La formazione sulla consapevolezza della sicurezza, ammettiamolo, può essere secca e poco attraente se non è fatta bene. Una cattiva sessione di formazione può essere scoraggiante, con i dipendenti annoiati e incapaci di apprezzare i problemi causati dagli attacchi alla sicurezza informatica. Tuttavia, la consapevolezza della sicurezza per i dipendenti è un must in un'epoca in cui gli aggressori utilizzano il comportamento umano per eseguire i loro attacchi. Quando un'azienda sviluppa un programma di sensibilizzazione alla sicurezza, si sta occupando di un'area critica del business moderno: affrontare le minacce alla sicurezza informatica. Ma il successo di questo programma dipende dal coinvolgimento dei dipendenti sulla natura seria delle minacce alla sicurezza informatica per un'azienda.
Idee per garantire che la formazione sulla consapevolezza della sicurezza sia presa sul serio
I criminali informatici mirano a trarre il massimo vantaggio dal comportamento umano. Di conseguenza, i programmi di sensibilizzazione alla sicurezza devono anche usare il comportamento umano come base per coinvolgere il personale in modo che prenda la formazione più seriamente. Ecco alcuni consigli per assicurarsi che il vostro Security Awareness Training sia un successo:
Responsabilizzare i dipendenti sulle questioni di sicurezza informatica con una facile segnalazione degli incidenti
Iricercatori Dupuis e Renaud hanno dimostrato che 'Fear, Uncertainty and Doubt' (FUD) può essere scoraggiante e inefficace nel cambiare il comportamento di sicurezza dei dipendenti. Il FUD può anche essere controproducente come tattica nella formazione sulla consapevolezza della sicurezza, causando ansia nei dipendenti. La paura non dovrebbe essere il motore in un'organizzazione, a qualsiasi livello. Invece di spaventare i dipendenti, premiate i comportamenti positivi in materia di sicurezza e incoraggiate una segnalazione facile e senza soluzione di continuità degli incidenti di sicurezza. Un sistema di segnalazione degli incidenti di sicurezza, che permetta una segnalazione facile e veloce dei problemi di sicurezza, può responsabilizzare i dipendenti e liberare il fattore paura. I sistemi "Click and Report" cambiano il comportamento rendendo le cose semplici e positive. Un sistema di segnalazione che è integrato in un processo aziendale di segnalazione-trattamento-escalation-risposta, diventa un abilitatore nella cultura della sicurezza estesa di un'organizzazione, rendendo un dipendente centrale in tale cultura.
Rendere la sicurezza informatica integrale, personale e culturale
Gli individui sono l'obiettivo dei criminali informatici. Mentre il truffatore può cercare di rubare grandi quantità di dati personali o di violare un sistema informatico aziendale, inizia a livello individuale. Phishing, spear-phishing e ingegneria sociale sono tutte tattiche che mettono il dipendente al centro di un attacco informatico. Senza l'input di un individuo mirato, molti attacchi informatici cadrebbero nel vuoto. Nello stesso modo in cui i criminali informatici prendono di mira gli individui, la formazione sulla consapevolezza della sicurezza dovrebbe essere mirata e personalizzata.
Il Security Awareness Training ha più successo se è personalizzato: le persone rispondono più positivamente a qualcosa con cui possono relazionarsi. I modelli comportamentali, come l'ecologia comportamentale, offrono intuizioni sul comportamento umano che possono essere applicate per rendere la formazione sulla sicurezza un successo. Assicuratevi che la vostra formazione sia basata sul profilo di lavoro tipico di un dipendente, sui suoi compiti e sul livello di rischio. Un programma personalizzato aiuterà a sviluppare una cultura della sicurezza più integrata che collega i diversi ruoli all'interno di un'organizzazione. La teoria dell'apprendimento basato sul gioco ha identificato i giochi "esperienziali", ad esempio il gioco di ruolo e l'esperienza rilevante, come più efficaci per l'apprendimento. Se un dipendente è più ricettivo all'apprendimento, vedrà la natura seria delle minacce alla sicurezza informatica senza il bisogno di usare lezioni negative e basate sulla paura.
Rendere la formazione sulla consapevolezza della sicurezza uno sport di squadra
La ricerca in aree come la teoria cognitiva sociale ha trovato collegamenti tra l'apprendimento umano e il comportamento che sono influenzati dagli ambienti sociali, comprese le reazioni e l'approvazione degli altri. I giochi di consapevolezza della sicurezza possono essere la base di un'esperienza di apprendimento positiva. Provate a creare squadre di dipendenti che agiscono insieme per contrastare i metodi di attacco informatico. L'ambiente di squadra può aiutare a incoraggiare l'apprendimento e dimostrare al personale la natura seria delle minacce alla sicurezza informatica contro l'organizzazione.
Rendere la formazione sulla consapevolezza della sicurezza parte di una cultura aziendale continua
La ricerca dell'analista Forrester suggerisce che una formazione di sensibilizzazione alla sicurezza di successo deve essere incentrata sull'utente e concentrarsi sul cambiamento dei comportamenti. Andate oltre la creazione di una cultura della sicurezza per incorporare la sicurezza nella vostra cultura aziendale generale utilizzando l'automazione delle campagne di sensibilizzazione alla sicurezza. Le soluzioni per campagne di sensibilizzazione automatizzate possono essere impiegate per creare e gestire campagne di formazione sulla sicurezza informatica efficaci e continuative. Utilizzando l'automazione per fornire una formazione di sensibilizzazione alla sicurezza, la rendete parte di un sistema incorporato in tutta la vostra organizzazione. L'automazione facilita l'erogazione e la messa a punto della consapevolezza della sicurezza e incorpora la cultura della sicurezza nella cultura aziendale, rendendola una parte importante del mandato di un dipendente, e non solo un ripensamento. Rendendo la sicurezza parte integrante delle aspettative della vostra organizzazione sul comportamento dei dipendenti, un buon comportamento di sicurezza viene confermato come una parte importante e riconosciuta della vostra organizzazione.
Cambiare le abitudini di sicurezza di lunga data è un affare serio
La chiave per un'azienda cyber-sicura è l'impegno del suo personale nell'aiutare a mitigare le minacce informatiche. Rendere il personale consapevole della sicurezza significa cambiare abitudini spesso radicate da tempo. Per farlo è necessario l'impegno e la comprensione del personale dell'importanza della formazione sulla sicurezza nel successo dell'organizzazione. Metriche e feedback possono essere un vantaggio nel riprodurre il successo e la serietà dei programmi di formazione sulla sicurezza. Le metriche sono utili sia per i dipendenti per vedere i progressi e per la vostra organizzazione per aggiustare i programmi per migliorare il loro tasso di successo. Se la vostra organizzazione implementa una soluzione di campagna di sensibilizzazione automatizzata, questo sistema sarà anche in grado di mantenere una verifica dell'uso della formazione di sensibilizzazione alla sicurezza da parte della vostra organizzazione, fornendo una risorsa importante per dimostrare la conformità normativa.
Le minacce alla sicurezza sono serie, le statistiche lo dimostrano. Ma la paura non motiva i dipendenti né li rende consapevoli delle implicazioni delle loro azioni. Un programma di formazione sulla consapevolezza della sicurezza ben pensato, gestito e continuo, che coinvolge i dipendenti in un ethos aziendale, farà sì che i dipendenti prendano sul serio la sicurezza.
