Con oltre il 90% degli attacchi informatici di successo che richiede un’interazione umana, il personale rappresenta ora il punto di ingresso numero uno per i criminali informatici che cercano di danneggiare qualsiasi organizzazione. E, nella maggior parte dei casi, questi attori di minacce non entrano affatto, ma l’accesso viene concesso loro tramite un clic errato o una password riutilizzata.
In altre parole, i cybercriminali considerano sempre, e correttamente, lo staff come il canale d’accesso a dati aziendali sensibili e altro ancora. In risposta, molte organizzazioni hanno implementato programmi di formazione sulla awareness per arginare la marea. Ma la situazione è tutt’altro che perfetta, con solo il 28% che attualmente esegue un programma di formazione completo più di due volte l’anno.
Anche quando i corsi sono più regolari, aziende di tutto il mondo si scontrano con una forza lavoro poco impegnata e spesso indifferente. Il report State of the Phish 2022 evidenzia che gli utenti continuano a mostrare comportamenti rischiosi, ignorando spesso le migliori pratiche di sicurezza – con il 42% che ammette di aver compiuto un’azione pericolosa come scaricare malware, e il 56% che permette ad amici e familiari di usare i dispositivi forniti dal datore di lavoro.
Chiaramente, la consapevolezza da sola non è sufficiente a cambiare il comportamento. Basterebbe considerare quante persone fumano ancora nonostante avvisi e divieti per averne la prova.
Sì, aumentare la consapevolezza è vitale, ma è solo il primo passo di un percorso verso una cultura della cybersecurity in cui le best practice diventino lo standard e le mancanze non siano più tollerate da nessuno. L’unico modo per creare questa cultura, e impedire al personale di ignorare le migliori pratiche, è quello di mantenere gli utenti impegnati in ogni singolo step. Ecco come.
Mescolare gli ingredienti
Promemoria regolari sono fondamentali, ma se si trasmette lo stesso messaggio ripetutamente, c’è il pericolo che il personale si distragga e alla fine non dedichi più la corretta attenzione al processo.
Abbiamo avuto prove evidenti nel corso dell’ultimo anno, con la conoscenza della terminologia chiave in calo, a volte in modo significativo. Come evidenziato ancora dal report State of the Phish , poco più della metà degli utenti (53%) riesce a definisce correttamente il phishing, in calo rispetto al 63% dell’anno precedente. Lo stesso calo si registra anche su termini comuni come malware (meno 2%) e smishing (meno 8%). Il ransomware è stato l’unico termine a vedere un incremento della comprensione, ma solo il 36% poteva definirlo correttamente.
Questo evidenzia la necessità di mantenere aggiornata la formazione sulla consapevolezza della sicurezza, ed è fondamentale fornirla nel maggior numero possibile di luoghi e formati. Più vari sono i modi in cui il messaggio sulla sicurezza IT viene rafforzato, più è probabile che venga mantenuto.
Creare un percorso
La maggior parte degli utenti non è esperta di cybersecurity, e nemmeno desidera esserlo. Quindi, è improbabile che si relazionino con termini specialistici o statistiche di settore.
Il processo di cybersecurity dovrebbe essere presentato come una storia, un percorso. Procedendo passo dopo passo per mostrare agli utenti come un semplice comportamento, come ad esempio non chiudere correttamente un programma, usare un dispositivo non autorizzato o cliccare su un link dannoso, possa aprire la porta ai criminali informatici.
Adattarsi continuamente
Il panorama delle minacce è in costante evoluzione. Un programma di formazione deve fare lo stesso, ed essere pertinente ai rischi che un’organizzazione deve affrontare oggi.
Deve educare gli utenti su motivi e metodi degli attacchi più comuni e dove è più probabile che accadano e soprattutto far comprendere loro come possono essere manipolati in un’azione – e le potenziali conseguenze legate all’abboccare all’amo.
È fondamentale condurre una ricerca sulle persone più attaccate all’interno dell’organizzazione e sui tipi di attacchi che affrontano, in modo da poter fornire la formazione nel contesto quotidiano, fornendo simulazioni basate su esempi del mondo reale per aiutarli a imparare come mettere in atto la loro formazione quando è più importante.
Divertirsi, ma seriamente
Certo la formazione sulla cybersecurity può non essere sempre apprezzata, ma ci sono molti modi per mantenerla positiva e divertente. È consigliabile erogare corsi brevi e concisi, senza paura di usare approcci diversi come l’animazione o l’umorismo se si adattano alla cultura aziendale.
Anche renderla competitiva e trasformarla in un gioco può aiutare il processo. È stato dimostrato che la gamification dei moduli di formazione aumenta l’impegno e la motivazione, oltre a migliorare i punteggi nei test.
Per ottenere il massimo impatto, formazione e addestramento non devono sembrare un lavoro di routine. Più si riesce a rendere l’esperienza piacevole, meno le persone saranno restie a partecipare, trasformando l’indifferenza per la sicurezza in azione.
Un compito di ogni giorno
Può esserci stato un tempo in cui gestire la cybersecurity era compito esclusivo del team IT, ma quel tempo è ormai lontano. Mentre continuiamo a inviare, ricevere ed elaborare masse di dati ogni giorno, nella vita professionale e personale, la sicurezza IT è intorno a noi e dovrebbero esserlo anche le migliori abitudini. Con una formazione su misura, coinvolgente e continua, possono esserlo davvero.
di Adenike Cosgrove, vice president, cybersecurity strategy at Proofpoint