Formazione di sensibilizzazione alla sicurezza su misura
Pubblicato su: 23 Lug 2021
Ultima modifica il: 24 Lug 2025
Uno dei modi più importanti per controllare il lato umano delle violazioni della sicurezza informatica è quello di utilizzare una formazione di sensibilizzazione alla sicurezza su misura per i dipendenti.
Dalla perdita di fiducia dei clienti all’orrore delle multe per mancata conformità, le violazioni dei dati sono ormai una preoccupazione quotidiana per le aziende di tutti i settori. Tenere sotto controllo i rischi per la sicurezza è una sfida.
Sarebbe meraviglioso se la sicurezza informatica consistesse semplicemente nell’utilizzare una tecnologia per chiudere la porta ai criminali informatici; ma, come dimostra uno studio di IBM che analizza i costi di una violazione dei dati, la maggior parte delle minacce informatiche tende ad avere come causa principale un dipendente, che si tratti di un semplice errore umano, di insider malintenzionati, di phishing o di credenziali compromesse.
Importanza della formazione sulla sicurezza per i dipendenti
Come tutti sappiamo, l’educazione è importante nella vita. Questa educazione si estende anche al comportamento e alla sicurezza: se una persona capisce perché agisce in un determinato modo, può cambiare più facilmente qualsiasi comportamento negativo.
Rendendo i dipendenti e i non dipendenti consapevoli di come funziona la cybersecurity, possono diventare parte di un team istruito che svolge un ruolo positivo nel contribuire a mitigare gli attacchi informatici all’organizzazione.
Gli esseri umani agiscono in modi particolari a causa delle norme comportamentali e del precondizionamento per utilizzare più facilmente i computer. Questo comportamento viene utilizzato per manipolare i dipendenti affinché compiano azioni a vantaggio dei truffatori.
Questo è confermato dagli studi che dimostrano come la manipolazione del comportamento umano sia lo strumento preferito dalla criminalità informatica. Può anche essere il malware a fare il lavoro di esfiltrazione dei dati, ma gli esseri umani aprono la porta alle minacce informatiche attraverso l’errore umano, l’ingegneria sociale e il phishing. Ecco tre motivi principali per cui è importante la formazione di sensibilizzazione alla sicurezza per i dipendenti:
La formazione sulla consapevolezza della sicurezza si concentra sull’uomo nella catena delle minacce
Secondo l’ENISA, oltre il 95% delle e-mail di phishing richiede l’intervento umano per avviare l’infezione da malware.
La formazione sulla sicurezza riduce i costi
Lo studio IBM citato in precedenza ha rilevato che i corsi di formazione per i dipendenti sono uno dei modi migliori per ridurre il costo medio di una violazione dei dati.
La formazione sulla consapevolezza della sicurezza prende le politiche e le trasforma in azioni
Un altro studio dell’ENISA sulla cultura della sicurezza informatica sottolinea l’importanza di far rispettare le politiche di sicurezza. Il rapporto ha rilevato che gli utenti finali considerano le politiche di sicurezza come “linee guida, ma non regole”. Il rapporto sottolinea l’importanza di cambiare la mentalità dei dipendenti in materia di sicurezza per adeguare la percezione del rischio attraverso una cultura della sicurezza organizzativa coordinata, invece di imporre comportamenti sicuri.
Argomenti essenziali della formazione sulla sicurezza per i dipendenti
I programmi di formazione sulla consapevolezza della sicurezza contengono diverse aree tematiche che sono indispensabili per una formazione efficace. Sei delle più importanti sono:
Phishing
Gli attacchi di phishing rimangono uno dei principali metodi di violazione dei dati. Insieme alla mancanza di formazione e alla scarsa igiene delle password, gli attacchi di phishing sono tra le prime tre modalità di infezione da ransomware. La formazione sulla sicurezza dei dipendenti deve comprendere come funziona il phishing e quali sono i tipi di phishing, ad esempio il phishing via e-mail, il phishing vocale (Vishing), il phishing via SMS (SMShing) e lo spear phishing. Le simulazioni di phishing fanno spesso parte di un pacchetto di sensibilizzazione. Le esercitazioni di phishing simulato sono fatte su misura per inviare email di phishing di prova per addestrare gli utenti ai tipici trucchi utilizzati dai truffatori. Molti programmi di formazione sulla sicurezza offrono anche video interattivi che aiutano a individuare i diversi tipi di frode che utilizzano il phishing.
Sicurezza web
Nel 2020, Google ha registrato più di 2 milioni di siti web di phishing. Gli URL malevoli possono causare il furto di credenziali e l’infezione da malware, anche senza l’interazione dell’utente. È importante formare gli utenti finali su come individuare i siti web/le truffe che mirano a infettare le reti. Questo sta diventando sempre più difficile in quanto i siti di phishing sono spesso “siti sicuri”; l’Anti-Phishing Working Group (APWG) mostra che l’83% dei siti di phishing utilizza HTTPS.
Igiene delle password
Alcune statistiche di LastPass riassumono i problemi di password che le organizzazioni devono affrontare:
- Il 66% delle persone riutilizza le password
- Il 53% non cambia la propria password da oltre 12 mesi
- Il 41% ritiene che i propri account non siano abbastanza preziosi da attirare un hacker
La formazione di sensibilizzazione sulla sicurezza deve spiegare perché l’igiene delle password è importante e come creare password solide.
Dispositivi mobili
Ora che molti dipendenti lavorano da casa o da remoto, almeno per una parte del tempo, la sicurezza mobile è più importante che mai. Circa il 70% delle frodi online avviene sul canale mobile. I corsi di formazione sulla sicurezza dovrebbero concentrarsi sull’uso sicuro dei dispositivi mobili, tra cui la sicurezza del Wi-Fi, l’igiene delle app e il phishing.
Ingegneria sociale
L’ingegneria sociale viene utilizzata per indurre gli utenti a fornire ai truffatori dati preziosi, come le credenziali di accesso e le informazioni personali. L’ingegneria sociale svolge un ruolo importante anche in truffe complesse, come la Business Email Compromise (BEC), in cui i dipendenti vengono indotti a inviare denaro al conto bancario di un truffatore.
Gestione dei dati sensibili
Le normative e gli standard richiedono il rispetto dei processi di gestione dei dati sensibili. Anche la formazione sulla sicurezza dei dipendenti deve prevedere un elemento che riguardi il loro ruolo nella gestione conforme dei dati sensibili e personali.
Rendere la formazione di sensibilizzazione alla sicurezza interessante per i dipendenti
La Cybersecurity è generalmente vista come un argomento noioso. Tuttavia, la formazione di sensibilizzazione alla sicurezza ha fatto molta strada da quando è nata. I moderni programmi di sensibilizzazione alla sicurezza sono pensati per rimanere impressi e questo significa che possono essere interessanti, persino divertenti! Alcuni modi per rendere il tuo programma di sensibilizzazione alla sicurezza per i dipendenti divertente e interessante sono:
Giocare: L’apprendimento attraverso il gioco è qualcosa che gli esseri umani sanno fare bene. Quando ci si diverte a fare qualcosa si tende a ricordarla. Personalizza le tue lezioni di cybersecurity in modo che utilizzino dei giochi per far sì che la formazione si fissi nella mente dei tuoi dipendenti.
Interagire: le sessioni di formazione interattive coinvolgono i dipendenti e li aiutano a imparare. Alcuni programmi di formazione sulla sicurezza offrono video interattivi che mostrano ai dipendenti i processi tipici delle truffe per aiutarli a capire come possono essere ingannati dai truffatori. Queste sessioni interattive di solito forniscono un feedback al volo ai dipendenti durante la sessione di formazione.
Relazionarsi: Le persone imparano bene anche grazie a giochi o a sessioni di formazione interattive che sono relazionabili. Dovresti cercare di adattare il tuo programma di formazione sulla sicurezza in modo da riflettere le minacce reali che il tuo settore di attività deve affrontare. Lo studio dell’apprendimento degli adulti, noto come “andragogia“, dice questo sull’insegnamento agli adulti:
“Dato che gli adulti cercano un apprendimento pratico, i contenuti dovrebbero essere incentrati su questioni legate al loro lavoro o alla loro vita personale“.
Risorse di formazione sulla sicurezza per i dipendenti
Ecco alcune risorse che ti aiuteranno a trovare idee su come sensibilizzare i dipendenti alla cybersicurezza:
Mese della consapevolezza della sicurezza: L’intero mese di ottobre è dedicato a diversi argomenti di sensibilizzazione sulla sicurezza, offrendo consigli e attività per la formazione dei dipendenti sulle minacce alla sicurezza.
Il Centro nazionale per la sicurezza informatica: Questo organismo nazionale offre molte risorse per aiutare a personalizzare le sessioni di formazione sulla consapevolezza.
Quiz sul phishing di Google: Un test automatico rapido e divertente che analizza alcuni trucchi di phishing più comuni
Strumento di simulazione del phishing di MetaCompliance: MetaPhish è personalizzato per i tuoi dipendenti e fornisce un’idea dell’efficacia della tua formazione sulla sicurezza.
Poster di sensibilizzazione sulla cybersecurity: Poster gratuiti che puoi stampare o inviare per ricordare ai dipendenti i vari aspetti essenziali della cybersecurity.
