Come misurare il successo del tuo programma di formazione sulla consapevolezza della sicurezza
Pubblicato su: 26 Nov 2021
Ultima modifica il: 24 Lug 2025
Ecco alcuni modi per valutare misura per misura il tuo programma di formazione sulla sicurezza.
Quando si effettua una misurazione di qualcosa, si ottengono dei dati. Che si tratti della lunghezza di un pezzo di corda o del cambiamento di comportamento di un dipendente di fronte a un’e-mail di phishing, questi dati ci forniscono importanti informazioni su un’attività o un progetto.
Il successo o meno di un programma di Security Awareness Training (SAT) può essere misurato in più modi e, così facendo, fornisce importanti indicazioni sull’efficacia della formazione. Ma per ottimizzare queste misurazioni è necessario un team trasversale e lungimirante.
Perché preoccuparsi di misurare l’efficacia di un programma di formazione sulla sicurezza?
Un recente documento di Gartner inc. “Take 3 Steps to Prove That Your Security Awareness Program Is Actually Working” (Fai 3 passi per dimostrare che il tuo programma di sensibilizzazione alla sicurezza sta funzionando) illustra i perché e i percome della misurazione di un programma SAT. Il documento, scritto per i responsabili della sicurezza e del rischio, ha individuato tre motivi principali per cui è importante misurare il Security Awareness Training:
- Se non puoi dimostrare che il rischio informatico è stato ridotto grazie al programma, non otterrai l’approvazione del livello C per continuare la formazione sulla sicurezza.
- La formazione di sensibilizzazione alla sicurezza viene spesso inserita in un’organizzazione senza avere una visione chiara di ciò che si vuole ottenere. Questo si traduce in un programma che non riesce a ottenere i cambiamenti comportamentali necessari per ridurre il rischio informatico.
- La misurazione del successo di un Security Awareness Training non può basarsi su singole variabili. Questi programmi contengono molti elementi che devono essere rilevati per mostrare il vero impatto di un programma SAT.
Uno dei punti principali del documento è che una visione chiara deve costituire la base di un programma di sensibilizzazione alla sicurezza. Senza questa visione chiara di ciò che si vuole ottenere, le misurazioni non avranno senso. In altre parole, le misurazioni sono più efficaci se hanno un punto di partenza come termine di paragone. Questa visione, tuttavia, deve essere direttamente collegata ai risultati aziendali. Un modo per stabilire questo punto di partenza è utilizzare un approccio interfunzionale, ovvero riunire i team al di là dei confini organizzativi per dare un contributo su ciò che è importante per mitigare il rischio informatico.
In questo modo si allinea la visione della sicurezza informatica con gli obiettivi aziendali; questo approccio è un esercizio continuo e una best practice, dato che gli attacchi informatici causano continui disagi in tutti i settori dell’industria. Le decisioni aziendali e operative sono ora intrinsecamente intrecciate con la sicurezza. La pandemia di Covid-19 e i mandati di lavoro da casa hanno dimostrato questo punto, con l’aumento del rischio di sicurezza del lavoro da casa; i lavoratori da casa offrono maggiori opportunità ai criminali informatici di attaccare una rete aziendale attraverso i suoi dipendenti.
Ma una visione ha bisogno di misure dimostrabili per dimostrare che sta raggiungendo il suo scopo. Per dimostrare al livello C o al consiglio di amministrazione quanto un programma stia procedendo bene servono fatti concreti. È qui che entra in gioco la misurazione.
Tre modi per misurare il successo di un programma di formazione sulla consapevolezza della sicurezza
Il documento di Gartner cita tre elementi chiave che dimostrano che il tuo programma di sensibilizzazione alla sicurezza sta funzionando. Queste tre aree possono essere suddivise in:
Generare
Generare una dichiarazione di visione basata sulla cultura della sicurezza: cosa serve alla tua organizzazione dal programma di sensibilizzazione alla sicurezza? Quali comportamenti di sicurezza vuoi che emergano dalla formazione dei dipendenti in materia di sicurezza?
Cattura
Acquisire le metriche del comportamento di sicurezza: creare metriche di sensibilizzazione alla sicurezza che dimostrino un cambiamento significativo e positivo del comportamento di sicurezza. Queste metriche possono assumere la forma di metriche tradizionali di sensibilizzazione alla sicurezza, come ad esempio sondaggi e simulazioni di phishing.
Dimostrare
Dimostrare la riduzione dell’esposizione al rischio: mostra al team di Cx cambiamenti tracciabili nel comportamento in materia di sicurezza, collegati a risultati concreti in termini di riduzione dell’esposizione al rischio informatico.
Acquisizione di metriche e cambiamenti comportamentali
La visione della sicurezza è il perno su cui ruota l’acquisizione di metriche e prove comportamentali. Questa visione costituisce la prova necessaria per dimostrare al team Cx che la formazione di sensibilizzazione alla sicurezza funziona. Esistono molti modi per misurare le metriche di sicurezza e MetaCompliance ha parlato delle misurazioni della formazione sulla sicurezza in un precedente post del blog.
La misurazione fornisce dati quantificabili che costituiscono la base per una valutazione del ritorno sull’investimento (ROI). Ma una semplice equazione del ROI non coglie l’impatto positivo e continuo di un programma di sensibilizzazione alla sicurezza ben sviluppato. La visione centrale della sicurezza di un’organizzazione deve essere mappata per convalidare i risultati finali che vedono la riduzione del rischio informatico complessivo di un’organizzazione. Questa visione di un’organizzazione sicura deve essere tradotta in un pensiero orientato alla sicurezza e in un cambiamento comportamentale associato.
Per aiutarti nell’esercizio di misurazione, il documento di Gartner parla di “comportamenti di firma”, che descrive come “I comportamenti di firma sono quelli che riflettono chiaramente l’intento positivo e il supporto degli utenti finali per la realizzazione della visione di consapevolezza della sicurezza“.
Gartner traccia alcuni esempi di pratiche di sicurezza desiderate rispetto ai comportamenti di sicurezza tipici:
Pratica: Tutti gli utenti finali utilizzano password forti
Comportamento: Utilizziamo sempre delle passphrase per costruire le nostre password di accesso ai nostri account di lavoro.
Esercitati: Controlla i link prima di cliccarli
Comportamento: Siamo attenti e segnaliamo le e-mail sospette al servizio di assistenza informatica.
Nell’ambito della tua visione della sicurezza, collabora con il tuo team interfunzionale per sviluppare una serie di comportamenti caratteristici che possano essere utilizzati per dimostrare il successo del programma di formazione sulla consapevolezza della sicurezza.
La prova del nove grazie a una migliore sicurezza
In definitiva, un’azienda vuole vedere che il suo investimento in un programma di sensibilizzazione alla sicurezza si riflette in una diminuzione delle probabilità di violazione dei suoi dati. Valutando i comportamenti delle firme rispetto ai tipi di minaccia, un’organizzazione può arricchire di valore aggiunto la semplice equazione del ROI.
La prova della formazione sulla sicurezza è nel piatto. Nel tempo, un programma di formazione sulla sicurezza ben pianificato ed efficace mostrerà una riduzione degli attacchi informatici. Ma una visione forte è il punto di partenza di tutto.
