Gli errori capitano, è inevitabile.
Ma la realtà è che
quando si tratta della vostra campagna di sensibilizzazione sulla sicurezza informatica, qualsiasi errore, per quanto piccolo, può avere un effetto enormemente dannoso sulla sicurezza della vostra
organizzazione.
I risultati di questi errori apparentemente innocenti sono
continuamente riportati dalla stampa con notizie quotidiane di violazioni di dati, attacchi informatici
e multe paralizzanti imposte per pratiche di sicurezza informatica negligenti.
Viviamo in un'epoca diversa ora, un'epoca che richiede un approccio migliore alla Cyber Security. La vostra campagna di sensibilizzazione per la Cyber Security non può essere solo un tentativo poco brillante di spuntare semplicemente una casella. Deve mitigare il rischio, fornire una difesa reale contro le minacce informatiche ed educare il personale sull'importanza del loro ruolo nella salvaguardia dei dati aziendali sensibili.
Può essere difficile sapere da dove iniziare o quali aree
presentano il rischio più elevato, ma riconoscendo gli errori più comuni di
sensibilizzazione alla sicurezza, è possibile iniziare a sviluppare una solida campagna di
sensibilizzazione alla sicurezza informatica che difenda dalle minacce informatiche in evoluzione e
sia effettivamente conforme ai quadri normativi.
Alcuni degli errori più comuni di consapevolezza della sicurezza includono:
1. Un approccio blasé alla sicurezza informatica
Molte organizzazioni si occupano di Cyber Security a parole, ma non prendono la minaccia abbastanza seriamente. Possono credere di essere troppo piccole per essere attaccate o che il denaro potrebbe essere investito in altre aree dove c'è un ritorno più immediato sugli investimenti. Queste sono ipotesi pericolose da fare.
Secondo il Verizon 2019 Data Breach Investigations Report (DBIR), il 43% di tutti gli attacchi informatici ora prende di mira le piccole imprese. La realtà è che i criminali informatici sono sempre più alla ricerca di organizzazioni di piccole e medie dimensioni, poiché in genere hanno meno soldi e risorse da investire in Cyber Security. Possono essere i grandi marchi a colpire i titoli dei giornali, ma ogni organizzazione è un bersaglio e ha bisogno di misure di Cyber Security appropriate per difendersi dagli attacchi.
L'errore umano rimane la causa principale di tutte le violazioni della sicurezza informatica, quindi è fondamentale che la vostra organizzazione implementi un'efficace campagna di sensibilizzazione sulla sicurezza informatica che educhi il personale su come identificare e rispondere adeguatamente alle minacce in evoluzione.
2. Nessun obiettivo chiaro
Affinché la campagna di sensibilizzazione alla sicurezza abbia successo, è necessario
avere obiettivi chiaramente definiti che delineino ciò che si spera di ottenere. Gli
obiettivi devono identificare e affrontare i problemi che la vostra organizzazione sta
attualmente affrontando. Potrebbe trattarsi di attacchi di phishing, lavoro da remoto, sicurezza delle
password, questioni normative o sicurezza fisica. I criminali informatici sono alla
continua ricerca di aree da sfruttare, quindi se la campagna di
sensibilizzazione alla sicurezza non identifica correttamente tutte le aree di rischio, l'organizzazione è
vulnerabile agli attacchi.
Il passo successivo è quello di identificare il vostro pubblico target. Personale diverso nella vostra organizzazione affronta minacce diverse, quindi piuttosto che inviare lo stesso contenuto generico a tutti, i vostri dipendenti dovrebbero ricevere una formazione mirata che sia rilevante per il loro ruolo. Conducendo una valutazione dettagliata dei rischi, la vostra organizzazione sarà in una posizione migliore per creare una campagna di sensibilizzazione alla sicurezza con obiettivi chiari che possono essere adeguatamente misurati e valutati in un secondo momento.
3. Contenuto noioso
La vostra campagna di sensibilizzazione sulla sicurezza informatica è condannata se continuate a bombardare il vostro staff con lo stesso vecchio contenuto insipido e ripetitivo. La Cyber Security è un argomento già abbastanza arido senza doverlo aggravare con lunghe presentazioni in PowerPoint e monotoni slide deck che non hanno alcun ruolo nel trasmettere la minaccia reale che i criminali informatici rappresentano per la vostra azienda. E non fate errori, queste minacce sono reali. Indipendentemente dalle dimensioni, dal settore o dall'ubicazione, ogni organizzazione è vulnerabile e sarà attivamente presa di mira dai criminali informatici.
La chiave per mitigare questo rischio e creare una forza lavoro più sicura dal punto di vista informatico è attraverso l'uso di contenuti coinvolgenti e rilevanti. Lo storytelling è un modo molto efficace per aiutare a rafforzare il vostro messaggio di sicurezza informatica. Secondo una ricerca della Stanford University, le storie sono fino a 22 volte più memorabili dei soli fatti. Se riuscite a rendere la Cyber Security relazionabile, è più probabile che i vostri dipendenti conservino le informazioni, migliorando così la posizione di sicurezza generale della vostra organizzazione.
È anche importante usare una varietà di metodi e formati diversi per mantenere il pubblico coinvolto. Video live-action, animazione, quiz, politiche, blog e poster di sensibilizzazione possono essere tutti combinati per creare un programma di sicurezza completo che abbia un impatto positivo sul comportamento dei dipendenti.
4. Formazione poco frequente
Negli anni passati, le organizzazioni organizzavano un corso annuale di Cyber Security
e speravano che fosse sufficiente a mantenere il personale aggiornato sulle ultime minacce. Tuttavia, i tempi sono cambiati. Le minacce informatiche sono
in continua evoluzione e, se il personale non riceve una formazione regolare,
non sarà in grado di riconoscere le minacce sofisticate utilizzate per
colpirli.
I criminali informatici in genere tentano di infiltrarsi nella vostra organizzazione sfruttando le vulnerabilità del software, il phishing, il malware o attraverso pratiche generali di scarsa sicurezza. Poiché siamo diventati più consapevoli di questi diversi tipi di metodi di attacco, i criminali informatici hanno dovuto diventare più subdoli nei loro tentativi di defraudarci. Il 30% degli eventi di sicurezza può ora essere attribuito a dipendenti disattenti o disinformati, quindi a meno che il vostro personale non stia ricevendo una formazione regolare, potrebbe rappresentare una minaccia significativa per la sicurezza della vostra organizzazione.
5. Non premiare il personale
Può essere troppo facile rimanere intrappolati nel tentativo di identificare gli individui che rappresentano un rischio per la sicurezza della vostra organizzazione, piuttosto che premiare i membri del personale che stanno attivamente identificando le minacce, praticando buoni comportamenti di sicurezza e motivando i colleghi nel processo. Questi sono i membri del personale che sono la chiave per il successo del vostro programma di consapevolezza della sicurezza e dovrebbero essere premiati di conseguenza.
Le ricompense potrebbero includere trofei, premi o elogi pubblici e il riconoscimento che i loro sforzi vengono apprezzati. È stato scientificamente provato che le ricompense influenzano ilcomportamento umano, quindi creando un programma di incentivi che premia il comportamento positivo in materia di sicurezza, è più probabile creare una forza lavoro sicura dal punto di vista informatico che si impegna a proteggere la vostra organizzazione.
Gartner ha prodotto un documento di ricerca dettagliato che evidenzia 10 comuni errori di sensibilizzazione alla sicurezza e come possono essere evitati. Per leggere il documento di ricerca e scoprire come modificare i comportamenti in materia di sicurezza all'interno della vostra organizzazione, visitate il sito