Uno dei modi più importanti per controllare il lato umano delle violazioni della sicurezza informatica è quello di utilizzare una formazione di sensibilizzazione alla sicurezza su misura per i dipendenti.
Dalla perdita di fiducia dei clienti all'orrore delle multe per mancata conformità, le violazioni dei dati sono ormai una preoccupazione quotidiana per le aziende di tutti i settori. Tenere sotto controllo i rischi per la sicurezza è una sfida.
Sarebbe meraviglioso se la sicurezza informatica consistesse semplicemente nell'utilizzare un pezzo di tecnologia per chiudere la porta ai criminali informatici; ma, come dimostra uno studio di IBM che esplora il costo di una violazione dei dati, la maggior parte delle minacce informatiche tende ad avere un dipendente come causa principale; che si tratti di un semplice errore umano, di insider malintenzionati, di phishing o di credenziali compromesse.
Importanza della formazione sulla sicurezza per i dipendenti
Come tutti sappiamo, l'educazione è importante nella vita. Questa educazione si estende al comportamento e alla sicurezza; se una persona capisce perché agisce in un determinato modo, può cambiare più facilmente qualsiasi comportamento negativo.
Rendendo i dipendenti e i non dipendenti consapevoli di come funziona la sicurezza informatica, possono diventare parte di un team istruito che svolge un ruolo positivo nel contribuire a mitigare gli attacchi informatici a un'organizzazione.
Gli esseri umani agiscono in modi particolari a causa delle norme comportamentali e del precondizionamento per utilizzare più facilmente i computer. Questo comportamento viene utilizzato per manipolare i dipendenti affinché compiano azioni a vantaggio dei truffatori.
Ciò è confermato da studi che dimostrano come la manipolazione del comportamento umano sia lo strumento preferito dalla criminalità informatica. Sebbene sia il malware a svolgere il compito di esfiltrare i dati, gli esseri umani aprono la porta alle minacce informatiche attraverso l'errore umano, l'ingegneria sociale e il phishing. Ecco tre motivi principali per cui è importante la formazione di sensibilizzazione alla sicurezza per i dipendenti:
La formazione sulla consapevolezza della sicurezza si concentra sull'uomo nella catena delle minacce
Secondo l'ENISA, oltre il 95% delle e-mail di phishing richiede l'intervento umano per avviare l'infezione da malware.
La formazione sulla sicurezza riduce i costi
Lo studio IBM citato in precedenza ha rilevato che i corsi di formazione per i dipendenti sono uno dei modi migliori per ridurre il costo medio di una violazione dei dati.
La formazione sulla consapevolezza della sicurezza prende le politiche e le trasforma in azioni
Un altro studio dell'ENISA sulla cultura della sicurezza informatica sottolinea l'importanza dell'applicazione delle politiche di sicurezza. Il rapporto ha rilevato che gli utenti finali considerano le politiche di sicurezza come "linee guida, ma non regole". Il rapporto sottolinea l'importanza di cambiare la mentalità dei dipendenti in materia di sicurezza per adeguare la percezione del rischio utilizzando una cultura della sicurezza organizzativa coordinata, invece di imporre comportamenti sicuri.
Argomenti essenziali della formazione sulla sicurezza per i dipendenti
I programmi di formazione sulla consapevolezza della sicurezza contengono diverse aree tematiche che sono indispensabili per una formazione efficace. Sei delle più importanti sono:
Phishing
Gli attacchi di phishing rimangono uno dei principali metodi di violazione dei dati. Insieme alla mancanza di formazione e alla scarsa igiene delle password, gli attacchi di phishing sono tra le prime tre modalità di infezione da ransomware. La formazione sulla sicurezza dei dipendenti deve comprendere come funziona il phishing e quali tipi di phishing esistono, ad esempio il phishing via e-mail, il phishing vocale (Vishing), il phishing via SMS (SMShing) e lo spear phishing. Le simulazioni di phishing fanno spesso parte di un pacchetto di sensibilizzazione. Le esercitazioni diphishing simulato sono fatte su misura per inviare e-mail di phishing di prova per addestrare gli utenti ai tipici trucchi utilizzati dai truffatori. Molti programmi di formazione per la sensibilizzazione alla sicurezza offrono anche video interattivi per aiutare a individuare i vari tipi di frode che utilizzano il phishing.
Sicurezza del web
Nel 2020, Google ha registrato più di 2 milioni di siti web di phishing. Gli URL dannosi possono causare il furto di credenziali e l'infezione da malware, anche senza l'interazione dell'utente. È importante formare gli utenti finali su come individuare i siti web/le truffe che mirano a infettare le reti. Questo sta diventando sempre più difficile in quanto i siti di phishing sono spesso "siti sicuri"; l'Anti-Phishing Working Group (APWG) mostra che l'83% dei siti di phishing utilizza HTTPS.
Igiene delle password
Alcune statistiche di LastPass riassumono i problemi di password che le organizzazioni devono affrontare:
- Il 66% delle persone riutilizza le password
- Il 53% non cambia le proprie password da oltre 12 mesi
- Il 41% crede che i loro account non siano abbastanza preziosi per attirare un hacker
La formazione di sensibilizzazione sulla sicurezza deve comprendere i motivi per cui l'igiene delle password è importante e come creare password solide.
Dispositivi mobili
Ora che molti dipendenti lavorano da casa o da remoto, almeno per una parte del tempo, la sicurezza mobile è più importante che mai. Circa il 70% delle frodi online avviene sul canale mobile. La formazione di sensibilizzazione alla sicurezza dovrebbe concentrarsi sull'uso sicuro dei dispositivi mobili, tra cui la sicurezza del Wi-Fi, l'igiene delle app e il phishing.
Che cos'è il social engineering in cybersecurity?
L'ingegneria sociale viene utilizzata per ingannare gli utenti e indurli a fornire ai truffatori dati preziosi, come le credenziali di accesso e le informazioni personali. L'ingegneria sociale svolge un ruolo importante anche nelle truffe complesse, come la Business Email Compromise (BEC), in cui i dipendenti vengono indotti a inviare denaro al conto bancario di un truffatore.
Gestione dei dati sensibili
Le normative e gli standard richiedono il rispetto dei processi di gestione dei dati sensibili. La formazione sulla sicurezza dei dipendenti deve comprendere anche un elemento che riguardi il loro ruolo nella gestione conforme dei dati sensibili e personali.
Rendere la formazione di sensibilizzazione alla sicurezza interessante per i dipendenti
La cybersecurity è generalmente considerata un argomento noioso. Tuttavia, la formazione sulla consapevolezza della sicurezza ha fatto molta strada rispetto agli inizi. I moderni programmi di sensibilizzazione alla sicurezza sono progettati per rimanere impressi e questo significa che possono essere interessanti, persino divertenti! Alcuni modi per rendere il vostro programma di sensibilizzazione alla sicurezza per i dipendenti divertente e interessante sono:
Il gioco: L'apprendimento attraverso il gioco è qualcosa che gli esseri umani sanno fare bene. Quando ci si diverte a fare qualcosa, si tende a ricordarla. Adattate le vostre lezioni di cybersecurity in modo che utilizzino i giochi per far sì che la formazione rimanga impressa nella mente dei vostri dipendenti.
Interagire: le sessioni di formazione interattive coinvolgono i dipendenti e li aiutano a imparare. Alcuni programmi di formazione sulla sicurezza offrono video interattivi che mostrano ai dipendenti i processi tipici delle truffe per aiutarli a capire come possono essere ingannati dai truffatori. Queste sessioni interattive di solito forniscono un feedback al volo ai dipendenti durante la sessione di formazione.
Relazionarsi: Le persone imparano bene anche grazie a giochi o sessioni di formazione interattive che sono relazionabili. Dovreste cercare di adattare il vostro programma di formazione sulla sicurezza in modo da riflettere le minacce reali che il vostro settore aziendale deve affrontare. Lo studio dell'apprendimento degli adulti, noto come "andragogia", dice questo sull'insegnamento agli adulti:
"Poiché gli adulti cercano un apprendimento pratico, il contenuto dovrebbe concentrarsi su questioni relative al loro lavoro o alla loro vita personale".
Risorse di formazione sulla sicurezza per i dipendenti
Ecco alcune risorse che possono aiutarvi a trovare idee su come sensibilizzare i dipendenti alla cybersicurezza:
Mese della consapevolezza della sicurezza: L'intero mese di ottobre è dedicato a una serie di argomenti di sensibilizzazione sulla sicurezza, offrendo consigli e attività per la formazione dei dipendenti sulle minacce alla sicurezza.
Il Centro nazionale per la sicurezza informatica: Questo ente nazionale ha un sacco di risorse per aiutare a personalizzare le sessioni di formazione sulla consapevolezza.
Quiz sul phishing di Google: Un test automatico, rapido e divertente, che analizza alcuni comuni trucchi di phishing.
Strumento di simulazione del phishing di MetaCompliance: MetaPhish è personalizzato per i vostri dipendenti e fornisce un'idea dell'efficacia della vostra formazione sulla sicurezza.
Poster di sensibilizzazione sullacybersecurity: Poster gratuiti che potete stampare o inviare per ricordare ai dipendenti i vari aspetti essenziali della cybersecurity.
