Non ha molto senso fare qualcosa nella vita se non sai che ne vale la pena e che quello che stai facendo funzionerà. Questo pensiero si applica a molti aspetti di un’azienda, compreso un programma di sensibilizzazione alla sicurezza.

Quando un’azienda mette in atto un programma di sensibilizzazione alla sicurezza, dovrebbe sempre avere in mente l’obiettivo che sta cercando di raggiungere. Un rapporto di Verizon del 2021 sottolinea che l'”elemento umano” è alla base dell’85% delle violazioni dei dati, quindi l’attenzione alla creazione di un buon comportamento in materia di sicurezza dovrebbe essere fondamentale.

Ma come si può misurare esattamente un elemento apparentemente nebuloso come il comportamento?

Stabilire una linea di base per un grande programma di sensibilizzazione sulla sicurezza?

Per misurare qualcosa, è necessario un punto di partenza, una linea di base. Un programma di sensibilizzazione alla sicurezza è progettato per modificare il comportamento e l’atteggiamento dei dipendenti al fine di migliorare la sicurezza generale di un’azienda.

Una serie di obiettivi chiaramente definiti è un punto di partenza essenziale da cui partire per verificare il successo del tuo programma di sensibilizzazione alla sicurezza. Questi obiettivi costituiranno la base delle metriche del tuo programma di sensibilizzazione alla sicurezza utilizzando una metodologia di “formazione e test”.

Quando sviluppi un programma di sensibilizzazione alla sicurezza, è buona norma tenere a mente come misurare il successo di ogni area del programma. In questo modo, puoi inserire nel programma elementi testabili. Le parti tipiche di un programma olistico di sensibilizzazione alla sicurezza dovrebbero includere:

  1. Igiene della sicurezza: comprende vari elementi come la scelta delle password e le abitudini di navigazione sul web.

  2. Ingegneria sociale: cos’è l’ingegneria sociale e i tipi di truffe che colpiscono un’organizzazione e i suoi dipendenti.

  3. Sensibilizzazione al phishing: formazione dei dipendenti su come individuare le tattiche di phishing

  4. Abitudini di sicurezza informatica: come riconoscere se un computer è infetto e come utilizzare misure di sicurezza come una VPN per il lavoro a distanza.

Ognuno di questi aspetti di un programma di sensibilizzazione alla sicurezza può essere misurato e i risultati vengono utilizzati per fornire un feedback che ottimizzi il successo del programma.

La misura del successo (o meno) di un programma di sensibilizzazione alla sicurezza?

Misurare i risultati di un programma di sensibilizzazione alla sicurezza non è un esercizio di “pass/fail”. Al contrario, offre una visione dell’efficacia dei diversi aspetti della formazione sulla sicurezza.

I risultati possono essere utilizzati per fornire un feedback alle varie parti del programma di sicurezza per ottimizzare la formazione; se qualcosa non funziona, le metriche e il feedback ne daranno un’indicazione; alcune metriche possono persino identificare i punti deboli di eventi formativi specifici. Queste informazioni possono essere utilizzate per personalizzare meglio l’educazione alla consapevolezza.

Le aree che possono essere utilizzate per acquisire dati sulle metriche della formazione sulla sicurezza includono:

Indagini di sensibilizzazione e feedback dei dipendenti

Le indagini di sensibilizzazione sono questionari che i dipendenti compilano per avere un’idea dell’efficacia della formazione di sensibilizzazione. Sebbene questo metodo sia manuale, può essere una parte utile di un portafoglio di esercizi di misurazione per stabilire il successo del tuo programma di sensibilizzazione alla sicurezza. I questionari sono spesso gestiti dalle Risorse Umane o da un consulente di sicurezza e di solito includono domande o quiz che mettono alla prova la capacità di un dipendente di individuare una minaccia.

Simulazioni di phishing e metriche

Le simulazioni di phishing vengono effettuate utilizzando piattaforme automatizzate che inviano ai dipendenti email di phishing di prova. La piattaforma di simulazione registra se il dipendente si accorge o meno che il messaggio di prova è un messaggio di phishing. Le piattaforme di simulazione di phishing e i consigli sul loro utilizzo, insieme alle metriche che forniscono, sono disponibili attraverso terze parti specializzate come MetaCompliance.

Ingegneria sociale e metriche

Il modo in cui i dipendenti reagiscono alle truffe è un aspetto importante della consapevolezza della sicurezza. Truffe come la Business Email Compromise (BEC) sono spesso sofisticate e utilizzano l’ingegneria sociale come base della truffa.

La reazione di un dipendente a un evento di social engineering simulato può essere misurata sia quantitativamente che qualitativamente, a seconda di come vengono effettuate le simulazioni. Le aziende di terze parti possono fornire consulenza per la creazione di test di ingegneria sociale simulati e misurabili.

Acquisizione e segnalazione degli incidenti

La prova è nel budino, e questo budino prende la forma della segnalazione degli incidenti di sicurezza da parte dei dipendenti. Un sistema di segnalazione degli incidenti di sicurezza che consenta ai dipendenti di inserire facilmente gli eventi di sicurezza può offrire un modo per misurare l’efficacia di un programma di sensibilizzazione alla sicurezza.

La segnalazione degli incidenti ha un duplice vantaggio: fungere da sistema di triage e di risposta ai problemi di sicurezza che si presentano e registrare e verificare la consapevolezza del personale. I dipendenti devono essere addestrati a utilizzare il sistema di segnalazione degli incidenti per registrare gli eventi di sicurezza, come ad esempio:

  • Ricezione di un messaggio di phishing

  • Esposizione accidentale di una password

  • Sospetta infezione da malware

  • Esposizione accidentale di informazioni a causa di un’errata consegna di un’e-mail

  • Dispositivi smarriti o rubati

  • Tentativi di ingegneria sociale, ad esempio una truffa telefonica

Misura, ascolta, ottimizza

I programmi di sensibilizzazione alla sicurezza sono famosi per essere difficili da misurare. La misurazione del comportamento e della comprensione è spesso qualitativa piuttosto che quantitativa. Tuttavia, utilizzando una combinazione di fattori che catturano gli indicatori di cambiamento comportamentale e di consapevolezza, un’azienda può assicurarsi che il suo programma sia efficace.

In definitiva, un’organizzazione ha bisogno di un programma di sensibilizzazione alla sicurezza efficace per ridurre gli attacchi informatici e migliorare la sicurezza informatica dell’azienda. Poiché i dipendenti continuano a capire come funzionano le minacce alla sicurezza informatica, l’ottimizzazione dell’efficacia di un programma di sensibilizzazione alla sicurezza porterà a una cultura della sicurezza che si ripaga con una maggiore sicurezza.