Il modo migliore per fermare gli attacchi alla sicurezza incentrati sulle persone è creare una cultura della sicurezza incentrata sulle persone. Ecco come fare.
Un grande business è costruito su grandi persone: un'organizzazione dipende dall'avere personale su cui poter contare, che faccia un buon lavoro e di cui ci si possa fidare. Le persone fanno ticchettare un'azienda, ma possono anche farla cadere. Anche i criminali informatici sono incentrati sulle persone.
Nell'85% degli attacchi informatici, un essere umano è necessario per eseguire qualche azione a vantaggio dell'attaccante: questo può essere un clic su un link in una e-mail; il download di un allegato infetto; l'inserimento di credenziali di accesso e password a un sito web falso; o qualcosa di simile.
Cos'è esattamente una cultura di consapevolezza della sicurezza incentrata sulle persone?
Le statistiche parlano da sole, il comportamento umano è aperto alla manipolazione e il risultato è ransomware, violazioni di dati, e in generale danni e interruzioni IT e aziendali. Nel 91% dei casi, un attacco informatico inizia con una e-mail di phishing, secondo un rapporto di Deloitte. Gli attacchi informatici basati sull'ingegneria sociale, di cui il phishing è un esempio, sono aumentati del 270% nel 2021.
Un post di MetaCompliance "Social Engineering: Hacking the Human" ha esplorato gli aspetti radicati del comportamento umano che i criminali informatici sfruttano. È l'abbattimento dei comportamenti di sicurezza scadenti per trasformarli in comportamenti di sicurezza positivi a guidare una cultura di consapevolezza della sicurezza incentrata sulle persone: le persone sono il fulcro dei criminali informatici e, a loro volta, sono il modo migliore per affrontare gli attacchi informatici.
Dare ai dipendenti il know-how sulla truffa alla sicurezza informatica costruisce una mentalità di sicurezza nelle persone che sono in prima linea negli attacchi: il nostro personale. Usando il giusto approccio nel fornire e coltivare questa consapevolezza della sicurezza, il risultato è la formazione di una cultura della consapevolezza della sicurezza incentrata sulle persone.
I componenti di una cultura della consapevolezza della sicurezza incentrata sulle persone
Una cultura è definita dalle norme e dai comportamenti che costituiscono un gruppo o una società. In altre parole, il termine "cultura" descrive il modo di vivere e il sistema di credenze che un gruppo di persone utilizza per creare una società sostenibile.
Tipicamente, una cultura avrà intessuto nella sua matrice, sistemi che rendono la vita più facile e di successo per gli individui all'interno di quella società. Un'organizzazione, così come un gruppo, un villaggio, una città o un paese, può creare una cultura, poiché anch'essa è composta da individui.
Una buona pratica di sicurezza richiede un cambiamento di comportamento nei dipendenti che trae vantaggio dall'infornare questi comportamenti di sicurezza in una cultura: ciò si ottiene al meglio assicurando che la sicurezza diventi una parte intrinseca della cultura aziendale complessiva. Tuttavia, la consapevolezza da sola non crea questa cultura. Ecco i componenti necessari per creare una cultura della sicurezza incentrata sulle persone:
Fissare le aspettative
Stabilire una linea di base dei comportamenti di sicurezza attesi.
Questa linea di base viene stabilita dalla comprensione dell'attuale postura di sicurezza della vostra organizzazione e da ciò che deve essere fatto per migliorarla. Si possono usare diversi metodi per raccogliere i dati necessari a stabilire la linea di base necessaria per un buon comportamento di sicurezza. Ciò include metriche quantitative dall'esecuzione di test iniziali utilizzando programmi di simulazione di phishing e input qualitativi da sondaggi e gruppi di discussione.
Questo esercizio di raccolta delle informazioni viene poi associato a un programma di formazione sulla consapevolezza della sicurezza per fornire una formazione incentrata sulle persone. Questa mappatura delle debolezze conosciute del comportamento di sicurezza alle persone nella forza lavoro, aiuta a stabilire un programma di formazione efficace e su misura che può essere usato per influenzare il comportamento negli individui, nei reparti e nell'intera organizzazione.
Partendo da questa linea di base, con una serie di chiare aspettative, dà alla forza lavoro un percorso da seguire che aiuta a stabilire la creazione di una cultura della sicurezza.
- Stabilite la vostra linea di base del comportamento atteso e usatela per adattare il vostro programma di consapevolezza della sicurezza incentrato sulle persone.
Imparare socialmente
Le persone vogliono essere parte di qualcosa di più grande di loro.
Le culture sono costruite sulla spina dorsale dell'interazione sociale umana. Le teorie dell'evoluzione culturale offrono spiegazioni su come le culture si sviluppano. Una di queste teorie riguarda l'apprendimento sociale: le persone imparano meglio attraverso l'osservazione dei loro pari e la modellazione di scenari, ad esempio, le storie. La cultura nasce dalle persone che si passano informazioni, conoscenze e abilità tra di loro.
I racconti popolari sono un grande esempio di apprendimento sociale spesso progettato per cambiare il comportamento, ad esempio, non andare nella foresta da solo, altrimenti il grande lupo cattivo ti mangerà; molti racconti possono essere rintracciati attraverso diverse culture mondiali nel corso dei millenni. L'apprendimento della consapevolezza della sicurezza dovrebbe essere un'impresa cooperativa con i dipendenti che lavorano insieme, imparando socialmente, in modo interattivo e coinvolgente.
L'apprendimento della consapevolezza della sicurezza usando scenari di tipo social learning, tipicamente comporta l'uso di giochi, moduli interattivi e input da educatori esperti. L'uso di esperti è associato al concetto di "apprendimento sociale basato sul prestigio" negli esseri umani, che è noto per aiutare gli adulti a imparare concetti difficili.
- Scegliete un programma di sensibilizzazione alla sicurezza informatica che offra un contenuto coinvolgente che incorpori contenuti personalizzati e crei un comportamento di sicurezza positivo che possa essere condiviso.
Sostenere un comportamento di sicurezza positivo
Parte della creazione di una cultura di successo della consapevolezza della sicurezza incentrata sulle persone è attraverso una persistenza efficace.
Sostenere un comportamento positivo in materia di sicurezza richiede una formazione continua sulla consapevolezza della sicurezza. C'è una duplice ragione per una formazione regolare sulla consapevolezza della sicurezza. In primo luogo, gli aggiornamenti regolari della formazione assicurano che il mutevole panorama delle minacce si rifletta nei pacchetti di formazione. Questo è vitale perché i criminali informatici cambiano continuamente il loro comportamento e le loro tattiche per ingannare più facilmente i dipendenti. In secondo luogo, la formazione regolare mantiene la sicurezza in primo piano nella mente dei dipendenti e questo aiuta a mantenere la cultura della sicurezza aziendale.
- Mantenere una cultura della sicurezza effettuando regolari aggiornamenti del Security Awareness Training.
Input di valore da parte dei dipendenti
La sicurezza è responsabilità di tutti; togliete la colpa alla vostra cultura.
Uno studio della PwC ha scoperto che quasi tre quarti degli intervistati temevano ritorsioni se avessero segnalato problemi di sicurezza. Una cultura della sicurezza può persistere solo se la paura viene rimossa dall'equazione. Non incolpare un dipendente che accidentalmente apre un messaggio di phishing e clicca su un link dannoso. Invece, usatelo come un esercizio di apprendimento.
Assicuratevi che i vostri dipendenti sappiano che sono parte della soluzione, non del problema. Rendete la segnalazione degli incidenti di sicurezza una parte intrinseca della vostra più ampia cultura di consapevolezza della sicurezza incentrata sulle persone. Date ai dipendenti gli strumenti per rendere la segnalazione facile e parte della loro vita lavorativa quotidiana. Mostrate loro come il reporting di sicurezza porti a una migliore individuazione e prevenzione della sicurezza informatica.
- Date al vostro staff la possibilità di segnalare gli incidenti di sicurezza.
Una cultura della consapevolezza della sicurezza incentrata sulle persone non si crea dall'oggi al domani. Tuttavia, mettendo in atto le strutture giuste, la vostra organizzazione inizierà rapidamente a vedere lo sviluppo di comportamenti persistenti e positivi per la sicurezza delle informazioni.
