Una buona formazione sulla sicurezza informatica può curare una cattiva cultura della sicurezza informatica?
Pubblicato su: 24 Gen 2023
Ultima modifica il: 24 Lug 2025
Gli attacchi informatici sono così comuni da finire regolarmente sulle cronache nazionali. Le ragioni per cui le truffe e il crimine informatico sono diventati popolari sono molteplici. Tuttavia, la manipolazione e l’ingegneria sociale dei nostri dipendenti e del software che utilizzano è un tipico punto di partenza per questi attacchi.
Le organizzazioni di tutto il mondo lavorano alla costruzione di una cultura della sicurezza per contrastare il fattore umano negli attacchi informatici. Ma se la tua organizzazione deve ancora creare questa mentalità orientata alla sicurezza e le minacce e le vulnerabilità mettono sempre più a rischio la tua azienda, devi chiederti: una buona formazione sulla sicurezza informatica può cambiare una cattiva cultura della sicurezza informatica?
I segni di una cattiva cultura della sicurezza informatica e i modi per porvi rimedio
Una cattiva cultura della sicurezza informatica ha dei segnali d’allarme a cui prestare attenzione. Di seguito ne elenchiamo alcuni tra i più evidenti, insieme ad alcune azioni che possono cambiare una cattiva cultura della sicurezza informatica utilizzando alcune buone tecniche di formazione sulla sicurezza informatica:
Tutte chiacchiere e niente azioni
Una cultura della sicurezza si diffonde dall’alto verso il basso e dal basso verso l’alto. Tutti devono essere incoraggiati a far parte di un insieme più grande, lavorando per un obiettivo comune in cui la sicurezza sia presa sul serio. Tutti, dal consiglio di amministrazione al personale temporaneo, devono capire cosa significa mettere la sicurezza al primo posto e come farlo.
Non cambierà nulla se la tua organizzazione parla di sicurezza ma non fornisce metodi pratici per affrontare le minacce. Spiegando come essere sicuri, il personale sarà in grado di reagire correttamente in caso di tentativi di attacchi informatici, come le e-mail di phishing o gli eventi di social engineering.
Come trasformare i discorsi in azioni: per trasformare i discorsi in azioni, la dirigenza deve seguire le modalità pratiche per sostenere gli sforzi di sicurezza. A tal fine è necessaria una formazione positiva e continua sulla sicurezza in tutta l’organizzazione, che fornisca al personale gli strumenti per contribuire agli sforzi di sicurezza dell’azienda.
Una cultura della colpa, non della sicurezza
Il gioco dello scaricabarile è una cultura tossica e dannosa che si può instaurare rapidamente quando si verificano attacchi informatici, soprattutto se continuano a verificarsi. Puntare il dito e incolpare il personale per gli incidenti, come l’apertura di un’email potenzialmente dannosa, è facile. Tuttavia, più il dito viene puntato, più l’atmosfera generale del comportamento in materia di sicurezza si inasprisce.
Inoltre, questo comportamento di colpevolizzazione è dannoso quanto cliccare su un link di phishing, in quanto crea un ambiente di sfiducia e perpetua un comportamento di scarsa sicurezza.
Smetti il gioco delle colpe con una comunicazione aperta: il capro espiatorio e il biasimo sono l’antitesi di una buona cultura della sicurezza informatica. Lavora invece sulla costruzione della fiducia, in modo che se un dipendente commette un errore si senta a suo agio nel rivelarlo. Una buona cultura della sicurezza necessita di una buona comunicazione. Se un dipendente informa l’IT di un errore di sicurezza, come ad esempio la divulgazione accidentale di dati sensibili, il team può agire più rapidamente per ridurre l’esposizione dei dati.
Ignorare ciò che ti dicono le metriche
Quando la cultura della sicurezza non funziona, il problema si manifesta nelle metriche di vulnerabilità dell’organizzazione: il fattore umano nella sicurezza informatica è ben noto, con statistiche scioccanti quali L’82% di tutti gli attacchi informatici coinvolge un elemento umano. L’errore umano si verifica quando le persone non sono consapevoli di come le loro azioni possano portare a una fuga di dati o mettere a rischio un’azienda. Quindi, se noti un aumento delle violazioni potenziali o effettive, questo potrebbe essere riconducibile ai dipendenti e ad altri non dipendenti.
Le metriche sono tue amiche: usa le metriche fornite dai programmi di formazione sulla consapevolezza della sicurezza e dai programmi di phishing simulato per identificare i punti critici. Le metriche ti permettono di adattare la formazione in modo che sia più efficace. Inoltre, la formazione può essere regolata in base ai ruoli per concentrare l’attenzione su specifiche aree vulnerabili.
In un orecchio e fuori dall’altro
Una cultura della sicurezza inefficace può portare a un apprendimento inefficiente della sicurezza. Materiale formativo noioso e ripetitivo di tipo scolastico può scoraggiare i dipendenti e danneggiare le possibilità di costruire una solida cultura della sicurezza.
L’apprendimento attivo avviene quando le persone sono coinvolte e possono entrare in contatto con il materiale a livello emotivo. Ad esempio, se non fornisci contenuti di sensibilizzazione alla sicurezza collaudati e affidabili. In questo caso, potresti scoprire che le informazioni entrano in un orecchio e escono dall’altro, con i dipendenti che dimenticano le esperienze di apprendimento vitali e i comportamenti di scarsa sicurezza che rimangono invariati.
Il materiale stimolante fa miracoli: fornisci materiale didattico stimolante che sia in sintonia con i tuoi dipendenti. Utilizza una formazione mirata, in modo che i dipendenti imparino mentre si formano e contribuiscano a modificare i comportamenti da cattivi a buoni. Il materiale coinvolgente rimane impresso nei dipendenti e crea quella mentalità orientata alla sicurezza necessaria per consolidare una cultura della sicurezza.
La formazione è scollegata
Le culture di ogni tipo si fondano sulla fiducia e sulla comunicazione. Una cattiva cultura della sicurezza può nascere se i dipendenti non discutono di preoccupazioni o problemi con i manager di linea. Il problema si presenta quando questi stessi manager si sentono scollegati dalla cultura della sicurezza. Questo può accadere quando i programmi di formazione non coinvolgono i dirigenti o quando il materiale formativo non è adattato a reparti e ruoli specifici.
Collegare i ruoli e i reparti:
- Costruisci relazioni e abbatti i confini quando sviluppi programmi di formazione sulla sicurezza, progettando campagne incentrate su ruoli specifici.
- Coinvolgi tutti i dipendenti nella formazione: in un’organizzazione tutti svolgono un ruolo importante e tutti devono far parte della cultura della sicurezza.
- Utilizza materiale formativo che sviluppi i legami tra la dirigenza e i dipendenti attraverso eventi formativi collaborativi come i giochi in stile escape room.
Mancanza di coinvolgimento
Le culture fioriscono quando coinvolgono tutti. Le persone sono sociali e il comportamento prosociale fa parte della costruzione di comunità solide e collaborative. Se non coinvolgi tutti nella formazione sulla sicurezza, si formeranno delle fazioni che avranno un comportamento più scorretto rispetto a coloro che hanno seguito la formazione. La mancanza di coinvolgimento da parte di alcuni influisce sullo sviluppo di una cultura della sicurezza e di una comunità coesa.
Ascolta e impara: ascoltare il tuo personale può aiutare a sviluppare un senso di comunità e di fiducia. Tieni una politica di porte aperte per stabilire connessioni che portino a risposte migliori in materia di sicurezza. Ascolta e impara: coinvolgi i dipendenti in corsi di formazione sulla sicurezza utilizzando iniziative come la settimana annuale di sensibilizzazione sulla sicurezza informatica. Una buona capacità di ascolto è un’ottima strategia di coinvolgimento. Inoltre, aiuta a sviluppare uno spirito di comunità fondamentale per sviluppare una cultura della sicurezza solida ed efficace.
C’è un proverbio che sicuramente avrai sentito: “uniti si sta, divisi si cade”. Questo proverbio racchiude l’importanza di lavorare insieme per raggiungere un obiettivo comune; così facendo, il “tutto diventa più grande della somma delle parti”. La formazione sulla sicurezza deve coinvolgere l’intera comunità dell’organizzazione e costruire ponti basati su esperienze e preoccupazioni comuni. Fornendo un programma di formazione sulla sicurezza piacevole, coinvolgente e informativo, la tua azienda può creare quella cultura della sicurezza sfuggente ma vitale.
