne di phishing simulate basate sui ruoli, per testare le risposte dei dipendenti alle minacce che un determinato reparto potrebbe subire.
Contenuti interattivi: utilizzare materiali formativi che offrano esperienze interattive e che includano l'apprendimento per punti; questo fornisce consigli ai discenti durante la sessione e indica dove hanno sbagliato, cosa potrebbe accadere e come prevenire l'azione in futuro.
#2 Una mentalità da "scatola di latta
Le normative possono fornire una casella da spuntare per quanto riguarda la conformità, ma spuntarla non produce risultati efficaci in termini di formazione. Se si organizza una campagna di formazione sulla sicurezza con la mentalità di spuntare la casella della conformità, è improbabile che si ottengano buoni risultati. La formazione sulla sicurezza si basa in ultima analisi sull'esperienza umana e sulle interazioni sociali.
Invece di svolgere la formazione sulla sicurezza solo per motivi di conformità, create un programma di eventi interattivo e coinvolgente ben congegnato. Create sessioni di formazione che rispecchino la base dei vostri dipendenti, siano basate sui ruoli, sviluppino le conoscenze e presentino opportunità di apprendimento che rimangano impresse.
Per contribuire a stabilire un programma di formazione completo e regolare, automatizzate la vostra campagna di Security Awareness Training per garantire che l'apprendimento avvenga durante tutto il calendario. La formazione di sensibilizzazione sulla sicurezza automatizzata fornisce un quadro di riferimento per contenuti coinvolgenti e continui che spingono a comportamenti positivi in materia di sicurezza.
#3 La formazione non si concentra sul comportamento
La formazione sulla sicurezza deve affrontare i comportamenti profondi sfruttati dai criminali informatici per manipolare i vostri dipendenti. Purtroppo, le tecnologie che utilizziamo quotidianamente sul posto di lavoro fanno parte di questa manipolazione, con le e-mail di phishing che sono ancora lo strumento preferito dai criminali informatici, secondo il Threat Intelligence Index 2022 di IBM.
Ma cambiare i comportamenti è difficile; non aspettatevi che la formazione sulla sicurezza abbia effetto da un giorno all'altro. La formazione sul modo in cui i truffatori manipolano le persone richiede uno sforzo concertato, utilizzando contenuti della campagna progettati per modificare i comportamenti scorretti in materia di sicurezza. Utilizzate contenuti di formazione sulla sicurezza basati sul comportamento, come i video interattivi, per ottenere risultati migliori dai vostri programmi di formazione. Questi programmi basati sul comportamento riconoscono i comportamenti a rischio e li utilizzano per sviluppare le esigenze formative del singolo individuo, sviluppando le conoscenze nel tempo.
La progettazione della campagna deve basarsi sui rischi noti e previsti a livello granulare, di ruolo e di reparto. I comportamenti che propagano questi rischi, come cliccare su un link di phishing, possono essere affrontati con programmi di formazione specializzati, come il phishing simulato.
#4 Non sapete se i vostri dipendenti hanno compreso la formazione
Uno degli aspetti più importanti dell'apprendimento è la valutazione dello sviluppo e della comprensione individuale. Se la vostra organizzazione riscontra una mancanza di progressi nel comportamento di alcuni o di tutti i dipendenti in materia di sicurezza, dovete scoprire perché questi dipendenti non riescono a imparare dai contenuti. Con il giusto tipo di dati di misurazione, sarete in grado di modificare il programma di sensibilizzazione alla sicurezza per renderlo più efficace.
Quando si eseguono campagne di sensibilizzazione alla sicurezza, utilizzare le analisi e i report integrati per generare metriche da esaminare. Molti sistemi avanzati di sensibilizzazione alla sicurezza, tra cui le piattaforme di phishing simulato, forniscono meccanismi per raccogliere metriche su base individuale o di reparto. Utilizzate queste metriche per valutare l'efficacia dei diversi aspetti della formazione. Ad esempio, potreste scoprire che argomenti specifici, o il modo in cui vengono presentati, sono meno efficaci nel modificare il comportamento.
Progettate le vostre campagne di sensibilizzazione alla sicurezza per raccogliere metriche basate sui rischi e sui comportamenti che volete affrontare. Per quanto riguarda i rischi principali, la percentuale di clic sui link di phishing è un buon punto di partenza, poiché le metriche vengono raccolte durante le simulazioni di phishing. Man mano che raccogliete dati sulla suscettibilità a fare clic su un link di phishing, modificate le campagne per garantire che i punti di apprendimento vengano utilizzati per risolvere i problemi. Continuate a misurare il tasso di clic, regolandovi man mano, finché non vedrete una riduzione dei clic sui link di phishing. Questa strategia di aggiustamento iterativo dovrebbe essere ripetuta per altri comportamenti scorretti, come il riutilizzo delle password.
Le metriche della formazione di sensibilizzazione alla sicurezza aiutano anche a valutare il programma nel suo complesso e forniscono un modo per mostrare alla leadership l'importanza della formazione sulla sicurezza. L'analisi delle metriche strategiche dovrebbe allinearsi ad aree quali il numero di incidenti, il costo di una violazione e le violazioni di policy e normative. Le piattaforme avanzate di sensibilizzazione alla sicurezza generano report e immagini complete da mostrare al team di gestione.
#5 Manca uno spirito comunitario
Nei circoli di formazione sulla consapevolezza della sicurezza si parla molto dello sviluppo di una cultura della sicurezza. Questo per una buona ragione. Una cultura in cui la sicurezza viene presa sul serio si traduce in una migliore postura di sicurezza.
La mancanza di spirito comunitario in materia di sicurezza ha risultati disastrosi: un recente rapporto mostra che il 61% dei dipendenti non segnalerebbe un incidente di sicurezza. Questo può significare che affrontare le violazioni e prevenire continui problemi di sicurezza è più complicato.
Promuovendo uno sforzo congiunto per la sicurezza dell'organizzazione, è più probabile che i dipendenti sentano la responsabilità generale di mantenere il luogo di lavoro sicuro. Una cultura della sicurezza nasce quando i programmi di sensibilizzazione alla sicurezza hanno successo. Un programma efficace di formazione in materia di sicurezza conferisce ai dipendenti le conoscenze necessarie e modifica i comportamenti di sicurezza inadeguati in azioni positive che fermano la criminalità informatica.
Se tutti collaborano, si sviluppa una cultura di atteggiamenti positivi in materia di sicurezza e si forma la cultura della sicurezza. Se affrontati, i quattro motivi di cui sopra aiutano a costruire le fondamenta di questa cultura della sicurezza. Il risultato sarà una riduzione degli attacchi informatici e il rispetto delle normative.
Durante la preparazione e l'avvio della formazione di sensibilizzazione alla sicurezza nel 2023, verificate che stiate seguendo le best practice per ottenere i migliori risultati.