La formazione sulla consapevolezza della sicurezza è una sfida fondamentale per molte organizzazioni.
Spesso i settori della sicurezza informatica danno priorità alle tecnologie tradizionali, come i firewall e le soluzioni anti-malware. Tuttavia, queste difese tecnologiche forniscono una falsa sensazione di sicurezza che il perimetro sia difeso.
Nonostante i forti investimenti nella sicurezza perimetrale, molte organizzazioni non considerano che i loro dipendenti sono importanti quanto la tecnologia che utilizzano per proteggersi dalle minacce informatiche. Le azioni di un singolo dipendente possono aggirare completamente questi controlli, causando circostanze devastanti. L'anno scorso, il costo medio di una violazione dei dati è stato di 3,92 milioni di dollari, e il 34% delle violazioni dei dati ha coinvolto soggetti interni .
Per ovviare ai rischi che derivano dall'aspetto umano della sicurezza informatica, il Security Awareness Training cerca di influenzare un reale cambiamento di comportamento e di radicare una cultura della sicurezza informatica nelle organizzazioni.
Poiché gli attacchi informatici continuano ad aumentare in termini di dimensioni, sofisticazione e costi, è fondamentale che la formazione dei dipendenti educhi e metta in grado gli utenti finali di modificare i propri comportamenti e proteggere l'organizzazione da potenziali rischi.
Per saperne di più: 10 errori comuni di sensibilizzazione alla sicurezza da evitare nel 2020
7 suggerimenti per la formazione sulla sicurezza
Iniziare con la leadership del CEO
La sicurezza informatica è una responsabilità di tutti, ma le organizzazioni più solide hanno una forte leadership da parte del CEO. Se il CEO prende sul serio la sicurezza informatica, questo si diffonderà in tutta l'organizzazione e contribuirà a creare una cultura di maggiore consapevolezza della sicurezza informatica.
Conoscere le proprie tolleranze organizzative
Prendersi il tempo necessario per identificare correttamente i rischi può aiutare a definire il messaggio, la consegna e l'obiettivo efficace del programma di sensibilizzazione sulla sicurezza informatica.
Difendi il tuo patrimonio informativo
Dovete determinare quali sono le vostre risorse informative più preziose, dove si trovano e chi vi ha accesso. Ogni risorsa dovrebbe essere classificata (per esempio, pubblica, privata o confidenziale) e protetta in base al suo valore. Questo è fondamentale per identificare i rischi e dare priorità alle aree che devono essere difese.
Rendilo coinvolgente con lo storytelling
Lo storytelling è uno dei modi più efficaci per dare vita alla vostra campagna di sensibilizzazione sulla sicurezza informatica. La sicurezza informatica può essere un argomento arido, ma è fondamentale trovare il modo di coinvolgere il personale se si vuole avere un impatto positivo sul comportamento all'interno dell'organizzazione. Il messaggio è troppo importante per perdersi in comunicazioni aziendali formali.
Aggiornare la gestione delle politiche
Le politiche sono cruciali nello stabilire i limiti di comportamento per gli individui, i processi, le relazioni e le transazioni all'interno della vostra organizzazione. Forniscono una struttura di governance, identificano il rischio e aiutano a definire la conformità, che è importante nel panorama normativo sempre più complesso di oggi.
Iniziate subito a prepararvi per una violazione dei dati
Non è più una questione di "se" la vostra organizzazione subirà una violazione, ma di "quando". È necessario iniziare a prepararsi all'inevitabile e mettere in atto un piano che garantisca un'azione appropriata e tempestiva quando la sicurezza viene violata.
Automatizzare la formazione sulla sicurezza
Automatizzate l'intera formazione di sensibilizzazione alla sicurezza per 12 mesi e gestite l'erogazione degli elementi chiave al pubblico giusto e al momento giusto. Un approccio automatizzato alla formazione di sensibilizzazione sulla sicurezza consente di registrare le informazioni di audit a supporto della difesa normativa che potrebbe essere richiesta in caso di violazione o di audit. Questi elementi dovrebbero includere una combinazione di eLearning su misura, policy critiche, poster, blog pertinenti, e-mail di phishing simulate, valutazioni del rischio e sondaggi.
Ulteriori letture: 10 modi per migliorare la consapevolezza della sicurezza informatica del personale
