Gli errori capitano, è inevitabile. 

Ma la realtà è che
quando si tratta della tua campagna di sensibilizzazione sulla sicurezza informatica, qualsiasi errore, per quanto piccolo, può avere un effetto enormemente dannoso sulla sicurezza della tua
organizzazione.

I risultati di questi errori, apparentemente innocenti, sono
continuamente riportati dalla stampa con notizie quotidiane di violazioni di dati, attacchi informatici
e multe salate imposte per pratiche di sicurezza informatica negligenti.

Viviamo in un’epoca diversa, un’epoca che richiede un approccio migliore alla sicurezza informatica. La tua campagna di sensibilizzazione sulla Cyber Security non può essere solo un tentativo di spuntare una casella. Deve ridurre i rischi, fornire una difesa reale contro le minacce informatiche ed educare il personale sull’importanza del loro ruolo nella salvaguardia dei dati aziendali sensibili.

Può essere difficile sapere da dove iniziare o quali aree
presentano il rischio più elevato, ma riconoscendo gli errori più comuni di
sensibilizzazione sulla sicurezza, puoi iniziare a sviluppare una solida campagna di
sensibilizzazione sulla sicurezza informatica che difenda dalle minacce informatiche in continua evoluzione e
sia effettivamente conforme ai quadri normativi.

Alcuni degli errori più comuni di sensibilizzazione alla sicurezza includono:

1.Un approccio disinvolto alla sicurezza informatica

Molte organizzazioni si dedicano alla sicurezza informatica a parole, ma non prendono abbastanza sul serio la minaccia. Potrebbero credere di essere troppo piccole per essere attaccate o che il denaro potrebbe essere investito in altre aree dove il ritorno sugli investimenti è più immediato. Si tratta di ipotesi pericolose.

Secondo il Verizon 2019 Data Breach Investigations Report (DBIR), il 43% di tutti gli attacchi informatici prende di mira le piccole imprese. La realtà è che i criminali informatici prendono sempre più di mira le organizzazioni di piccole e medie dimensioni, che in genere hanno meno soldi e risorse da investire nella sicurezza informatica. Anche se sono i grandi marchi a finire sui giornali, ogni organizzazione è un bersaglio e ha bisogno di misure di sicurezza informatica adeguate per difendersi dagli attacchi.

L‘errore umano rimane la causa principale di tutte le violazioni della sicurezza informatica, per cui è fondamentale che la tua organizzazione metta in atto un’efficace campagna di sensibilizzazione sulla sicurezza informatica che istruisca il personale su come identificare e rispondere in modo appropriato alle minacce in evoluzione.

2. Nessun obiettivo chiaro

Se vuoi che la tua campagna di sensibilizzazione alla sicurezza abbia successo, devi
avere obiettivi chiaramente definiti che delineino ciò che speri di ottenere. I tuoi
obiettivi devono identificare e affrontare i problemi che la tua organizzazione sta
attualmente affrontando. Potrebbe trattarsi di attacchi di phishing, lavoro da remoto, sicurezza delle
password, questioni normative o sicurezza fisica. I criminali informatici sono alla
continua ricerca di aree da sfruttare, quindi se la tua campagna di
sensibilizzazione alla sicurezza non identifica correttamente tutte le aree di rischio, la tua organizzazione è
vulnerabile agli attacchi.

Il passo successivo consiste nell’identificare il tuo pubblico di riferimento. Il personale della tua organizzazione è esposto a minacce diverse, quindi piuttosto che inviare a tutti gli stessi contenuti generici, i tuoi dipendenti dovrebbero ricevere una formazione mirata e pertinente al loro ruolo. Effettuando una valutazione dettagliata dei rischi, la tua organizzazione sarà in una posizione migliore per creare una campagna di sensibilizzazione sulla sicurezza con obiettivi chiari che potranno essere misurati e valutati correttamente in un secondo momento.

3. Contenuti noiosi

La tua campagna di sensibilizzazione sulla sicurezza informatica è condannata se continui a bombardare il tuo staff con gli stessi vecchi contenuti blandi e ripetitivi. La sicurezza informatica è un argomento già abbastanza arido di per sé, senza doverlo aggravare con lunghe presentazioni in PowerPoint e slide monotone che non hanno alcun ruolo nel trasmettere la minaccia reale che i criminali informatici rappresentano per la tua azienda. E non fraintendetemi, queste minacce sono reali. Indipendentemente dalle dimensioni, dal settore o dall’ubicazione, ogni organizzazione è vulnerabile e sarà attivamente presa di mira dai criminali informatici.

La chiave per mitigare questo rischio e creare una forza lavoro più sicura dal punto di vista informatico è l’utilizzo di contenuti coinvolgenti e pertinenti. Lo storytelling è un modo molto efficace per rafforzare il messaggio sulla sicurezza informatica. Secondo una ricerca della Stanford University, le storie sono fino a 22 volte più memorabili dei soli fatti. Se riesci a rendere la sicurezza informatica comprensibile, i tuoi dipendenti saranno più propensi a trattenere le informazioni, migliorando così la sicurezza generale della tua organizzazione.

È inoltre importante utilizzare una varietà di metodi e formati diversi per mantenere il pubblico coinvolto. Video live-action, animazioni, quiz, policy, blog e poster di sensibilizzazione possono essere combinati per creare un programma di sicurezza completo che abbia un impatto positivo sul comportamento dei dipendenti.

4. Formazione poco frequente

Negli anni passati, le organizzazioni organizzavano un corso annuale sulla sicurezza informatica
e speravano che fosse sufficiente a mantenere il personale aggiornato sulle ultime minacce. Tuttavia, i tempi sono cambiati. Le minacce informatiche sono
in continua evoluzione e quindi, se il tuo personale non riceve una formazione regolare,
non sarà in grado di riconoscere le minacce sofisticate che vengono utilizzate per
colpirli.

I criminali informatici tentano di infiltrarsi nella tua organizzazione sfruttando le vulnerabilità del software, il phishing, il malware o, in generale, le cattive pratiche di sicurezza. Poiché siamo diventati più consapevoli di questi diversi tipi di metodi di attacco, i criminali informatici hanno dovuto diventare più subdoli nei loro tentativi di frode. Il 30% degli eventi di sicurezza può essere attribuito a dipendenti disattenti o disinformati: se il tuo personale non riceve una formazione regolare, potrebbe rappresentare una minaccia significativa per la sicurezza della tua organizzazione.

5. Non premiare il personale

Può essere troppo facile rimanere intrappolati nel tentativo di identificare gli individui che rappresentano un rischio per la sicurezza della tua organizzazione, piuttosto che premiare i membri del personale che identificano attivamente le minacce, che mettono in pratica comportamenti corretti in materia di sicurezza e che motivano i colleghi in questo processo. Questi sono i membri del personale che sono fondamentali per il successo del tuo programma di sensibilizzazione alla sicurezza e devono essere premiati di conseguenza.

Le ricompense potrebbero includere trofei, premi o elogi pubblici e il riconoscimento che i loro sforzi sono apprezzati. È scientificamente provato che le ricompense influenzano ilcomportamento umano, quindi creando un programma di incentivi che premi i comportamenti positivi in materia di sicurezza, avrai maggiori probabilità di creare una forza lavoro sicura dal punto di vista informatico e impegnata a proteggere la tua organizzazione.

Gartner ha prodotto un dettagliato documento di ricerca che evidenzia 10 comuni errori di sensibilizzazione alla sicurezza e come possono essere evitati. Per leggere il documento di ricerca e scoprire come cambiare i comportamenti in materia di sicurezza all’interno della tua organizzazione, visita il sito