Non ha molto senso fare qualcosa nella vita se non si sa che ne vale la pena e che quello che si sta facendo funzionerà. Questo pensiero si applica a molti aspetti di un business, compreso un programma di consapevolezza della sicurezza.
Quando un'azienda mette in atto un programma di consapevolezza della sicurezza, dovrebbe sempre avere in mente ciò che sta cercando di ottenere. Con un rapporto di Verizon del 2021 che sottolinea che "l'elemento umano" è dietro l'85% delle violazioni di dati, un focus sulla creazione di un buon comportamento di sicurezza dovrebbe essere fondamentale.
Ma come si può misurare esattamente un elemento apparentemente nebuloso come il comportamento?
Stabilire una linea di base per un grande programma di consapevolezza della sicurezza?
Per misurare qualcosa, è necessario un punto di partenza, una linea di base. Un programma di sensibilizzazione alla sicurezza è progettato per cambiare il comportamento e l'atteggiamento dei dipendenti per migliorare la sicurezza generale in un'azienda.
Un insieme di obiettivi chiaramente definiti è un punto di partenza essenziale su cui si può costruire quando si verifica il successo del programma di sensibilizzazione alla sicurezza. Questi obiettivi formeranno la base delle metriche del vostro programma di sensibilizzazione alla sicurezza utilizzando una metodologia di "addestramento e test".
Quando si sviluppa un programma di consapevolezza della sicurezza, è una buona pratica tenere a mente come il successo di ogni area del programma può essere misurato. In questo modo, è possibile costruire elementi testabili nel programma. Le parti tipiche di un programma olistico di consapevolezza della sicurezza dovrebbero includere:
- Igiene della sicurezza: copre vari elementi come le scelte delle password e le abitudini di navigazione sul web
- Social engineering: cos'è il social engineering e i tipi di truffe che colpiscono un'organizzazione e i suoi dipendenti
- Consapevolezza del phishing: formare i dipendenti su come individuare le tattiche di phishing
- Abitudini di sicurezza del computer: compreso come individuare se un computer può essere infetto e l'uso di misure di miglioramento della sicurezza come una VPN per il lavoro a distanza
Ognuno di questi aspetti di un programma di consapevolezza della sicurezza può essere misurato, e i risultati sono poi utilizzati per fornire un feedback per ottimizzare il successo del programma.
La misura del successo (o meno) di un programma di sensibilizzazione alla sicurezza?
Misurare i risultati di un programma di consapevolezza della sicurezza non è un esercizio pass/fail. Invece, offre una visione dell'efficacia dei diversi filoni della formazione sulla consapevolezza della sicurezza.
I risultati possono essere utilizzati per il feedback nelle varie parti del programma di sicurezza per ottimizzare la formazione; se qualcosa non funziona, le metriche e il feedback daranno un indicatore di questo, alcune metriche possono anche identificare i punti deboli in specifici eventi di formazione. Queste informazioni possono poi essere utilizzate per adattare meglio l'educazione alla consapevolezza.
Le aree che possono essere utilizzate per catturare dati sulle metriche della formazione alla sicurezza includono:
Sondaggi di sensibilizzazione e feedback dei dipendenti
I sondaggi di consapevolezza sono questionari che i dipendenti completano per dare un'idea dell'efficacia della formazione di consapevolezza. Anche se questo metodo è manuale, può essere una parte utile di un portafoglio di esercizi di misurazione per stabilire il successo del vostro programma di consapevolezza della sicurezza. I questionari sono spesso gestiti dalle Risorse Umane o da un consulente di sicurezza, e tipicamente includono domande o quiz che testano la capacità di un dipendente di individuare una minaccia.
Simulazioni e metriche di phishing
Lesimulazioni di phishing vengono eseguite utilizzando piattaforme automatizzate che inviano email di phishing di prova ai dipendenti. La piattaforma di simulazione registra se il dipendente individua con successo che il messaggio di prova è un messaggio di phishing, oppure no. Le piattaforme di simulazione di phishing, e i consigli sul loro uso, insieme alle metriche che forniscono, sono disponibili attraverso terze parti specializzate come MetaCompliance.
Ingegneria sociale e metriche
Il modo in cui i dipendenti rispondono alle truffe è un aspetto importante della consapevolezza della sicurezza. Truffe come il Business Email Compromise (BEC) sono spesso sofisticate e usano l'ingegneria sociale come base della truffa.
La reazione di un dipendente a un evento di social engineering simulato può essere misurata sia quantitativamente che qualitativamente, a seconda di come le simulazioni vengono effettuate. Le aziende terze possono consigliare nella creazione di test simulati di ingegneria sociale che sono suscettibili di misurazione.
Cattura e segnalazione degli incidenti
La prova è nel budino, e quel budino prende la forma del reporting degli incidenti di sicurezza da parte dei dipendenti. Un sistema di reporting degli incidenti di sicurezza che permette ai dipendenti di inserire facilmente gli eventi di sicurezza può offrire un modo per misurare l'efficacia di un programma di consapevolezza della sicurezza.
L'incident reporting ha un doppio beneficio, agendo come un sistema di triage e di risposta per i problemi di sicurezza non appena si presentano, e registrando e controllando la consapevolezza del personale. I dipendenti dovrebbero essere addestrati a utilizzare il sistema di reporting degli incidenti per registrare gli eventi di sicurezza, come ad esempio:
- Ricezione di un messaggio di phishing
- Esposizione accidentale di una password
- Sospetta infezione da malware
- Esposizione accidentale di informazioni attraverso la cattiva consegna delle e-mail
- Dispositivi smarriti o rubati
- Tentativi di ingegneria sociale, per esempio, una truffa telefonica
Misurare, ascoltare, ottimizzare
I programmi di consapevolezza della sicurezza sono noti per essere difficili da misurare. La misurazione del comportamento e della comprensione è spesso qualitativa piuttosto che quantitativa. Tuttavia, utilizzando una combinazione di fattori che catturano gli indicatori del cambiamento comportamentale e della consapevolezza, un'azienda può garantire che il suo programma sia efficace.
In definitiva, un'organizzazione ha bisogno di un programma efficace di consapevolezza della sicurezza per ottenere una riduzione degli attacchi informatici e una migliore sicurezza informatica generale dell'azienda. Poiché i dipendenti continuano a capire come funzionano le minacce alla sicurezza informatica, l'ottimizzazione dell'efficacia di un programma di consapevolezza della sicurezza si tradurrà in una cultura della sicurezza che ripaga con una migliore sicurezza.