Oltre la security awareness, verso un cambiamento comportamentale di lungo termine

Luca Maiocchi, Country Manager, Proofpoint

Negli ultimi anni si è discusso molto tra operatori, analisti e vendor sul tema della sensibilizzazione alla sicurezza, sui fattori che permettono di costruire un buon programma, sui metodi di misurazione e sulle relative motivazioni.

Centinaia di conversazioni con clienti di ogni dimensione e livello di complessità hanno mostrato in modo evidente come i metodi tradizionali di formazione alla consapevolezza della sicurezza basati sulla conformità non siano all’altezza, così come i metodi di misurazione dell’efficacia.

Se l’obiettivo è ridurre il rischio di sicurezza legato ad azioni e comportamenti dei dipendenti, è necessario andare oltre la sensibilizzazione e promuovere un cambiamento comportamentale duraturo e una cultura orientata alla cybersecurity.

Le sfide dei programmi tradizionali di consapevolezza della sicurezza

Questi programmi sono stati a lungo un punto fermo delle iniziative di cybersecurity delle aziende. Perché non sono stati efficaci?

Approccio unico

Molti programmi tradizionali utilizzano gli stessi contenuti formativi generici e orientati alla conformità, anno dopo anno. Questo approccio non è in grado di affrontare le situazioni uniche e reali che i dipendenti, con diversi ruoli, possono incontrare.

Una metodologia uguale per tutti può portare i lavoratori a disimpegno e a mancanza di attenzione. Tuttavia, offrire un approccio realmente personalizzato può essere complesso e demotivante per i team di sicurezza, soprattutto se non dispongono di risorse sufficienti.

Mancanza di connessione con il mondo reale

I programmi tradizionali possono impartire conoscenze, ma spesso faticano a tradurle in cambiamenti comportamentali duraturi. Il report State of the Phish 2024 di Proofpoint ha rilevato che più di due terzi dei dipendenti (68%) adottano consapevolmente comportamenti a rischio nonostante il 99% delle aziende abbia un programma di sensibilizzazione alla sicurezza.

È come insegnare a una persona a lanciarsi con il paracadute con la visione di qualche video e la lettura delle istruzioni. Anche se la teoria sarà chiara, al momento di saltare dall’aereo ci sarà disorientamento, a causa del vento e dell’aria sottile e, soprattutto, ci sarà incertezza su quando aprire il paracadute.

Allo stesso modo, i dipendenti che ricevono solo una formazione passiva sulla sicurezza faticano ad applicare le loro conoscenze quando si trovano di fronte alle minacce del mondo reale. Possono comprendere i concetti, ma faticano ad applicarli in modo coerente nelle loro attività quotidiane.

Non basta cambiare terminologia

Nelle discussioni con i clienti si fa strada un nuovo termine – gestione del rischio umano – e molti chiedono di passare a questo approccio. Desiderano misurare il rischio, ma non sanno cosa controllare e come farlo. La complessità di raccogliere i dati da diversi fornitori e fonti, e far sì che tutti abbiano senso e siano utilizzabili è una sfida. Inoltre, affermano di voler utilizzare automazione, gamification e altri elementi per migliorare il coinvolgimento dei dipendenti.

Si tratta sicuramente di ottimi strumenti e, senza dubbio, bisognerebbe comprendere i rischi e trovare modi per coinvolgere i dipendenti in modo più efficace. Tuttavia, sono solo tool e non sono in grado di capire come modificare il comportamento. Ciò richiede un’immersione nei principi e nelle tecniche della scienza comportamentale, che la maggior parte dei team di cybersecurity non è in grado di realizzare.

Alcuni clienti, analisti e vendor definiscono la security awareness come “gestione del rischio umano” senza capire cosa significhi in realtà. È un termine confuso e negativo che suggerisce che gli esseri umani siano “rischiosi” e debbano essere “gestiti”. Trasmette l’idea che il problema sia il dipendente, favorendo una mentalità “noi contro loro” anziché una inclusiva.

Riteniamo sia importante comprendere i dipendenti: cosa fanno, sanno e credono e questa conoscenza deve anche essere quantificata per costruire un programma che promuova un cambiamento di comportamento duraturo.

La consapevolezza è fondamentale

È un segnale positivo che i clienti chiedano informazioni sulla gestione del rischio umano. Anche se il termine in sé è negativo, dà l’opportunità di parlare in modo più ampio dei programmi di comportamento e cultura della sicurezza e del ruolo della consapevolezza al loro interno.

La consapevolezza è il pilastro fondamentale. Fornisce ai dipendenti le conoscenze essenziali e la comprensione delle potenziali minacce, delle best practice e dell’importanza di tenere la cybersecurity in primo piano nello svolgimento delle attività quotidiane.

Non vogliamo eliminare i fondamenti della consapevolezza, ma farli evolvere, incorporando contenuti personalizzati in base ai ruoli e alle responsabilità specifiche dei singoli individui in azienda, riconoscendo le sfide uniche di cybersecurity che ognuno deve affrontare. Per adottare efficacemente comportamenti più sicuri e combattere le minacce sono necessarie conoscenze specifiche su ruoli, minacce e privilegi.

È opportuno integrare il programma esistente con una formazione correlata sulle minacce, erogata in piccole dosi e in varie modalità, come simulazioni interattive, esperienze di gamification e campagne di consolidamento continue.

La cultura regna sovrana

Il concetto che “la cultura si basa sulla strategia” è molto rilevante per i programmi di comportamento di sicurezza e sottolinea il ruolo critico che svolge nel successo delle strategie di protezione ed è il fondamento su cui si costruiscono i comportamenti di sicurezza, determinandone l’efficacia. Indipendentemente dal fornitore o dalla tecnologia scelta, se un’azienda non abbraccia pienamente una cultura della sicurezza, la capacità di ottenere un cambiamento di comportamento duraturo nei dipendenti sarà scarsa.

Una cultura della sicurezza inizia e viene sostenuta dall’alto, andando oltre il CISO. Mai come in questo caso l’esempio è fondamentale, e sapere che i vertici aziendali prestano attenzione a questo aspetto può davvero fare la differenza nella percezione dei dipendenti, I migliori programmi sono anche legati ai KPI generali dell’azienda, non solo del team di sicurezza e sono sviluppati con un team interfunzionale che promuove la responsabilità, non la paura.

È quindi necessario avere un robusto supporto esecutivo a ogni livello, obiettivi allineati, creatività e gli strumenti giusti per progredire verso un cambiamento di comportamento duraturo. Proprio come non esistono scorciatoie per diventare un esperto paracadutista, il raggiungimento degli obiettivi richiede pratica, guida e tecniche efficaci.

Contenuti correlati

• 
  Artificial Intelligence: scudo e spada nella cybersecurity moderna

  Daniel Rapp, Group Vice President, AI/ML, Proofpoint, riassume le opportunità e le sfide che la rapida diffusione dell’AI sta portando alle aziende in tema di sicurezza cyber. L’intelligenza artificiale è sulla bocca di tutti, e il mondo...
• 
  Gli attacchi alla supply chain mettono il business a rischio

  Di Ferdinando Mancini, Director, Southern Europe Sales Engineering, Proofpoint I criminali informatici sono sempre più audaci e sofisticati nei loro metodi e si servono di spoofing o dell’appropriazione di account legittimi per violare la sicurezza aziendale e...
• 
  Proofpoint: aumenta la preoccupazione dei CISO italiani nel 2024

  Chief Information Security Officer (CISO) più preoccupati: questo è uno dei trend che emerge dall’edizione 2024 del report annuale Voice of the CISO di Proofpoint. Il report analizza sfide, aspettative e priorità principali riportate dai CISO a...
• 
  Il panorama delle minacce è in continua evoluzione: cosa dobbiamo aspettarci nel 2024

  Selena Larson, Senior Threat Intelligence Analyst di Proofpoint, illustra i principali trend che prenderanno piede nei prossimi mesi in tema di cybersecurity Nessuno sa quale sarà la prossima Big Thing nel panorama delle minacce. Ma possiamo certo...
• 
  Proofpoint segnala il ritorno del Gruppo TA866 con un’estesa campagna email

  I ricercatori di Proofpoint hanno identificato il ritorno di TA866 nei dati delle campagne di minacce via email, dopo nove mesi di assenza. L’11 gennaio 2024, l’azienda ha bloccato una campagna massiccia, composta da diverse migliaia di...
• 
  Proofpoint: il ritorno del malware Qbot

  Il malware QakBot, noto anche come Qbot, è stato nuovamente identificato in campagne di phishing, dopo essere stato bloccato dalle forze dell’ordine durante l’estate. Lo scorso agosto, un’operazione multinazionale delle forze dell’ordine chiamata Operation Duck Hunt ha...
• 
  Nuovo CEO a Proofpoint

  Proofpoint ha nominato Sumit Dhawan Chief Executive Officer, con effetto immediato. Rémi Thomas, chief financial officer di Proofpoint, che ha svolto il ruolo di CEO ad interim dal 25 ottobre, continuerà a ricoprire il ruolo di CFO...
• 
  Autenticazione delle email, sta per arrivare la nuova rivoluzione della cybersecurity

  Google e Yahoo stanno per cambiare i requisiti di autenticazione delle email, rendendoli più stringenti. Che cosa cambia per le aziende che usano questo canale per comunicare con clienti e prospect? Chi ha un account di posta...
• 
  Quando la minaccia arriva dall’interno. I trend attuali in tema di insider risk

  Di Luca Maiocchi, Country Manager, Proofpoint Italia “Gli attaccanti esterni sono l’unica minaccia per le risorse aziendali”: già nel 2017 McKinsey aveva giustamente definito questa affermazione un mito. Oggi sembra che un numero maggiore di aziende stia...
• 
  Falsi aggiornamenti del browser per distribuire malware

  Proofpoint  sta controllando almeno quattro cluster di minacce distinte che si basano su falsi aggiornamenti del browser per distribuire malware. Questi falsi update si riferiscono a siti web compromessi che mostrano quella che sembra essere una notifica...