Luca Maiocchi, Country Manager, Proofpoint
Negli ultimi anni si è discusso molto tra operatori, analisti e vendor sul tema della sensibilizzazione alla sicurezza, sui fattori che permettono di costruire un buon programma, sui metodi di misurazione e sulle relative motivazioni.
Centinaia di conversazioni con clienti di ogni dimensione e livello di complessità hanno mostrato in modo evidente come i metodi tradizionali di formazione alla consapevolezza della sicurezza basati sulla conformità non siano all’altezza, così come i metodi di misurazione dell’efficacia.
Se l’obiettivo è ridurre il rischio di sicurezza legato ad azioni e comportamenti dei dipendenti, è necessario andare oltre la sensibilizzazione e promuovere un cambiamento comportamentale duraturo e una cultura orientata alla cybersecurity.
Le sfide dei programmi tradizionali di consapevolezza della sicurezza
Questi programmi sono stati a lungo un punto fermo delle iniziative di cybersecurity delle aziende. Perché non sono stati efficaci?
Approccio unico
Molti programmi tradizionali utilizzano gli stessi contenuti formativi generici e orientati alla conformità, anno dopo anno. Questo approccio non è in grado di affrontare le situazioni uniche e reali che i dipendenti, con diversi ruoli, possono incontrare.
Una metodologia uguale per tutti può portare i lavoratori a disimpegno e a mancanza di attenzione. Tuttavia, offrire un approccio realmente personalizzato può essere complesso e demotivante per i team di sicurezza, soprattutto se non dispongono di risorse sufficienti.
Mancanza di connessione con il mondo reale
I programmi tradizionali possono impartire conoscenze, ma spesso faticano a tradurle in cambiamenti comportamentali duraturi. Il report State of the Phish 2024 di Proofpoint ha rilevato che più di due terzi dei dipendenti (68%) adottano consapevolmente comportamenti a rischio nonostante il 99% delle aziende abbia un programma di sensibilizzazione alla sicurezza.
È come insegnare a una persona a lanciarsi con il paracadute con la visione di qualche video e la lettura delle istruzioni. Anche se la teoria sarà chiara, al momento di saltare dall’aereo ci sarà disorientamento, a causa del vento e dell’aria sottile e, soprattutto, ci sarà incertezza su quando aprire il paracadute.
Allo stesso modo, i dipendenti che ricevono solo una formazione passiva sulla sicurezza faticano ad applicare le loro conoscenze quando si trovano di fronte alle minacce del mondo reale. Possono comprendere i concetti, ma faticano ad applicarli in modo coerente nelle loro attività quotidiane.
Non basta cambiare terminologia
Nelle discussioni con i clienti si fa strada un nuovo termine – gestione del rischio umano – e molti chiedono di passare a questo approccio. Desiderano misurare il rischio, ma non sanno cosa controllare e come farlo. La complessità di raccogliere i dati da diversi fornitori e fonti, e far sì che tutti abbiano senso e siano utilizzabili è una sfida. Inoltre, affermano di voler utilizzare automazione, gamification e altri elementi per migliorare il coinvolgimento dei dipendenti.
Si tratta sicuramente di ottimi strumenti e, senza dubbio, bisognerebbe comprendere i rischi e trovare modi per coinvolgere i dipendenti in modo più efficace. Tuttavia, sono solo tool e non sono in grado di capire come modificare il comportamento. Ciò richiede un’immersione nei principi e nelle tecniche della scienza comportamentale, che la maggior parte dei team di cybersecurity non è in grado di realizzare.
Alcuni clienti, analisti e vendor definiscono la security awareness come “gestione del rischio umano” senza capire cosa significhi in realtà. È un termine confuso e negativo che suggerisce che gli esseri umani siano “rischiosi” e debbano essere “gestiti”. Trasmette l’idea che il problema sia il dipendente, favorendo una mentalità “noi contro loro” anziché una inclusiva.
Riteniamo sia importante comprendere i dipendenti: cosa fanno, sanno e credono e questa conoscenza deve anche essere quantificata per costruire un programma che promuova un cambiamento di comportamento duraturo.
La consapevolezza è fondamentale
È un segnale positivo che i clienti chiedano informazioni sulla gestione del rischio umano. Anche se il termine in sé è negativo, dà l’opportunità di parlare in modo più ampio dei programmi di comportamento e cultura della sicurezza e del ruolo della consapevolezza al loro interno.
La consapevolezza è il pilastro fondamentale. Fornisce ai dipendenti le conoscenze essenziali e la comprensione delle potenziali minacce, delle best practice e dell’importanza di tenere la cybersecurity in primo piano nello svolgimento delle attività quotidiane.
Non vogliamo eliminare i fondamenti della consapevolezza, ma farli evolvere, incorporando contenuti personalizzati in base ai ruoli e alle responsabilità specifiche dei singoli individui in azienda, riconoscendo le sfide uniche di cybersecurity che ognuno deve affrontare. Per adottare efficacemente comportamenti più sicuri e combattere le minacce sono necessarie conoscenze specifiche su ruoli, minacce e privilegi.
È opportuno integrare il programma esistente con una formazione correlata sulle minacce, erogata in piccole dosi e in varie modalità, come simulazioni interattive, esperienze di gamification e campagne di consolidamento continue.
La cultura regna sovrana
Il concetto che “la cultura si basa sulla strategia” è molto rilevante per i programmi di comportamento di sicurezza e sottolinea il ruolo critico che svolge nel successo delle strategie di protezione ed è il fondamento su cui si costruiscono i comportamenti di sicurezza, determinandone l’efficacia. Indipendentemente dal fornitore o dalla tecnologia scelta, se un’azienda non abbraccia pienamente una cultura della sicurezza, la capacità di ottenere un cambiamento di comportamento duraturo nei dipendenti sarà scarsa.
Una cultura della sicurezza inizia e viene sostenuta dall’alto, andando oltre il CISO. Mai come in questo caso l’esempio è fondamentale, e sapere che i vertici aziendali prestano attenzione a questo aspetto può davvero fare la differenza nella percezione dei dipendenti, I migliori programmi sono anche legati ai KPI generali dell’azienda, non solo del team di sicurezza e sono sviluppati con un team interfunzionale che promuove la responsabilità, non la paura.
È quindi necessario avere un robusto supporto esecutivo a ogni livello, obiettivi allineati, creatività e gli strumenti giusti per progredire verso un cambiamento di comportamento duraturo. Proprio come non esistono scorciatoie per diventare un esperto paracadutista, il raggiungimento degli obiettivi richiede pratica, guida e tecniche efficaci.