Promuovere una forte cultura della sicurezza nella tua organizzazione
Pubblicato su: 28 Gen 2022
Ultima modifica il: 23 Set 2025
Il modo migliore per fermare gli attacchi alla sicurezza incentrati sulle persone è creare una cultura della sicurezza incentrata sulle persone. Ecco come fare.
Una grande azienda è costruita su persone eccellenti: un’organizzazione dipende dal fatto di avere personale su cui poter contare, che faccia un buon lavoro e di cui ci si possa fidare. Le persone fanno funzionare un’azienda, ma possono anche farla crollare. Anche i criminali informatici sono incentrati sulle persone.
Nell’85% degli attacchi informatici, è necessario che un essere umano compia un’azione a vantaggio dell’attaccante: può trattarsi di un clic su un link in un’e-mail, del download di un allegato infetto, dell’inserimento di credenziali di accesso e password in un sito web fasullo o di qualcosa di simile.
Che cos’è esattamente una cultura della sicurezza incentrata sulle persone?
Le statistiche parlano chiaro: il comportamento umano si presta alla manipolazione e il risultato sono ransomware, violazioni di dati e danni e interruzioni generali all’IT e all’azienda. Secondo un rapporto di Deloitte, nel 91% dei casi un attacco informatico inizia con un’e-mail di phishing. Gli attacchi informatici basati sull’ingegneria sociale, di cui il phishing è un esempio, sono aumentati del 270% nel 2021.
Il post di MetaCompliance “Social Engineering: Hacking the Human” ha esplorato gli aspetti più profondi del comportamento umano che i criminali informatici sfruttano. È l’abbattimento dei comportamenti di sicurezza scorretti per trasformarli in comportamenti di sicurezza positivi a guidare una cultura della sicurezza incentrata sulle persone: le persone sono al centro dell’attenzione dei criminali informatici e, a loro volta, sono il modo migliore per affrontare gli attacchi informatici.
Dare ai dipendenti un know-how sulla truffa della sicurezza informatica crea una mentalità orientata alla sicurezza nelle persone che sono in prima linea negli attacchi: il nostro personale. Utilizzando il giusto approccio nel fornire e coltivare questa consapevolezza della sicurezza, il risultato è la formazione di una cultura della sicurezza incentrata sulle persone.
Le componenti di una cultura della sicurezza incentrata sulle persone
Una cultura è definita dalle norme e dai comportamenti che costituiscono un gruppo o una società. In altre parole, il termine “cultura” descrive lo stile di vita e il sistema di credenze che un gruppo di persone utilizza per creare una società sostenibile.
In genere, una cultura ha una matrice di sistemi che rendono la vita più facile e di successo per gli individui che ne fanno parte. Un’organizzazione, così come un gruppo, un villaggio, una città o un paese, può creare una cultura, poiché anch’essa è composta da individui.
Una buona pratica di sicurezza richiede un cambiamento di comportamento nei dipendenti che tragga beneficio dall’inserimento di questi comportamenti di sicurezza in una cultura: il modo migliore per raggiungere questo obiettivo è garantire che la sicurezza diventi una parte intrinseca della cultura aziendale complessiva. Tuttavia, la consapevolezza da sola non crea questa cultura. Ecco i componenti necessari per creare una cultura della sicurezza incentrata sulle persone:
- Stabilisci i comportamenti di base attesi e usali per personalizzare il tuo programma di sensibilizzazione alla sicurezza incentrato sulle persone.
- Scegli un programma di sensibilizzazione alla sicurezza informatica che offra contenuti coinvolgenti e personalizzati e che crei comportamenti di sicurezza positivi che possano essere condivisi.
- Mantenere una cultura della sicurezza effettuando aggiornamenti periodici della formazione sulla consapevolezza della sicurezza.
- Dai al tuo personale la possibilità di segnalare gli incidenti di sicurezza.
Stabilisci le aspettative
Stabilisci una linea di base di comportamenti di sicurezza attesi.
Questa linea di base viene stabilita comprendendo l’attuale posizione di sicurezza della tua organizzazione e ciò che deve essere fatto per migliorarla. Si possono utilizzare diversi metodi per raccogliere i dati necessari a stabilire la linea di base di un buon comportamento di sicurezza. Tra questi vi sono metriche quantitative derivanti dall’esecuzione di test iniziali con programmi di simulazione di phishing e dati qualitativi provenienti da sondaggi e gruppi di discussione.
Questo esercizio di raccolta di informazioni viene poi associato a un programma di formazione sulla consapevolezza della sicurezza per fornire un’educazione incentrata sulle persone. Questa mappatura dei punti deboli noti del comportamento in materia di sicurezza con le persone che fanno parte della forza lavoro aiuta a stabilire un programma di formazione efficace e su misura che può essere utilizzato per influenzare il comportamento dei singoli, dei reparti e dell’intera organizzazione.
Partendo da questa base, con una serie di aspettative chiare, si fornisce alla forza lavoro un percorso da seguire che aiuta a creare una cultura della sicurezza.
Impara in modo sociale
Le persone vogliono far parte di qualcosa di più grande di loro.
Le culture sono costruite sulla base dell’interazione sociale umana. Le teorie sull’evoluzione culturale offrono spiegazioni su come si sviluppano le culture. Una di queste teorie riguarda l’apprendimento sociale: le persone imparano meglio attraverso l’osservazione dei loro pari e la modellazione di scenari, come ad esempio le storie. La cultura nasce dal passaggio di informazioni, conoscenze e abilità tra le persone.
I racconti popolari sono un ottimo esempio di apprendimento sociale, spesso finalizzato a modificare il comportamento, ad esempio non andare nella foresta da solo, altrimenti il lupo cattivo ti mangerà; molti racconti possono essere rintracciati in diverse culture mondiali nel corso dei millenni. L’apprendimento della consapevolezza della sicurezza dovrebbe essere un’impresa cooperativa con i dipendenti che lavorano insieme, imparando in modo sociale, interattivo e coinvolgente.
L’apprendimento della consapevolezza della sicurezza attraverso scenari di tipo social learning, in genere, prevede l’uso di giochi, moduli interattivi e il contributo di educatori esperti. L’uso di esperti è associato al concetto di “apprendimento sociale basato sul prestigio” negli esseri umani, che è noto per aiutare gli adulti ad apprendere concetti difficili.
Sostenere un comportamento di sicurezza positivo
La creazione di una cultura di sensibilizzazione alla sicurezza incentrata sulle persone è possibile anche grazie a un’efficace perseveranza.
Per mantenere un comportamento positivo in materia di sicurezza è necessaria una formazione continua sulla consapevolezza della sicurezza. La formazione regolare sulla consapevolezza della sicurezza ha un duplice motivo. In primo luogo, gli aggiornamenti regolari della formazione assicurano che i pacchetti formativi tengano conto dell’evoluzione del panorama delle minacce. Questo è fondamentale perché i criminali informatici cambiano continuamente il loro comportamento e le loro tattiche per ingannare più facilmente i dipendenti. In secondo luogo, la formazione regolare mantiene la sicurezza in primo piano nella mente dei dipendenti e ciò contribuisce a mantenere la cultura della sicurezza aziendale.
Valore aggiunto dai dipendenti
La sicurezza è una responsabilità di tutti; elimina la colpa dalla tua cultura.
Uno studio di PwC ha rilevato che quasi tre quarti degli intervistati temevano ritorsioni se avessero segnalato problemi di sicurezza. Una cultura della sicurezza può persistere solo se la paura viene eliminata dall’equazione. Non incolpare un dipendente che apre per sbaglio un messaggio di phishing e clicca su un link dannoso. Utilizzalo invece come un esercizio di apprendimento.
Assicurati che i tuoi dipendenti sappiano di essere parte della soluzione, non del problema. Fai in modo che la segnalazione degli incidenti di sicurezza sia una parte intrinseca della tua cultura della sicurezza incentrata sulle persone. Fornisci ai dipendenti gli strumenti per rendere la segnalazione facile e parte della loro vita lavorativa quotidiana. Mostra loro come le segnalazioni di sicurezza portino a una migliore individuazione e prevenzione della sicurezza informatica.
Coltivare una cultura della sicurezza incentrata sulle persone
Una cultura della sicurezza incentrata sulle persone non si crea dall’oggi al domani. Tuttavia, mettendo in atto le strutture giuste, la tua organizzazione inizierà rapidamente a vedere lo sviluppo di comportamenti persistenti e positivi in materia di sicurezza informatica.
Sei pronto a rafforzare la tua sicurezza? Scopri i nostri interessanti post“Costruire campioni di sicurezza informatica per la tua organizzazione” e“5 aree chiave per massimizzare il tuo budget per la sicurezza informatica“. Puoi anche esplorare la nostra libreria completa di contenuti eLearning sulla sicurezza informatica per dotare il tuo team delle conoscenze necessarie per prosperare nell’attuale panorama digitale.
Fai il primo passo verso un futuro più sicuro: immergiti in queste risorse oggi stesso!
