Formazione e cybersecurity, una relazione che non va sottovalutata

Pubblicato il 13 aprile 2022

Con oltre il 90% degli attacchi informatici di successo che richiede un’interazione umana, il personale rappresenta ora il punto di ingresso numero uno per i criminali informatici che cercano di danneggiare qualsiasi organizzazione. E, nella maggior parte dei casi, questi attori di minacce non entrano affatto, ma l’accesso viene concesso loro tramite un clic errato o una password riutilizzata.

In altre parole, i cybercriminali considerano sempre, e correttamente, lo staff come il canale d’accesso a dati aziendali sensibili e altro ancora. In risposta, molte organizzazioni hanno implementato programmi di formazione sulla awareness per arginare la marea. Ma la situazione è tutt’altro che perfetta, con solo il 28% che attualmente esegue un programma di formazione completo più di due volte l’anno.

Anche quando i corsi sono più regolari, aziende di tutto il mondo si scontrano con una forza lavoro poco impegnata e spesso indifferente. Il report State of the Phish 2022 evidenzia che gli utenti continuano a mostrare comportamenti rischiosi, ignorando spesso le migliori pratiche di sicurezza – con il 42% che ammette di aver compiuto un’azione pericolosa come scaricare malware, e il 56% che permette ad amici e familiari di usare i dispositivi forniti dal datore di lavoro.

Chiaramente, la consapevolezza da sola non è sufficiente a cambiare il comportamento. Basterebbe considerare quante persone fumano ancora nonostante avvisi e divieti per averne la prova.

Sì, aumentare la consapevolezza è vitale, ma è solo il primo passo di un percorso verso una cultura della cybersecurity in cui le best practice diventino lo standard  e le mancanze non siano più tollerate da nessuno. L’unico modo per creare questa cultura, e impedire al personale di ignorare le migliori pratiche, è quello di mantenere gli utenti impegnati in ogni singolo step. Ecco come.

Mescolare gli ingredienti

Promemoria regolari sono fondamentali, ma se si trasmette lo stesso messaggio ripetutamente, c’è il pericolo che il personale si distragga e alla fine non dedichi più la corretta attenzione al processo.

Abbiamo avuto prove evidenti nel corso dell’ultimo anno, con la conoscenza della terminologia chiave in calo, a volte in modo significativo. Come evidenziato ancora dal report State of the Phish , poco più della metà degli utenti (53%) riesce a definisce correttamente il phishing, in calo rispetto al 63% dell’anno precedente. Lo stesso calo si registra anche su termini comuni come malware (meno 2%) e smishing (meno 8%). Il ransomware è stato l’unico termine a vedere un incremento della comprensione, ma solo il 36% poteva definirlo correttamente.

Questo evidenzia la necessità di mantenere aggiornata la formazione sulla consapevolezza della sicurezza, ed è fondamentale fornirla nel maggior numero possibile di luoghi e formati. Più vari sono i modi in cui il messaggio sulla sicurezza IT viene rafforzato, più è probabile che venga mantenuto.

Creare un percorso

La maggior parte degli utenti non è esperta di cybersecurity, e nemmeno desidera esserlo. Quindi, è improbabile che si relazionino con termini specialistici o statistiche di settore. Il processo di cybersecurity dovrebbe essere presentato come una storia, un percorso. Procedendo passo dopo passo per mostrare agli utenti come un semplice comportamento, come ad esempio non chiudere correttamente un programma, usare un dispositivo non autorizzato o cliccare su un link dannoso, possa aprire la porta ai criminali informatici.

Adattarsi continuamente

Il panorama delle minacce è in costante evoluzione. Un programma di formazione deve fare lo stesso, ed essere pertinente ai rischi che un’organizzazione deve affrontare oggi. Deve educare gli utenti su motivi e metodi degli attacchi più comuni e dove è più probabile che accadano e soprattutto far comprendere loro come possono essere manipolati in un’azione – e le potenziali conseguenze legate all’abboccare all’amo. È fondamentale condurre una ricerca sulle persone più attaccate all’interno dell’organizzazione e sui tipi di attacchi che affrontano, in modo da poter fornire la formazione nel contesto quotidiano, fornendo simulazioni basate su esempi del mondo reale per aiutarli a imparare come mettere in atto la loro formazione quando è più importante.

Divertirsi, ma seriamente

Certo la formazione sulla cybersecurity può non essere sempre apprezzata, ma ci sono molti modi per mantenerla positiva e divertente. È consigliabile erogare corsi brevi e concisi, senza paura di usare approcci diversi come l’animazione o l’umorismo se si adattano alla cultura aziendale. Anche renderla competitiva e trasformarla in un gioco può aiutare il processo. È stato dimostrato che la gamification dei moduli di formazione aumenta l’impegno e la motivazione, oltre a migliorare i punteggi nei test. Per ottenere il massimo impatto, formazione e addestramento non devono sembrare un lavoro di routine. Più si riesce a rendere l’esperienza piacevole, meno le persone saranno restie a partecipare, trasformando l’indifferenza per la sicurezza in azione.

Un compito di ogni giorno

Può esserci stato un tempo in cui gestire la cybersecurity era compito esclusivo del team IT, ma quel tempo è ormai lontano. Mentre continuiamo a inviare, ricevere ed elaborare masse di dati ogni giorno, nella vita professionale e personale, la sicurezza IT è intorno a noi e dovrebbero esserlo anche le migliori abitudini. Con una formazione su misura, coinvolgente e continua, possono esserlo davvero.

 

 

Adenike Cosgrove, vice president, cybersecurity strategy at Proofpoint



Contenuti correlati

  • Lapp: la connessione come ‘ponte’ fra safety e security

    Si è tenuta a Bologna la giornata di lavori intitolata “Industrial Network Security: come proteggere le infrastrutture 4.0?” organizzata da Lapp Italia e dedicata alla sicurezza. “Nata nl 1959 come azienda famigliare, Lapp conta oggi più di...

  • Industry 4.0: l’89% delle aziende è colpito da attacchi cyber e subisce milioni di perdite

    Nell’ultimo anno l’89% delle organizzazioni nei settori elettrico, oil&gas e manifatturiero ha subito un attacco cyber che ha danneggiato la produzione e la fornitura di energia. Il dato emerge da “The State of Industrial Cybersecurity”, l’ultimo studio...

  • Reply minacce informatiche
    Automation e AI sono la chiave per difendersi dalle minacce del mondo digitale

    La cybersecurity rappresenta oggi una priorità assoluta e contestuale all’implementazione di nuove tecnologie, dato il ruolo cruciale che sono arrivate ad occupare nelle nostre vite private e professionali. Smart Home, Connected Car, Delivery Robot: l’evoluzione non si...

  • Innovazione e ricerca, la Lombardia prima in europa nel campo della cybersicurezza

    È stato firmato nell’Aula Magna del Politecnico di Milano, l’accordo di collaborazione tra Politecnico di Milano, Regione Lombardia, Aria, Intesa Sanpaolo e il I Reggimento Trasmissioni dell’Esercito per la nascita di una rete di comunicazione quantistica a...

  • Lior Div Cybereason sicurezza informatica
    Sicurezza informatica, alcuni principi guida per il settore privato

    Cybereason ha pubblicato il report inaugurale del Cyber Defenders Council, un gruppo di 50 eminenze della sicurezza provenienti da organizzazioni del settore pubblico e privato in Nord America, EMEA e APAC. Il report intitolato Defend Forward: A Proactive...

  • Competenze e tecnologia, un binomio inscindibile

    La difficoltà di reperire personale qualificato e la necessità di trattenere in azienda le migliori  competenze spingono sempre più aziende a investire in formazione e in nuove tecnologie al fine di mantenere la loro competitività. Si tratta di due trend che, in ambito...

  • Cybersecurity e convergenza IT/OT, le specificità del mercato farmaceutico

    Dall’arresto della filiera produttiva al furto di dati sanitari sensibili, fino alla manomissione di servizi pubblici primari, una cosa è certa: la continua evoluzione delle minacce digitali coinvolge sempre più i sistemi OT, con impatti devastanti sia...

  • Trofeo Smart Project Omron torna in presenza per la XV edizione

    È tornata finalmente a svolgersi in presenza, dopo due anni di eventi virtuali, la fase finale del XV Trofeo Smart Project, manifestazione che rientra nel protocollo d’Intesa siglato tra Omron e il Ministero dell’Istruzione. La competizione è...

  • A SPS Italia 2022 parliamo di cybersecurity con Stormshield

    A SPS Italia 2022 Automazione Oggi ha intervistato Davide Pala, pre-sales engineer di Stormshield. Automazione Oggi: Qual è lo stato normativo attuale in tema di cybersecurity industriale? Quali sono le conseguenze di questa situazione, quali misure e migliorie sarebbero...

  • Axitea gioca in squadra con Benetton Rugby

    Axitea, che opera come Global Security Provider sul mercato italiano e internazionale, ha siglato una partnership con Benetton Rugby, società sportiva di fama internazionale, tra le principali in Italia. L’accordo prevede la fornitura di servizi di sicurezza a...

Scopri le novità scelte per te x