Il problema del mese della consapevolezza della sicurezza informatica

Il mese della consapevolezza della sicurezza informatica, in Europa e negli Stati Uniti, fa parte di un ampio sforzo per aiutare le persone a rimanere sicure e protette online. L’iniziativa è stata lanciata nel 2004 negli Stati Uniti e nel 2012 in Europa. Quest’anno l’evento statunitense si è concentrato sul tema “Vedi te stesso in Cyber“. In Europa l’iniziativa ha promosso la consapevolezza del phishing e del ransomware.

Siamo ovviamente favorevoli a qualsiasi sforzo per sostenere la consapevolezza della cybersicurezza. Le persone sono l’anello debole degli sforzi di sicurezza di un’organizzazione. Insegnare loro i semplici passi che possono compiere per proteggersi online è importante. Per un avversario è ancora molto più facile ingannare qualcuno per fargli rivelare una password o cliccare su un link di un’e-mail piuttosto che penetrare in una rete ben protetta. Una buona consapevolezza della sicurezza informatica può proteggere le organizzazioni da perdite finanziarie, sanzioni per la conformità e danni alla reputazione.

Eppure, dopo anni di eventi dedicati al “Mese della Consapevolezza”, lo sfruttamento di una scarsa consapevolezza della sicurezza informatica rimane il principale vettore di attacco nelle violazioni dei dati.

Il Verizon Data Breach Investigation Report del 2022 ha rilevato che l’82% delle violazioni avvenute nell’anno precedente ha coinvolto l’ingegneria sociale e le percentuali di click di phishing continuano ad aumentare. Una volta che gli aggressori prendono piede, possono stabilire canali di comando e controllo, spostarsi lateralmente per identificare i dati dell’obiettivo, criptare i dati per le richieste di ransomware o rubare informazioni sensibili.

Il “mese” della consapevolezza della sicurezza informatica?

Quindi sì, siamo favorevoli al mese della consapevolezza della sicurezza informatica. Porta l’attenzione necessaria su un problema che abbiamo lavorato per risolvere per anni. Può spingere alcune organizzazioni a fare i primi passi per migliorare la consapevolezza della sicurezza della propria forza lavoro o a rafforzare i programmi esistenti.   Ci opponiamo a trattare la consapevolezza della sicurezza informatica come un evento annuale.

L’apprendimento non è un evento unico. Non si impara a parlare una nuova lingua o a suonare uno strumento musicale concentrandosi sul compito una volta all’anno. Lo stesso vale per riconoscere ed evitare le minacce alla sicurezza informatica. Imparare a fare qualsiasi cosa richiede tempo e ripetizione.

Quando le sessioni di formazione si tengono una o due volte l’anno per soddisfare i requisiti di conformità, gli studenti non conservano le conoscenze. La famosa curva dell’oblio di Ebbinghaus dimostra che gli studenti dimenticano oltre il 75% di una lezione già nella prima settimana. Alla fine di un mese gli studenti conservano solo il 21% della lezione.

Sensibilizzare i dipendenti

L’insegnamento è un processo, non un evento. Questo include l’insegnamento della consapevolezza della sicurezza informatica. Gli studi dimostrano che la pendenza della curva dell’oblio può essere ridotta con un regolare rinforzo delle lezioni. Questi rinforzi non devono necessariamente includere tutte le informazioni della lezione. L’obiettivo è far sì che l’allievo pensi al materiale e lo metta in pratica.

Costruire una cultura di consapevolezza informatica

Il “mese della consapevolezza della sicurezza informatica” può sembrare un espediente. Un programma efficace di sensibilizzazione alla sicurezza informatica deve essere praticato per 12 mesi all’anno utilizzando una serie di strumenti e tecniche.

Le lezioni di eLearning sono certamente parte integrante di qualsiasi programma di successo, ma i team dovrebbero rinforzare regolarmente le lezioni attraverso promemoria, simulazioni di phishing, micro-lezioni, screensaver e poster. Le lezioni dovrebbero essere orientate alle diverse minacce che l’organizzazione deve affrontare.

La formazione dei team finanziari deve essere adattata alle minacce specifiche del dipartimento. Le organizzazioni IT devono essere attente al furto di credenziali privilegiate. Tutti devono ricevere una formazione continua per gli attacchi di phishing e ransomware.

Un programma di sensibilizzazione sulla sicurezza informatica è una parte importante di una valutazione complessiva del rischio. I responsabili dei programmi di sensibilizzazione devono essere in grado di monitorare i progressi attraverso i report e di avviare azioni correttive laddove il rischio permanga nell’organizzazione. Se i singoli o i team ottengono un punteggio insufficiente nella formazione, la formazione correttiva deve essere programmata automaticamente.

L’aspetto più importante è che le organizzazioni che si impegnano nella sensibilizzazione alla sicurezza informatica e alla sicurezza online riconoscono la necessità di un sostegno da parte dei dirigenti. Un messaggio regolare direttamente dai vertici aziendali sulla necessità di un’igiene della sicurezza informatica e sul motivo per cui è una priorità per l’azienda, aiuta a creare una cultura della sicurezza duratura.