Formazione e cybersecurity, una relazione che non va sottovalutata
Con oltre il 90% degli attacchi informatici di successo che richiede un’interazione umana, il personale rappresenta ora il punto di ingresso numero uno per i criminali informatici che cercano di danneggiare qualsiasi organizzazione. E, nella maggior parte dei casi, questi attori di minacce non entrano affatto, ma l’accesso viene concesso loro tramite un clic errato o una password riutilizzata.
In altre parole, i cybercriminali considerano sempre, e correttamente, lo staff come il canale d’accesso a dati aziendali sensibili e altro ancora. In risposta, molte organizzazioni hanno implementato programmi di formazione sulla awareness per arginare la marea. Ma la situazione è tutt’altro che perfetta, con solo il 28% che attualmente esegue un programma di formazione completo più di due volte l’anno.
Anche quando i corsi sono più regolari, aziende di tutto il mondo si scontrano con una forza lavoro poco impegnata e spesso indifferente. Il report State of the Phish 2022 evidenzia che gli utenti continuano a mostrare comportamenti rischiosi, ignorando spesso le migliori pratiche di sicurezza – con il 42% che ammette di aver compiuto un’azione pericolosa come scaricare malware, e il 56% che permette ad amici e familiari di usare i dispositivi forniti dal datore di lavoro.
Chiaramente, la consapevolezza da sola non è sufficiente a cambiare il comportamento. Basterebbe considerare quante persone fumano ancora nonostante avvisi e divieti per averne la prova.
Sì, aumentare la consapevolezza è vitale, ma è solo il primo passo di un percorso verso una cultura della cybersecurity in cui le best practice diventino lo standard e le mancanze non siano più tollerate da nessuno. L’unico modo per creare questa cultura, e impedire al personale di ignorare le migliori pratiche, è quello di mantenere gli utenti impegnati in ogni singolo step. Ecco come.
Mescolare gli ingredienti
Promemoria regolari sono fondamentali, ma se si trasmette lo stesso messaggio ripetutamente, c’è il pericolo che il personale si distragga e alla fine non dedichi più la corretta attenzione al processo.
Abbiamo avuto prove evidenti nel corso dell’ultimo anno, con la conoscenza della terminologia chiave in calo, a volte in modo significativo. Come evidenziato ancora dal report State of the Phish , poco più della metà degli utenti (53%) riesce a definisce correttamente il phishing, in calo rispetto al 63% dell’anno precedente. Lo stesso calo si registra anche su termini comuni come malware (meno 2%) e smishing (meno 8%). Il ransomware è stato l’unico termine a vedere un incremento della comprensione, ma solo il 36% poteva definirlo correttamente.
Questo evidenzia la necessità di mantenere aggiornata la formazione sulla consapevolezza della sicurezza, ed è fondamentale fornirla nel maggior numero possibile di luoghi e formati. Più vari sono i modi in cui il messaggio sulla sicurezza IT viene rafforzato, più è probabile che venga mantenuto.
Creare un percorso
La maggior parte degli utenti non è esperta di cybersecurity, e nemmeno desidera esserlo. Quindi, è improbabile che si relazionino con termini specialistici o statistiche di settore. Il processo di cybersecurity dovrebbe essere presentato come una storia, un percorso. Procedendo passo dopo passo per mostrare agli utenti come un semplice comportamento, come ad esempio non chiudere correttamente un programma, usare un dispositivo non autorizzato o cliccare su un link dannoso, possa aprire la porta ai criminali informatici.
Adattarsi continuamente
Il panorama delle minacce è in costante evoluzione. Un programma di formazione deve fare lo stesso, ed essere pertinente ai rischi che un’organizzazione deve affrontare oggi. Deve educare gli utenti su motivi e metodi degli attacchi più comuni e dove è più probabile che accadano e soprattutto far comprendere loro come possono essere manipolati in un’azione – e le potenziali conseguenze legate all’abboccare all’amo. È fondamentale condurre una ricerca sulle persone più attaccate all’interno dell’organizzazione e sui tipi di attacchi che affrontano, in modo da poter fornire la formazione nel contesto quotidiano, fornendo simulazioni basate su esempi del mondo reale per aiutarli a imparare come mettere in atto la loro formazione quando è più importante.
Divertirsi, ma seriamente
Certo la formazione sulla cybersecurity può non essere sempre apprezzata, ma ci sono molti modi per mantenerla positiva e divertente. È consigliabile erogare corsi brevi e concisi, senza paura di usare approcci diversi come l’animazione o l’umorismo se si adattano alla cultura aziendale. Anche renderla competitiva e trasformarla in un gioco può aiutare il processo. È stato dimostrato che la gamification dei moduli di formazione aumenta l’impegno e la motivazione, oltre a migliorare i punteggi nei test. Per ottenere il massimo impatto, formazione e addestramento non devono sembrare un lavoro di routine. Più si riesce a rendere l’esperienza piacevole, meno le persone saranno restie a partecipare, trasformando l’indifferenza per la sicurezza in azione.
Un compito di ogni giorno
Può esserci stato un tempo in cui gestire la cybersecurity era compito esclusivo del team IT, ma quel tempo è ormai lontano. Mentre continuiamo a inviare, ricevere ed elaborare masse di dati ogni giorno, nella vita professionale e personale, la sicurezza IT è intorno a noi e dovrebbero esserlo anche le migliori abitudini. Con una formazione su misura, coinvolgente e continua, possono esserlo davvero.
Adenike Cosgrove, vice president, cybersecurity strategy at Proofpoint
Contenuti correlati
-
Palo Alto Networks: il 41% delle aziende italiane subisce attacchi agli ambienti OT
Un nuovo report di Palo Alto Networks, realizzato in collaborazione con ABI Research, rivela che 2 imprese italiane su 5 (41%) subiscono mensilmente attacchi informatici ai loro ambienti di tecnologia operativa (OT). Ciononostante, solo un quarto considera...
-
Direttiva NIS2 e organizzazioni italiane: le risposte di Sangfor Technologies
Per preparare meglio gli Stati dell’UE contro le minacce informatiche, la Direttiva NIS2 ha incluso requisiti organizzativi più severi, estesi in 4 aree: la gestione del rischio, la responsabilità aziendale, gli obblighi di rendicontazione e la continuità...
-
Un chiaro focus su cybersecurity e licensing software: Wibu-Systems ad Hannover Messe 2024
Quest’anno, Wibu-Systems è particolarmente orgogliosa di presentare ad Hannover Messe 2024 una serie speciale di tour guidati, condotti da Oliver Winzenried stesso, CEO e fondatore dell’azienda. Questi viaggi unici nel cuore dell’innovazione industriale proporranno ai partecipanti uno...
-
Schneider Electric presenta EcoStruxure Secure Connect
Schneider Electric va incontro alle crescenti esigenze di cybersecurity in ambito industriale proponendo EcoStruxure Secure Connect. Nel settore dell’automazione industriale, stiamo assistendo a un aumento significativo di macchine installate e connesse, per le quali la cybersecurity rappresenta un requisito fondamentale. Da...
-
Al Main Event 2024 di Consorzio PI Italia si è parlato di ‘Robotica e cybersecurity per un’industria protetta’
La presenza di esperti e imprese del settore al Main Event 2024 di Consorzio Profibus e Profinet Italia (PI Italia), parte integrante dell’organizzazione internazionale PI-Profibus & Profinet International, ha ribadito l’impegno del Consorzio nel promuovere l’innovazione e diffondere la...
-
Cyber 4.0: spingere nella formazione dei cybersecurity manager è vitale per le PMI
Un punto di riferimento per la cybersecurity delle Pmi a livello nazionale e un canale di accesso semplificato ai fondi del Pnrr per le aziende con obiettivi di sviluppo in questo ambito: sono circa 800 le imprese...
-
Consorzio PI Italia: al ‘Main Event 2024’ si parla di robotica e cybersecurity
Una giornata interamente dedicata alle sfide e alle opportunità legate alla robotica e alla sicurezza informatica. Un’occasione imperdibile per esplorare gli ultimi sviluppi, le tendenze emergenti e le soluzioni innovative che stanno definendo il futuro del settore,...
-
Intelligenza artificiale, cybersecurity e piattaforme digitali: tutte le opportunità per le PMI
Dassault Systèmes ha condiviso i risultati di un’indagine che mette in luce alcune tendenze che offrono oggi nuove opportunità alle startup e alle PMI (Piccole e Medie Imprese) di fare un salto di qualità rispetto alle aziende...
-
7 suggerimenti per riprendersi da un attacco ransomware
Negli ultimi anni, gli attacchi ransomware si sono intensificati ed evoluti fino a diventare un modello di business, causando gravi danni in tutti i settori e provocando perdite significative di dati e beni per le organizzazioni. Il...
-
Chiusa con oltre 1.600 partecipanti l’edizione milanese di Security Summit
La complessità dello scenario cyber è stata scandagliata nei tre percorsi, tecnico, gestionale e legale, durante la tappa milanese di Security Summit 2024, convegno organizzato da Clusit, Associazione Italiana per la Sicurezza Informatica, e Astrea, Agenzia di Comunicazione...