Gartner, Inc. prevede che entro la fine del 2021 la spesa per la sicurezza e la gestione del rischio raggiungerà probabilmente i 150,4 miliardi di dollari. Il lavoro del CISO (Chief Information Security Officer) non è mai stato così vitale e assicurarsi che il budget sia speso bene è un aspetto importante della gestione della sicurezza informatica e del controllo dei rischi. La formazione sulla consapevolezza della sicurezza è un’area che aiuta a mitigare gli attacchi volti a manipolare i dipendenti. Ciò è confermato da un rapporto di McKinsey che delinea sette aree d’azione, la seconda delle quali consiste nell’arruolare il personale in prima linea e nell’effettuare una formazione di sensibilizzazione alla sicurezza. Questa attenzione all’elemento umano nella mitigazione delle minacce informatiche fa sì che un CISO spenda spesso un budget per la formazione sulla sicurezza.

Tuttavia, per assicurarsi che un programma di formazione sia efficace è necessaria una strategia solida. Ecco sei passi per il successo della sensibilizzazione alla sicurezza che assicurano che il tuo budget sia ben speso.

Sei passi per massimizzare il successo della sensibilizzazione alla sicurezza

L’elemento umano di un attacco informatico è ormai assodato: le ricerche dimostrano che circa l’85% di tutti gli attacchi coinvolge un essere umano che, con l’inganno o in altro modo, spinge il pulsante di attacco. La formazione sulla consapevolezza della sicurezza è uno dei metodi accettati per prevenire gli attacchi informatici incentrati sull’uomo. Di conseguenza, la spesa prevista per i programmi di sensibilizzazione alla sicurezza raggiungerà probabilmente i 10 miliardi di dollari entro il 2027. I sei passi che seguono possono aiutarti a formulare un piano di successo per garantire che il tuo budget sia ben speso.

Fase 1: ottenere il consenso di tutta la C-Suite e del consiglio di amministrazione

Va da sé che se vuoi attuare un cambiamento devi ottenere il consenso delle persone giuste per farlo. La sicurezza è un problema di tutti, anche a livello di consiglio di amministrazione. Un tono positivo dall’alto aiuta a cambiare l’atteggiamento verso la sicurezza che poi si diffonde in tutta l’organizzazione. Con il consenso del livello C e del consiglio di amministrazione, un CISO ha il potere di mettere in atto gli strumenti e i processi necessari per rendere l’azienda più sicura. Il supporto del livello C fornisce la struttura portante necessaria per costruire una cultura della sicurezza utilizzando un pacchetto di formazione sulla consapevolezza della sicurezza.

Suggerimento di MetaCompliance: molte normative e standard sulla protezione dei dati richiedono un programma di sensibilizzazione alla sicurezza. Utilizza questi requisiti per sfruttare la necessità di istituire un programma di sensibilizzazione alla sicurezza.

Passo 2: Iniziare dall’inizio

Conosci le tue esigenze di sicurezza valutando il panorama delle minacce, soprattutto per quanto riguarda il tuo settore. Questa conoscenza è la base di un programma di sensibilizzazione alla sicurezza efficace. Conoscendo i tipi di minacce in cui il tuo settore o la tua azienda potrebbero imbattersi, potrai personalizzare in modo più efficace un programma di formazione sulla sicurezza.   Ad esempio, quali applicazioni cloud utilizza la tua organizzazione? Da quale tipo di minaccia sono maggiormente esposte? Offri un lavoro flessibile e hai lavoratori a distanza? C’è un problema di condivisione delle password tra i tuoi dipendenti?

Inoltre, le esigenze di conformità normativa possono essere specifiche del tuo settore: ad esempio, il tuo personale potrebbe lavorare con grandi volumi di dati altamente sensibili che devono essere conformi ai requisiti del DPA2018. Quando sviluppi un programma di sensibilizzazione su misura, ricordati di includere specifiche sulle normative sulla protezione dei dati.

Suggerimento di MetaCompliance: le tue politiche e le tue procedure devono corrispondere alla formazione di sensibilizzazione. In questo modo, la formazione sulla consapevolezza della sicurezza può essere utilizzata per aiutare a far rispettare i processi di sicurezza.

Fase 3: Rendilo reale (e divertente)

La formazione sulla sicurezza deve essere pratica e incentrata sull’uomo. Affinché la formazione sia un successo, il programma deve entrare in sintonia con il suo pubblico. Ci sono molti modi per farlo e non tutti i programmi di sensibilizzazione alla sicurezza sono uguali. I migliori offrono contenuti interattivi e coinvolgenti che i dipendenti trovano interessanti. Se riesci a mantenere vivo l’interesse di un individuo, è più probabile che incoraggi un apprendimento attivo e duraturo.

Per sviluppare un programma che funzioni bene per mitigare le minacce informatiche incentrate sull’uomo, gli argomenti trattati devono riflettere i tipi di minacce che la tua organizzazione subisce o subirà. Gli argomenti tipici da trattare includono:

  • Igiene delle password
  • Truffe via e-mail
  • Malware e supporti rimovibili
  • Essere sicuri su internet
  • Social media: privacy e sicurezza
  • Conformità e regolamenti e loro impatto sui dipendenti

Gli esercizi di simulazione di phishing sono un modo eccellente per insegnare ai dipendenti i pericoli delle e-mail di phishing in modo creativo e coinvolgente. Per saperne di più, leggi il passo 4…

Suggerimento di MetaCompliance: in generale, qualunque sia il contenuto del tuo programma di sensibilizzazione alla sicurezza, deve fornire contenuti interattivi e coinvolgenti.

Passo 4: Come riconoscere un Phish

Il phish è il punto di riferimento nel mondo degli hacker. Il phishing è diventato negli anni il metodo di attacco preferito e la sofisticazione è il nome del gioco. Le campagne di phishing sono un grande business e modelli come il “phishing-as-a-service” forniscono agli hacker di tutto il mondo gli strumenti per rubare credenziali e dati e infettare le reti con malware, incluso il ransomware. Per questo motivo, insegnare al personale a riconoscere le e-mail di phishing è uno strumento fondamentale per la sensibilizzazione alla sicurezza.

Le soluzioni di simulazione di phishing sono uno strumento importante nel kit di formazione dei CISO. Le simulazioni di phishing consentono a un’organizzazione di automatizzare la formazione sul phishing per addestrare gli utenti a individuare i segnali rivelatori delle campagne di phishing.

Suggerimento di MetaCompliance: utilizza gli esercizi di simulazione di phishing come parte di un programma più ampio di sensibilizzazione alla sicurezza e progettali in modo da riflettere i tipi di minacce di phishing che colpiscono il tuo settore.

Passo 5: Misurare, misurare, misurare

È importante capire l’impatto e l’efficacia di un programma di sensibilizzazione alla sicurezza. Gli eventi di formazione sulla consapevolezza della sicurezza spesso forniscono metriche che mostrano l’efficacia del programma. Alcuni esempi di metriche di formazione che possono offrire una visione dell’efficacia del programma sono:

Sondaggi (qualitativi): Questionari utilizzati per esplorare la comprensione del programma e della sua realizzazione da parte dei tirocinanti.

Risultati della simulazione di phishing (quantitativi): Ad esempio, quanti utenti hanno cliccato sui link di phishing rispetto a quanti hanno avvisato l’azienda quando hanno ricevuto un’e-mail di phishing.

Metriche di segnalazione (quantitative e qualitative): Quanti utenti segnalano i problemi di sicurezza identificati durante la formazione?

Le metriche possono essere visualizzate per offrire un feedback immediato ai partecipanti e alla direzione.

Suggerimento di MetaCompliance: oltre a usare le metriche per adattare i programmi di formazione, usa anche le metriche per mappare le politiche di sicurezza e adattarle alle aree problematiche identificate durante la formazione.

Passo 6: Adattare e aggiornare

Utilizza le metriche delle attività e degli eventi di sensibilizzazione alla sicurezza per adattare le future iterazioni della campagna di sensibilizzazione. Le metriche raccolte nella fase 5 aiuteranno a fornire una formazione più efficace. Tuttavia, i responsabili del programma devono organizzare incontri regolari per garantire che i programmi di formazione riflettano la realtà delle sfide della sicurezza informatica aziendale, poiché le minacce alla sicurezza informatica non sono eventi statici. Man mano che il panorama della sicurezza cambia, che nuovi dipendenti entrano a far parte dell’organizzazione e che nuove tecnologie vengono implementate, la formazione di sensibilizzazione sulla sicurezza deve adattarsi per riflettere questi cambiamenti.

Suggerimento di MetaCompliance: combina diversi modi di formare il personale. Utilizza una varietà di opzioni, tra cui giochi, simulazioni di phishing, poster, newsletter, adattandole nel tempo alle esigenze del reparto e della sicurezza. Coinvolgi i reparti dell’organizzazione nella progettazione e nello sviluppo dei programmi.

Firewall umano