Ecco alcuni modi per valutare misura per misura il vostro programma di formazione sulla sicurezza.
Quando si effettua una misurazione su qualcosa, si ottengono dei dati. Che si tratti della lunghezza di un pezzo di corda o del cambiamento di comportamento di un dipendente di fronte a un'e-mail di phishing, questi dati ci forniscono importanti informazioni su un'attività o un progetto.
Il successo, o meno, di un programma di Security Awareness Training (SAT) può essere misurato in più modi e, così facendo, fornisce importanti indicazioni sull'efficacia della formazione. Ma come ottimizzare queste misurazioni richiede un team interfunzionale con una visione.
Perché preoccuparsi di misurare l'efficacia di un programma di formazione sulla consapevolezza della sicurezza?
Un recente documento di Gartner inc. "Take 3 Steps to Prove That Your Security Awareness Program Is Actually Working" stabilisce i perché e i come quando si misura un programma SAT. Il documento, scritto per i manager della sicurezza e del rischio, ha identificato tre ragioni chiave per cui la misurazione della formazione sulla consapevolezza della sicurezza è importante:
- Se non potete mostrare la prova che il rischio informatico è ridotto attraverso il programma, non otterrete l'approvazione del livello C per continuare il Security Awareness Training.
- Il Security Awareness Training viene spesso inserito in un'organizzazione senza avere una chiara visione di ciò che si sta cercando di ottenere. Questo si traduce in un programma che non raggiunge i cambiamenti comportamentali necessari per ridurre il rischio informatico.
- Misurare il successo di un Security Awareness Training non può essere basato su singole variabili. Questi programmi contengono molti elementi e questi devono essere catturati per mostrare il vero impatto di un programma SAT.
Uno dei punti principali del documento è che una visione chiara deve stabilire la linea di base di un programma di consapevolezza della sicurezza. Senza questa chiara visione di ciò che si vuole ottenere, le misurazioni saranno prive di significato. Detto altrimenti, le misurazioni sono più efficaci se hanno un punto di partenza come confronto. Questa visione deve, tuttavia, essere direttamente collegata ai risultati aziendali. Un modo per stabilire questa linea di base è utilizzare un approccio interfunzionale, cioè riunire i team attraverso i confini organizzativi per dare un input su ciò che è importante per mitigare il rischio informatico.
Questo allinea la visione della sicurezza informatica con gli obiettivi di business; questo approccio è un esercizio continuo e una buona pratica, dato che gli attacchi informatici causano continui disordini in tutti i settori dell'industria. Le decisioni aziendali e operative sono ora intrinsecamente intrecciate con la sicurezza. La pandemia Covid-19 e i mandati di lavoro da casa hanno dimostrato questo punto, con l'aumento del rischio di sicurezza del lavoro da casa; i lavoratori a domicilio forniscono più opportunità ai criminali informatici di attaccare una rete aziendale attraverso i suoi dipendenti.
Ma una visione ha bisogno di misure dimostrabili per dimostrare che sta raggiungendo il suo scopo. Mostrare ad un C-level o ad un consiglio di amministrazione quanto bene stia procedendo un programma richiede fatti concreti. È qui che entra in gioco la misurazione.
Tre modi per misurare il successo del programma di formazione sulla consapevolezza della sicurezza
Il documento di Gartner menziona tre cose chiave che dimostrano che il vostro programma di consapevolezza della sicurezza sta funzionando. Queste tre aree possono essere suddivise in:
Genera
Generare una dichiarazione di visione basata sulla cultura della sicurezza: di cosa ha bisogno la vostra organizzazione dal programma di consapevolezza della sicurezza? Quali comportamenti di sicurezza volete vedere emergere dall'educazione dei dipendenti in materia di sicurezza?
Cattura
Catturare le metriche del comportamento di sicurezza: creare metriche di consapevolezza della sicurezza che dimostrino un cambiamento significativo e positivo del comportamento di sicurezza. Queste metriche possono prendere la forma delle tradizionali metriche di consapevolezza della sicurezza dai sondaggi e dalle simulazioni di phishing, per esempio.
Dimostrare
Dimostrare la riduzione dell'esposizione al rischio: mostrare al team Cx cambiamenti tracciabili nel comportamento di sicurezza legati a risultati materiali in termini di riduzione dell'esposizione al rischio informatico.
Catturare le metriche e i cambiamenti comportamentali
La visione della sicurezza è il perno su cui ruota l'acquisizione di metriche e prove comportamentali. Questa visione forma poi la prova necessaria per dimostrare al team Cx che il Security Awareness Training funziona. Ci sono molti modi per misurare le metriche di sicurezza, e MetaCompliance ha discusso le misurazioni del Security Awareness Training in un precedente post del blog.
La misurazione fornisce dati quantificabili che costituiscono la base per una valutazione del Return on Investment (ROI). Ma una semplice equazione del ROI non cattura l'impatto positivo e continuo di un programma di consapevolezza della sicurezza ben sviluppato. La visione della sicurezza di base di un'organizzazione deve essere mappata per convalidare i risultati finali che vedono il rischio informatico complessivo di un'organizzazione ridotto. Questa visione di un'organizzazione sicura deve mappare il pensiero di sicurezza e il cambiamento comportamentale associato.
Per aiutarvi nel vostro esercizio di misurazione, il documento di Gartner parla di "Signature behaviours", che descrive come "Signature behaviors are those that clearly reflect positive intent and support by end-users for realising the security awareness vision".
Gartner mappa alcuni esempi di pratiche di sicurezza desiderate contro i comportamenti di sicurezza della firma:
Pratica: Tutti gli utenti finali usano password forti
Comportamento: Usiamo sempre delle frasi di sicurezza per costruire le nostre password utilizzate per accedere ai nostri account di lavoro
Esercitarsi: Controllare i link prima di cliccarli
Comportamento: Siamo attenti e segnaliamo le email sospette al service desk IT
Come parte della vostra visione della sicurezza, lavorate con il vostro team interfunzionale per sviluppare una serie di comportamenti di firma che possono essere utilizzati per dimostrare il successo del programma di Security Awareness Training.
La prova del budino attraverso una migliore sicurezza
In definitiva, un'azienda vuole vedere che il suo investimento in un programma di consapevolezza della sicurezza si riflette in una diminuzione delle probabilità che i suoi dati vengano violati. Valutando i comportamenti delle firme rispetto ai tipi di minacce, un'organizzazione può arricchire una semplice equazione del ROI con un valore aggiunto.
La prova della formazione sulla sicurezza è nel budino. Nel corso del tempo, un programma di Security Awareness Training ben pianificato ed efficace mostrerà una riduzione degli attacchi informatici. Ma una visione forte è dove tutto inizia.
