I collaboratori sono il nuovo perimetro e un obiettivo primario per i criminali informatici. Secondo il report 2022 sulle violazioni dei dati (2022 Data Breach Investigations Report) di Verizon, l’82% dei data breach è causato da un intervento umano.
Per ridurre i rischi incentrati sulle persone, la maggior parte delle aziende ha investito nella formazione degli utenti. Alcuni vanno addirittura oltre la conformità o la formazione e puntano a creare una cultura della sicurezza informatica che incoraggiare gli utenti a proteggere l’azienda. Tuttavia, il concetto di “cultura della sicurezza informatica” può non essere così familiare a molte persone.
In questo articolo del blog, spieghiamo in cosa consiste tale cultura e discutiamo di come le aziende possano utilizzare un modello ponderato per rafforzare i loro programmi di formazione e sensibilizzazione alla sicurezza informatica e stimolare ulteriormente il cambiamento dei comportamenti.
Cos’è la cultura della sicurezza informatica e perché è importante?
Proofpoint definisce la cultura della sicurezza informatica come “le convinzioni, i valori e gli atteggiamenti che motivano i collaboratori a proteggere e difendere la loro azienda dagli attacchi informatici”: Si tratta di un elemento determinante nello sviluppo di comportamenti di sicurezza positivi per due motivi principali:
- Migliora il livello di sicurezza complessivo dell'azienda quando i dipendenti si sentono coinvolti nella prevenzione degli incidenti. La sicurezza è una responsabilità condivisa; quando i collaboratori ne sono convinti, dimostrano una maggiore vigilanza e una motivazione superiore ad agire in modo appropriato.
- Contribuisce a ridurre i rischi legati agli utenti. Una solida cultura della sicurezza informatica favorisce il cambiamento dei comportamenti e aiuta gli utenti a adottare abitudini sostenibili che estendono la protezione alla loro vita personale. Che si trovino di fronte a minacce fuori dall’orario d’ufficio, sui loro dispositivi personali o quando meno se lo aspettano, gli utenti saranno già pronti a sventare gli intenti malevoli dei criminali informatici.
Come valutare la cultura della sicurezza informatica?
Proofpoint considera la cultura della sicurezza informatica come l’intersezione di tre dimensioni principali:
- Responsabilità: i collaboratori si sentono responsabili, individualmente e collettivamente, delle loro azioni per prevenire gli incidenti di sicurezza?
- Importanza: i collaboratori sono coscienti del fatto che una minaccia potrebbe riguardarli personalmente?
- Legittimazione: i collaboratori si sentono in grado di identificare e segnalare comportamenti sospetti?
Figura 1. Le tre dimensioni di una cultura della sicurezza.
Per essere motivati ad agire (contribuendo alla protezione dell'azienda), gli utenti devono essere coscienti che le minacce e le violazioni dell'azienda potrebbero riguardarli personalmente. Devono anche comprendere l’importanza di proteggere l’azienda stessa. Inoltre, devono disporre delle conoscenze e degli strumenti giusti per identificare le minacce e sentirsi coinvolti nella prevenzione degli attacchi per evitare problemi e danni per l’azienda.
Per determinare la capacità e la motivazione dei collaboratori a prevenire un attacco contro la loro azienda, Proofpoint ha creato un sondaggio sulla cultura della sicurezza informatica per valutare ciascuna delle tre dimensioni sopra descritte. Questo breve sondaggio permette ai team della sicurezza di valutare con facilità lo stato attuale della cultura della sicurezza nella loro azienda. Inoltre, li aiuta a motivare e responsabilizzare gli utenti personalizzando i messaggi e la formazione.
Per strutturare il sondaggio, Proofpoint ha seguito i seguenti principi:
- Pragmatico: risultati chiaramente interpretabili.
- Breve: il sondaggio può essere completato in un tempo ragionevole.
- Focalizzato: ogni domanda affronta un solo aspetto.
- Senza ambiguità: ogni domanda è chiara e non usa termini gergali.
- Affidabile: il sondaggio fornisce gli stessi risultati in condizioni similari.
- Valido: il sondaggio misura quanto desiderato.
- Imparziale: il sondaggio riduce pregiudizi nelle risposte
Quando effettui una valutazione della cultura, assicurati che sia semplice e breve in modo che gli utenti possano rispondere tra un’attività e l’altra. Infine, stabilisci fin da subito la frequenza di somministrazione, in modo da poter decidere il modo migliore per distribuire la valutazione, ottenere dati regolari e modificare il programma in base ai risultati ottenuti.
In che modo le valutazioni della aziendale aiutano a rafforzare i programmi di sensibilizzazione alla sicurezza informatica?
Le valutazioni sono necessarie per fare il punto sul modo in cui gli utenti esi sentono e pianificare iniziative future che abbiano per loro un senso. Mentre le valutazioni delle conoscenze stabiliscono ciò che gli utenti sanno e le simulazioni di attacco (il phishing in particolare) determinano ciò che gli utenti fanno, le valutazioni della cultura sono un modo efficace per stabilire ciò che gli utenti credono.
Svalutare le convinzioni degli utenti può aiutare molto i team della sicurezza informatica a definire eventuali modifiche ai messaggi o alla formazione per i diversi gruppi di utenti. Non dimenticare che una solida cultura della sicurezza informatica dipende dall’investimento e dalla motivazione degli utenti, con un impatto diretto sul loro comportamento nell’affrontare le minacce.
Figura 2. Le valutazioni della cultura colmano le lacune dei componenti dei programmi di sicurezza di efficaci.
Come consolidare subito la cultura della sicurezza informatica
È essenziale che le aziende implementino programmi di sensibilizzazione alla sicurezza informatica a più dimensioni che tengano conto di ciò che gli utenti sanno, di come si comportano nel mondo reale e di ciò che credono. Determinare ciò che gli utenti pensano del loro ruolo nella sensibilizzazione alla sicurezza informatica può ridurre i rischi a cui le aziende sono esposte, e le valutazioni della cultura possono aiutare in tal senso.
Per ulteriori spunti sugli elementi da prendere in considerazione per rafforzare la tua cultura della sensibilizzazione alla sicurezza informatica, guarda questo webinar sulla valutazione della cultura tenuto dal Dr. Bob Hausmann, Learning and Assessment Architect di Proofpoint.