Nel 2022, il mondo delle imprese ha continuato a subire attacchi di ransomware, truffe e violazioni di dati. Tuttavia, non sono state attaccate solo aziende di alto profilo: sanità, istruzione, pubblica amministrazione e piccole imprese sono state tutte vittime di attacchi informatici.
In un rapporto sul 2022, l'Office of National Statistics (ONS) ha mostrato un aumento del 25% (a 4,5 milioni) dei reati di frode per l'anno che termina a marzo 2022 rispetto all'anno che termina a marzo 2020. Nel 2022, il phishing era ancora la minaccia più comune contro le aziende del Regno Unito, con l'83% degli attacchi basati sul phishing.
Tuttavia, un nuovo anno porta con sé nuove speranze e idee.
La formazione sulla consapevolezza della sicurezza rimane una priorità assoluta per le aziende che vogliono affrontare frodi, truffe e altre minacce informatiche. Ma come può la vostra organizzazione migliorare la formazione sulla sicurezza nel 2023?
Ecco cinque idee per rendere la vostra organizzazione adatta alla sicurezza nel 2023.
Essere positivi, essere sicuri
I criminali informatici, in particolare quelli che utilizzano l'ingegneria sociale e il phishing, si basano su comportamenti di sicurezza inadeguati per far funzionare le loro truffe. Una buona formazione sulla sicurezza informatica consiste nel modificare i comportamenti negativi in favore di un atteggiamento più positivo. Tuttavia, per modificare i modelli comportamentali occorre lavorare.
Il comportamento, come l'impulso a cliccare, è un modello appreso e cambiare azioni radicate richiede uno sforzo concertato che prevede strategie come le campagne di phishing simulate. Migliorate i contenuti del vostro Security Awareness Training attraverso campagne basate su strategie collaudate, come l'apprendimento interattivo che modifica le cattive abitudini comportamentali in azioni positive. L'apprendimento interattivo e i contenuti coinvolgenti aumenteranno il coinvolgimento dei dipendenti e aiuteranno la vostra organizzazione a sviluppare una cultura positiva della sicurezza.
Mantenere la pertinenza e l'interesse
L'ente del settore della sicurezza, ISACA, ha condotto una ricerca su come migliorare la formazione sulla consapevolezza della sicurezza. La ricerca ha coinvolto oltre 5000 organizzazioni di tutto il mondo. Lo studio ha evidenziato chiaramente che una formazione di sensibilizzazione alla sicurezza efficace richiede un tipo di erogazione corretta di contenuti interessanti e pertinenti.
Tra le conclusioni dell'ISACA c'è il fatto che le informazioni dovrebbero essere fornite in piccole parti dopo la prima sessione e a intervalli regolari per rafforzare l'apprendimento. Anche il tipo di informazioni conta. I casi di studio reali hanno contribuito a consolidare le conoscenze e a rafforzare l'importanza di un buon comportamento in materia di sicurezza.
I ricercatori hanno rilevato che i contenuti devono essere "pertinenti, legati alla teoria e alla pratica e raccontare una storia". Utilizzate materiale per la formazione sulla sicurezza, come brevi video esplicativi ed esercizi di simulazione di phishing, per coinvolgere i dipendenti e rendere i contenuti relazionabili e rilevanti.
Premiare i successi e non giocare al gioco delle colpe
A nessuno piace giocare a rimproverare, e la formazione sulla sicurezza dovrebbe evitare di usare il rimprovero quando si formano i dipendenti. Il problema dell'attribuzione di colpe è che può far perdere fiducia alle persone, portando a incidenti ancora peggiori.
Lo sviluppo di una solida postura di sicurezza informatica richiede tempo e si basa su molti aspetti dei sistemi IT, delle persone e dei processi dell'organizzazione. Non incolpate i dipendenti per gli errori di sicurezza, perché la tecnologia cambia e i criminali informatici modificano le loro tecniche; utilizzate invece i comportamenti scorretti in materia di sicurezza come una scusa per modificare il comportamento e imparare dagli errori.
I programmi di formazione avanzata sulla consapevolezza della sicurezza prevedono sessioni di formazione interattiva durante un'esercitazione per mostrare ai dipendenti dove hanno sbagliato e come assicurarsi che non ripetano lo stesso comportamento.
Inoltre, premiate i successi invece di usare il biasimo per farvi vergognare. Se i dipendenti si comportano bene durante le sessioni di formazione, offrite loro piccoli premi e incentivate il buon comportamento.
Generare dati utilizzabili
Le metriche offrono una visione vitale dell'efficacia di un modulo di formazione sulla consapevolezza della sicurezza; alcuni sistemi avanzati forniscono una visione altamente granulare, nel tempo e su base individuale, dell'efficacia formativa di un determinato modulo.
I moduli di simulazione del phishing, ad esempio, generano dati su base dipendente, mostrando le curve di apprendimento dei dipendenti che sviluppano le capacità di identificare le minacce trasmesse via e-mail. Utilizzate i dati delle metriche di sensibilizzazione alla sicurezza per perfezionare i vostri moduli di formazione e identificare i comportamenti difficili da modificare per ottenere una maggiore attenzione: rivolgetevi a ruoli e gruppi specifici utilizzando le metriche per aiutarvi a progettare campagne di phishing simulate su misura. Nel tempo, il feedback fornito dalle metriche di formazione granulari vi permetterà di sviluppare sessioni di formazione più efficaci.
Integrare la formazione sulla sicurezza con la vostra organizzazione
Le norme di sicurezza devono essere stabilite a livello organizzativo, integrando gli individui con una cultura della sicurezza in cui la sicurezza viene prima di tutto. Il successo della formazione di sensibilizzazione alla sicurezza consiste nella maturazione di metodi e approcci, non solo in sforzi per soddisfare le normative.
Tuttavia, i requisiti normativi per la formazione di sensibilizzazione alla sicurezza dovrebbero essere utilizzati come base per stabilire i parametri di misurazione dell'efficacia della formazione. Questo approccio, che unisce gli obiettivi organizzativi alla formazione sulla sicurezza, sposta l'onere della sicurezza da un impegno individuale a uno collettivo: costruite un programma di formazione sulla consapevolezza della sicurezza che si adatti alle esigenze di sicurezza dell'organizzazione e che coinvolga nelle sessioni di formazione tutti, dal livello direttivo in giù. Assicuratevi che ogni reparto abbia programmi di formazione personalizzati che riflettano le minacce del mondo reale. Ad esempio, truffe come la Business Email Compromise (BEC) prendono di mira reparti come l'ufficio dell'amministratore delegato e la contabilità.
È probabile che il 2023 sarà una sfida per le aziende che si occupano di minacce alla sicurezza come negli anni precedenti. Nessuna organizzazione, indipendentemente dalle dimensioni o dal settore, può sedersi sugli allori e sperare di non essere un bersaglio.
Tuttavia, il nostro personale è la nostra forza. Applicando queste cinque strategie di miglioramento al vostro programma di formazione sulla consapevolezza della sicurezza per il 2023, potrete contribuire a sviluppare una solida posizione di sicurezza informatica e a rafforzare i vostri dipendenti contro i criminali informatici e i truffatori.