Nonostante il crescente coinvolgimento delle aziende in programmi di formazione sulla sicurezza aziendale, i risultati sono insoddisfacenti. Ecco perché il tradizionale approccio alla Security Awareness ha fallito.

Adottare un programma di formazione del personale nel campo della sicurezza informatica è oggi una necessità. Il rischio più concreto, oltre a quello di subire un incidente di sicurezza, è quello di gettare al vento tempo e denaro nell’implementazione di tecnologie di sicurezza, in alcuni casi, anche molto avanzate. Per questo negli ultimi anni le aziende si sono dimostrate particolarmente sensibili verso i programmi di Security Awareness. Questo interesse è stato accelerato da due situazioni emergenti:

  1. l’aumento di e-mail di phishing e delle tecniche di social engineering, che nel 2019 hanno causato in Italia un incremento dell’81,9% di questo tipo di attacchi (Rapporto Clusit 2020);
  2. l’introduzione di normative a tutela dei dati personali (come il GDPR), che tra gli altri, hanno sollevato l’obbligo di formare il personale sugli aspetti legati alla tutela e alla sicurezza delle informazioni.

Secondo la ricerca dell’Osservatorio Information Security & Privacy della School of Management del Politecnico di Milano, nel 2019, in Italia, le aziende con un piano di formazione sulla security attivo sono circa la metà (55% del campione). Dato che si allinea con alcune rilevazioni a livello mondiale secondo cui circa il 53% delle aziende ha avviato una qualche forma di programma di sensibilizzazione sulla sicurezza.

Nonostante sia stata riconosciuta l’importanza dei programmi di Security Awareness, il Rapporto Clusit 2019 registra dati sconfortanti sulla loro efficacia:

  • Il 97% degli utenti non sa riconoscere una e-mail di phishing: gli attacchi di phishing sono in continua evoluzione, diventando sempre più sofisticati grazie a tecniche di social engineering sempre più evolute.
  • Secondo analisti ed esperti di sicurezza, l’80-90% degli incidenti di sicurezza è legato a errori umani.
  • Il 53% degli attacchi in Italia è dovuto a cause interne all’azienda, per esempio la navigazione su siti non sicuri, l’accesso con device aziendali a connessioni pubbliche, l’utilizzo di password deboli e non alfanumeriche e il passaggio di dati sensibili con chiavi USB non cifrate.
  • In Italia nel 2018 il 37% della popolazione adulta è stata colpita da un attacco informatico.

Di fronte a questi dati, è chiaro che il tradizionale approccio teorico alla Security Awareness non sta funzionando.

 

Prepara i tuoi collaboratori a prendere decisioni sicure

Scopri Intelligent Awareness

 

Perché il tradizionale approccio alla Security Awareness ha fallito

Con l’aiuto del rapporto Clusit 2019 abbiamo individuato le 5 caratteristiche che hanno reso inefficace l’approccio formativo tradizionale.

 

1) OBIETTIVO SBAGLIATO

L’obiettivo di un programma di Security Awareness tradizionale è quello di accrescere la sensibilità verso i pericoli informatici. Si assume che, se una persona è consapevole dei rischi, modificherà il proprio comportamento di conseguenza.

Nella realtà non è così: una volta completato il corso o il test, spesso le persone tornano alla loro routine ignorando quanto menzionato nella formazione. Questo avviene perché il classico approccio formativo teorico è spesso inteso come mero obbligo aziendale, un task da completare: di conseguenza, non è in grado di attirare l’attenzione e l’interesse necessari ad attivare un percorso di cambiamento delle abitudini.

Occorre allora implementare un programma globale di Security Education, Training & Awareness: la formazione dovrà partire dalla sensibilizzazione, ma concentrarsi poi anche sulla creazione di una solida cultura di sicurezza aziendale, in grado di modificare concretamente i comportamenti delle persone.

 

2) MANCANZA DI PERSONALIZZAZIONE

Le attività formative classiche, erogate come video lezioni, corsi in aula, newsletter, sono uguali per tutti: non tengono conto delle diverse conoscenze ed esperienze dei partecipanti e soprattutto del ruolo in azienda. Senza un assessment iniziale e una formazione su misura che considerino il livello del singolo partecipante, risulta difficile anche solo aumentare il livello di sensibilità ai rischi di sicurezza.

Adottando soluzioni che includano il behavior management, quindi prevedano

  • un’analisi del comportamento dell’utente,
  • uno studio delle sue lacune e della sua sensibilità a determinati vettori psicologici,
  • il monitoraggio dell’endpoint e del suo modo d’uso del pc,

sarà invece possibile impostare una formazione mirata che renda le persone la prima difesa contro le minacce informatiche.

 

3) NON SI IMPARA DAGLI ERRORI

Nonostante alcuni tentativi di cambiare modalità di erogazione, introducendo attività più pratiche come la simulazione di attacchi di phishing per misurare il livello di awareness dei dipendenti, queste attività rimangono fini a sé stesse, perdendo il loro vero potenziale. I programmi classici soffrono la mancanza di un framework di indicatori in grado di misurarne e monitorarne l’efficacia.

Impostando un processo formativo continuativo attraverso il ciclo Plan-Do-Check-Act si otterrà una gestione delle competenze basata sulla reale esperienza e un continuo miglioramento:

  • tenendo conto dei risultati di simulazioni e test come punto di partenza per impostare il successivo security awareness training mirato;
  • inserendo i momenti di formazione all’interno delle attività quotidiane, la verifica dell’apprendimento sarà reale, con un effettivo approccio learning by doing.

 

4) FREQUENZA DI EROGAZIONE INADEGUATA

Di norma, come rilevato da Osterman Research, il 64% delle aziende prevede un intervento di formazione sulla sicurezza informatica aziendale da 1 a 3 volte l’anno. Questa frequenza è inadeguata.

In questo contesto, spesso le aziende si limitano a progettare un percorso perché necessario, senza una vera progettualità a lungo termine. Che efficacia può avere seguire un corso isolato sulla prevenzione del phishing quando emergono nuove tecniche ogni giorno?

Perché un percorso porti a dei risultati tangibili e a una modifica dei comportamenti, sono necessari interventi formativi mirati continuativi distribuiti nell’arco di almeno un anno.

 

5) SUPPORTO DAL MANAGEMENT NON ADEGUATO

Un fattore strettamente collegato al successo di un programma di security awareness è il supporto da parte del management: un minore coinvolgimento corrisponde a una minore maturità del programma sviluppato. Fintanto che il management aziendale ritiene la security awareness una tematica confinata all’ambito tecnico, non sarà possibile una trasformazione culturale che impatti su tutta l’azienda.

Diventa quindi prioritario lavorare sulla sensibilizzazione del management fornendo visibilità dei benefici che il programma comporta.

 

Come massimizzare il rendimento del tuo investimento in Security Awareness

Stai pensando di investire in un programma di formazione per i tuoi collaboratori?

Il nostro consiglio è di fare tesoro delle indicazioni contenute nel rapporto Clusit e strutturare una formazione che dia risultati tangibili e misurabili nel tempo. Come è possibile fare questo?

La ricetta Matika si chiama Intelligent Awareness e risponde proprio a questo quesito.

 

Scopri come misurare e monitorare l’efficacia del tuo programma di Security Awareness

Massimizza il rendimento del tuo investimento 

Share This