Se c’è una cosa che ho imparato sulla formazione di sensibilizzazione alla sicurezza, è che il valor e di un programma si misura attraverso una misurazione efficace. Purtroppo, la sensibilizzazione alla sicurezza è una di quelle attività a cui, in termini di budget, viene assegnata una priorità inferiore rispetto ai controlli tecnici. È quindi essenziale valutare correttamente i parametri e comunicarli al Responsabile della sicurezza informatica (CISO) e alle altre parti interessate per:
- ottenere un supporto duraturo;
- evitare le perdite di tempo e la frustrazione di dover iniziare da capo il tuo programma di formazione di sensibilizzazione alla sicurezza.
Le preoccupazioni della direzione saranno diverse a seconda di come è concepito il tuo programma. Per esempio, se il tuo programma di sensibilizzazione è focalizzato sulla conformità, l’azienda potrebbe concentrarsi su un parametro come una casella di spunta “Formazione completata”. Se si basa principalmente sulla consapevolezza e la valutazione dei comportamenti, l’azienda può concentrarsi maggiormente sulla partecipazione e su altri parametri come la percentuale di clic o il tasso di segnalazione durante le simulazioni. Le aziende con programmi di formazione avanzati possono andare anche oltre. Diamo un’occhiata più da vicino.
Misurare i punti rilevanti del tuo approccio di sensibilizzazione alla sicurezza
Secondo la Guida al mercato per la sensibilizzazione alla sicurezza 2021 di Gartner è opportuno “utilizzare parametri di sicurezza informatica diversi dalle percentuali di clic dei test di phishing per valutare il successo di un programma”. Non potrei essere più d’accordo. Molti dei clienti con cui abbiamo a che fare sono ossessionati dalle percentuali di clic nelle simulazioni di attacchi di phishing come parametro più importante fra quelli della sensibilizzazione alla sicurezza. Benché si tratti di un ottimo punto di partenza, presenta molte lacune.
Figura 1. I VAP (Very Attacked People™ ovvero le persone più attaccate) sono gli utenti della tua azienda che risultano ricevere il maggior numero di attacchi, e dei tipi più pericolosi, rilevati da Proofpoint Targeted Attack Protection. Offrire a tali utenti una formazione mirata e più frequente, può aiutare a ridurre ulteriormente i rischi e a far progredire il tuo programma.
Inizialmente, la percentuale di clic sarà molto variabile, a seconda della percentuale media di insuccesso del modello utilizzato e dei destinatari. Quando i programmi diventano più avanzati, bisogna prendere in considerazione modelli più mirati, rivolti a un pubblico diverso, come i VAP (Very Attacked People™ ovvero le persone più attaccate). Anche se la percentuale di clic varia, non indica che i dipendenti stanno agendo correttamente, ma solo che stanno evitando di fare la cosa sbagliata.
Percentuale media di insuccesso, tasso di segnalazione e fattore di resilienza per settore d’attività
Figura 2: il nostro report State of the Phish 2021 mette in evidenza il “fattore di resilienza” medio, ovvero il tasso di segnalazione diviso per la percentuale di clic. Idealmente, le aziende devono puntare a un fattore di resilienza 14.
Quando si utilizza un parametro come il tasso di segnalazione in un modulo aggiuntivo di phishing via email, puoi dimostrare che gli utenti non solo evitano gli attacchi, ma agiscono correttamente al fine di proteggere l’azienda.
Come regola generale, è consigliabile avere un tasso di segnalazione del phishing di almeno il 70% nelle simulazioni e una percentuale di clic inferiore al 5%, pari a un fattore di resilienza di 14 per i clienti che ottengono i risultati migliori.
Calcolo del punteggio di precisione delle email segnalate
Il punteggio di precisione delle email segnalate si basa sui risultati degli ultimi 90 giorni rispetto alla precisione media delle email segnalate per tutti i clienti nello stesso periodo.
| Confronto della precisione delle email segnalate | |
|---|---|
| Precisione della tua azienda | 43% |
| Precisione del cliente che ha ottenuto i risultati peggiori | 0% |
| Precisione del cliente che ha ottenuto i risultati migliori | 100% |
Figura 3: la nostra nuova dashboard del CISO mostra le differenti aree del tuo programma e il percentile in cui ti trovi rispetto ad altri clienti, fornendoti il contesto e permettendoti di concentrarti sulle aree da migliorare.
Per andare oltre, è essenziale e interessante comprendere il reale impatto del tuo programma di sensibilizzazione sulla sicurezza. Per esempio, i messaggi segnalati dagli utenti sono quelli innocui o quelli pericolosi?
Per assegnare un punteggio alle email segnalate dagli utenti utilizziamo lo stack di rilevamento delle minacce di Proofpoint. Questo ci permette di valutare il volume di email pericolose segnalate dagli utenti e confrontarlo con gli altri clienti.
Figura 4: la sensibilizzazione alla sicurezza ha un impatto che va oltre la conformità e i parametri delle simulazioni e può aiutare a migliorare la sicurezza complessiva delle aziende riducendo le percentuali di clic reali, aumentando la segnalazione dei messaggi pericolosi e limitando gli incidenti di sicurezza causati dall’uomo.
Inoltre, se sei in grado di raccogliere informazioni su altri impatti della sicurezza incentrati sulle persone, come:
- gli attacchi di phishing andati a buon fine,
- la percentuale di clic su contenuti notoriamente dannosi,
- le violazioni delle credenziali di accesso,
- gli incidenti causati da minacce interne,
- le misure correttive applicate alle macchine dopo un attacco di malware e ransomware,
…puoi dimostrare che questi parametri chiave sono diminuiti perché influenzati dal tuo programma di sensibilizzazione. Questo ti permetterà di migliorare i tuoi investimenti futuri e di dimostrare come il tuo programma sta cambiando i comportamenti e rafforzando la cultura della sicurezza.
Comprendere la vulnerabilità degli utenti
Figura 5: la sezione Vulnerabilità degli utenti della dashboard del CISO mostra gli utenti e i partecipanti con scarsi risultati. Se gli utenti vengono identificati come VAP da Proofpoint Targeted Attack Protection, questi dati verranno integrati per ottenere una migliore visuale della vulnerabilità.
A volte può essere difficile ottenere il sostegno necessario per l’ampliamento del programma di sensibilizzazione. Le parti interessate potrebbero temere che gli utenti dedichino troppo tempo alla formazione o che si stanchino delle esercitazioni.
Una delle strategie che vediamo utilizzata da alcuni clienti consiste nel concentrare gli sforzi di formazione con maggiore frequenza sugli utenti vulnerabili. In tal modo, le parti interessate riconoscono che gli ulteriori interventi formativi sono giustificati per tali utenti e che non tutti i dipendenti richiedono lo stesso investimento in termini di formazione. Si tratta di un approccio strategico per convincere le parti interessate a estendere il tuo programma.
Comunicare efficacemente con il tuo CISO e le principali parti interessate
Nel corso di Wisdom 2021, il nostro evento annuale dedicato alla sensibilizzazione alla sicurezza, molti partecipanti hanno sollevato il problema del ricorso eccessivo a paura, incertezza e dubbi. Questi argomenti non ti porteranno molto lontano con i responsabili della sicurezza
Quindi, come comunicare i risultati delle attività di sensibilizzazione alla sicurezza al tuo CISO e alle altre parti interessate? Le caratteristiche importanti sono due: i componenti quantitativi e quelli qualitativi.
Per quanto riguarda i punteggi quantitativi, è fondamentale in termini di contesto comprendere i propri risultati complessivi e come ti posizioni rispetto alle aziende concorrenti. Quando possibile, concentrati sui parametri positivi, piuttosto che solo sulla percentuale di clic. Per esempio:
- Gli utenti hanno segnalato un maggior numero di simulazioni di phishing.
- Le conoscenze in materia di sensibilizzazione alla sicurezza sono migliorate.
- Gli utenti sono migliorati nella segnalazione dei reali messaggi dannosi.
- Un maggior numero di utenti ha partecipato alle nostre attività di sensibilizzazione alla sicurezza.
La nostra nuova dashboard del CISO ti consente di fare tutto questo facilmente. Mostra i punteggi relativi ai risultati e alla partecipazione che mostrano il tuo intervallo di percentile per ciascuna area e la variazione complessiva di ogni punteggio. Il punteggio complessivo rende più facile e veloce mostrare la situazione effettiva con una sola occhiata. Le icone a semaforo ti indicano le aree sulle quali concentrarti per migliorare il programma.
Figura 6: la sezione Riepilogo dei punteggi del programma di sicurezza ti aiuta a comunicare velocemente al CISO i risultati del tuo programma.
Benché i dati quantitativi siano importanti, altrettanto importante è comunicare i risultati qualitativi degli utenti. Per esempio:
- Un utente ha bloccato un reale attacco di phishing sofisticato?
- Hai ottenuto un riscontro positivo dagli utenti in merito al tuo programma di sensibilizzazione? (Considera la creazione di un alias email oppure l’invio di un sondaggio rapido di soddisfazione).
- Un membro della dirigenza o una persona ben nota nella tua azienda ha condiviso qualcosa con il proprio staff in merito alla sensibilizzazione alla sicurezza?
Questi elementi, combinati con i dati quantitativi, ti aiutano a dimostrare che la sensibilizzazione alla sicurezza è molto di più di un’attività di conformità obbligatoria, che cambia il comportamento degli utenti e modifica attivamente la cultura dell’azienda, poiché gli utenti comprendono meglio i rischi e contribuiscono a proteggere l’azienda.
Vuoi saperne di più sulla creazione di un programma di sensibilizzazione alla sicurezza di successo e sulla valutazione della sua efficacia? Guarda il nostro webinar on demand o leggi il nostro eBook sulla sensibilizzazione alla sicurezza per conoscere le best practice per la creazione e il mantenimento di una cultura della sicurezza nella tua azienda.