Il mese della consapevolezza della sicurezza informatica, in Europa e negli Stati Uniti, fa parte di un ampio sforzo per aiutare le persone a rimanere sicure e protette online. L'iniziativa è stata lanciata nel 2004 negli Stati Uniti e nel 2012 in Europa. Quest'anno l'evento statunitense si è concentrato su "See Yourself in Cyber". In Europa l'iniziativa ha promosso la consapevolezza del phishing e del ransomware.
Siamo ovviamente favorevoli a qualsiasi sforzo per sostenere la consapevolezza della cybersecurity. Le persone sono l'anello debole degli sforzi di sicurezza di un'organizzazione. È importante insegnare loro i semplici passi che possono compiere per proteggersi online. Per un avversario è ancora molto più facile ingannare qualcuno per fargli rivelare una password o cliccare su un link di un'e-mail che penetrare in una rete ben protetta. Una buona consapevolezza della sicurezza informatica può proteggere le organizzazioni da perdite finanziarie, sanzioni per la conformità e danni alla reputazione.
Eppure, dopo anni di eventi intorno a un "Mese della consapevolezza" annuale, lo sfruttamento di una scarsa consapevolezza della sicurezza informatica rimane il principale vettore di attacco nelle violazioni dei dati.
Il Verizon Data Breach Investigation Report del 2022 ha rilevato che l'82% delle violazioni avvenute nell'anno precedente ha coinvolto l'ingegneria sociale e le percentuali di click di phishing continuano ad aumentare. Una volta conquistato un punto d'appoggio, gli aggressori possono stabilire canali di comando e controllo, spostarsi lateralmente per identificare i dati dell'obiettivo, criptare i dati per le richieste di ransomware o rubare informazioni sensibili.
Il "mese" della consapevolezza della sicurezza informatica?
Quindi sì, siamo favorevoli al mese della consapevolezza della sicurezza informatica. Porta la necessaria attenzione a un problema che lavoriamo da anni per risolvere. Può spingere alcune organizzazioni a fare i primi passi per migliorare la consapevolezza della sicurezza nella propria forza lavoro o a rafforzare i programmi esistenti. Siamo solo contrari a trattare la consapevolezza della sicurezza informatica come un evento annuale.
L'apprendimento non è un evento unico. Non si impara a parlare una nuova lingua o a suonare uno strumento musicale concentrandosi sul compito una volta all'anno. Lo stesso vale per riconoscere ed evitare le minacce alla sicurezza informatica. Imparare a fare qualsiasi cosa richiede tempo e ripetizione.
Quando le sessioni di formazione sono eventi che si tengono una o due volte l'anno per soddisfare i requisiti di conformità, gli studenti non conservano le conoscenze. Il famoso Curva di dimenticanza di Ebbinghaus mostra che gli studenti dimenticano oltre il 75% di una lezione solo nella prima settimana. Alla fine di un mese gli studenti conservano solo il 21% della lezione.
Sensibilizzazione dei dipendenti
L'insegnamento è un processo, non un evento. Ciò include l'insegnamento della consapevolezza della sicurezza informatica. Gli studi dimostrano che la pendenza della curva di dimenticanza può essere ridotta con un regolare rinforzo delle lezioni. Questi rinforzi non devono necessariamente includere tutte le informazioni della lezione. L'obiettivo è far sì che il discente continui a pensare al materiale e a metterlo in pratica.
Costruire una cultura della consapevolezza informatica
Il "mese della consapevolezza della sicurezza informatica" può sembrare un espediente. Un programma efficace di sensibilizzazione alla sicurezza informatica deve essere praticato per 12 mesi all'anno, utilizzando una serie di strumenti e tecniche.
Le lezioni di eLearning sono certamente parte integrante di qualsiasi programma di successo, ma i team dovrebbero rafforzare regolarmente le lezioni attraverso promemoria, simulazioni di phishing, micro-lezioni, screensaver e poster. Le lezioni dovrebbero essere orientate alle diverse minacce che l'organizzazione deve affrontare.
La formazione dei team finanziari deve essere adattata alle minacce specifiche del dipartimento. Le organizzazioni IT devono essere attente al furto di credenziali privilegiate. Tutti hanno bisogno di una formazione continua per gli attacchi di phishing e ransomware.
Un programma di sensibilizzazione alla sicurezza informatica è una parte importante di una valutazione complessiva del rischio. I responsabili dei programmi di sensibilizzazione devono essere in grado di monitorare i progressi attraverso i rapporti e di avviare azioni correttive laddove il rischio permanga nell'organizzazione. Se i singoli o i team ottengono un punteggio insufficiente nella formazione, la formazione correttiva deve essere programmata automaticamente.
L'aspetto più importante è che le organizzazioni che si impegnano nella consapevolezza della sicurezza informatica e nella sicurezza online riconoscono la necessità di un sostegno da parte dei dirigenti. La comunicazione regolare, direttamente da parte dei vertici aziendali, della necessità di un'igiene della sicurezza informatica e del motivo per cui è una priorità per l'azienda, aiuta a creare una cultura della sicurezza duratura.