Cos’è la security awareness training?

La security awareness training (formazione sulla consapevolezza della sicurezza), in termini generali, consiste nell’assicurarsi che le persone comprendano e seguano determinate pratiche per contribuire a garantire la sicurezza di un’organizzazione. Da questo punto di vista la formazione sulla consapevolezza della sicurezza esiste praticamente da sempre, soprattutto se si pensa alla necessità di sicurezza nelle applicazioni militari.

Oggi quando si parla di security awareness training si pone I’accento sulla sicurezza delle informazioni, e in particolare sulla cybersecurity. I rapidi progressi della tecnologia informatica - e il parallelo sviluppo di innovazioni da parte dei criminali informatici - fanno sì che i dipendenti e gli utenti comuni abbiano bisogno di una formazione regolare e specifica su come rimanere al sicuro online e proteggere le loro informazioni e quelle dei loro datori di lavoro.

Questo articolo ha lo scopo di introdurre la formazione sulla consapevolezza della sicurezza e la sua importanza: perché le organizzazioni la utilizzano, come si è evoluta nel corso degli anni e come contribuisce a ridurre la minaccia di attacchi informatici e altre violazioni della sicurezza. Infine, presenteremo alcuni strumenti per creare un programma di security awareness efficace.

Il cybersecurity awareness training ha un ruolo fondamentale nel ridurre al minimo le gravi minacce alla cybersecurity poste agli utenti finali dagli attacchi di phishing e dall’ingegneria sociale. Gli argomenti chiave della formazione comprendono: la protezione delle password, la gestione, la privacy, la sicurezza delle email e del phishing, la sicurezza del web/internet e la sicurezza fisica e dell’ufficio.

La formazione sulla consapevolezza della sicurezza è anche un’opportunità di business, come illustrato nel rapporto di Aberdeen Group, “Security Awareness Training: piccolo investimento, grande riduzione dei rischi”. I ricercatori hanno condotto un workshop con i leader della sicurezza aziendale per scoprire perché investono nella sensibilizzazione e nella formazione alla sicurezza. Hanno scoperto che:

• Il 91% utilizza la security awareness per ridurre il rischio di sicurezza informatica legati al comportamento degli utenti.
• Il 64% la utilizza per modificare l’user behaviour.
• Il 61% la utilizza per soddisfare i requisiti normativi.
• Il 55% la utilizza per conformarsi alle politiche interne.

Come suggeriscono queste statistiche, alcune organizzazioni investono nella formazione sulla consapevolezza della sicurezza semplicemente perché devono farlo, per conformarsi a requisiti esterni o interni. Tuttavia, secondo il rapporto, la security awareness ha anche un senso dal punto di vista economico: “un investimento incrementale nella formazione di sensibilizzazione alla sicurezza si traduce in una riduzione mediana del rischio annuo di attacchi di phishing di circa il 50% e in un ritorno mediano annuo sull’investimento di circa 5 volte”.

Sebbene i concetti fondamentali della cybersecurity awareness training non siano nuovi, hanno raggiunto la consapevolezza comune relativamente di recente. Un segnale della sua comparsa è stato il lancio nel 2004 del National Cyber Security Awareness Month. L’iniziativa, promossa dalla National Cyber Security Alliance e dal Department of Homeland Security degli Stati Uniti, aveva lo scopo di aiutare le persone a essere più sicure online, incoraggiando pratiche come l’aggiornamento regolare del software antivirus.

Da allora, il mese di sensibilizzazione ha ispirato eventi simili in altri Paesi, ha ampliato i temi e i contenuti e ha attirato una maggiore partecipazione da parte di industrie e governi, nonché di università, organizzazioni no-profit e gli utenti comuni.

L’obiettivo, i metodi e l’efficacia della formazione sulla sicurezza hanno subito cambiamenti significativi nel corso degli anni. Nel 2004, la maggior parte dei programmi era guidata dall’esigenza di conformità, ovvero di soddisfare semplicemente i requisiti normativi. Oggi, l’attenzione si è spostata sulla formazione alla consapevolezza della cybersecurity come mezzo per gestire e mitigare il rischio organizzativo.

Nel corso del tempo, i metodi di formazione sono maturati. Nel 2004, il paradigma dominante era quello delle presentazioni annuali. Purtroppo, queste sessioni lunghe e poco frequenti non producono una buona ritenzione delle nozioni. Il passaggio graduale a formazioni brevi e mirate su singoli argomenti ha apportato un notevole miglioramento, ma tali formazioni sono state proposte ancora con scarsa frequenza, il che comporta una dispersione delle conoscenze nel corso del tempo.

Intorno al 2014, la security awareness training ha iniziato a spostarsi verso la formazione e il miglioramento costante, in cui un programma include cicli continui di valutazioni e formazione. Gli ultimi sviluppi sono stati la formazione “just-in-time” e la formazione “in-context”, che aggiunge la possibilità di avviare la formazione in risposta a un utente, che mostra un comportamento scorretto in materia di sicurezza informatica, come una navigazione web non sicura.

Oggi i professionisti della sicurezza informatica utilizzano una varietà di strumenti per formare gli utenti finali, come si evince dal nostro rapporto sullo stato del phish™. Lo strumento più diffuso, e che continua a crescere in popolarità, è la sensibilizzazione alla sicurezza basata sul computer.

• Il 79% utilizza una formazione di sensibilizzazione basata su computer.
• Il 68% utilizza esercizi di simulazione del phishing.
• Il 46% utilizza campagne di sensibilizzazione (video e poster).
• Il 45% utilizza corsi di sensibilizzazione sulla sicurezza in presenza.
• Il 38% utilizza notifiche o newsletter mensili.

I programmi di formazione ben progettati spesso utilizzano diversi di questi strumenti. Altrettanto importante è utilizzare questi strumenti in modo sistematico e metodico, consentendo di monitorare e misurare i progressi nel tempo.

Le nostre soluzioni di security awareness training altamente efficaci utilizzano la nostra metodologia di formazione continua, progettata con i principi della scienza dell’apprendimento per coinvolgere il discente e modificare il comportamento.

Il modo in cui utilizziamo i principi della scienza dell’apprendimento si è dimostrato efficace grazie a una ricerca condotta presso la Carnegie Mellon University.

I nostri casi studio hanno mostrato risultati convincenti:

95%

In un periodo di due anni, un istituto finanziario ha registrato una riduzione di malware e virus del 95% e una maggiore consapevolezza delle minacce alla sicurezza informatica.

90%

Un’università del nord-est degli Stati Uniti ha registrato: una riduzione significativa di malware e virus, una riduzione del 90% degli attacchi di phishing andati a buon fine, un numero significativamente inferiore di richieste di assistenza, un aumento del numero di utenti che segnalano incidenti e attacchi e una maggiore consapevolezza dei problemi di sicurezza.

89%

Un’organizzazione di benefit per i dipendenti ha ottenuto una riduzione di oltre l’89% della suscettibilità al phishing utilizzando i nostri moduli di valutazione e formazione come componenti fondamentali del loro programma di sensibilizzazione e formazione sulla sicurezza.

80%

La formazione sulla sicurezza ha aiutato i dipendenti dell’amministrazione comunale a ridurre i tassi medi di click dell’80% in un anno e a evitare un sofisticato attacco di frode sui bonifici bancari.

Per formare i dipendenti, rispetto agli esperti di cybersecurity, è necessario adottare un approccio esclusivo. Gli utenti normali non sono esperti di cybersecurity, quindi devono ricevere informazioni in maniera coinvolgente e semplice, in modo da poter visualizzare e comprendere il phishing.

Il tuo programma di sensibilizzazione alla sicurezza dovrebbe disporre di diverse caratteristiche:

• Contenuto: il contenuto deve essere facilmente digeribile e comprensibile per un pubblico generico e fornire informazioni in modo organizzato, come capitoli e lezioni.
• Supporto ai dirigenti: i dirigenti hanno la responsabilità di garantire che gli utenti seguano le procedure, quindi il materiale di formazione deve disporre di contenuto che possa essere distribuito tra i vari reparti.
• Aggiornamenti frequenti del programma: il panorama della cybersecurity cambia, quindi anche i contenuti del programma devono cambiare. Ogni anno i contenuti devono essere rivisti e aggiornati per coprire le minacce più recenti.
• Test: mettere alla prova gli utenti con email di phishing e scenari di social engineering reali li aiuterà a identificare le minacce. Gli esercizi di esempio devono simulare gli attacchi del mondo reale.
• Reporting: integrato con i test, il reporting indica agli amministratori chi ha cliccato sui link e ha inviato dati sensibili. I rapporti identificheranno i dipendenti che necessitano di ulteriore formazione.
• Sondaggi: dopo la formazione, invia questionari a manager, dirigenti e membri del personale, in modo che possano fornire un feedback per miglioramenti futuri.

Il modo in cui si organizza e si sviluppa la formazione sulla sicurezza ne determina l’efficacia. È necessaria una strategia per il modo in cui i contenuti vengono scritti e organizzati. Di seguito un modello di esempio:

• 10% formale: anche se si tratta di formazione aziendale, i contenuti formali dovrebbero costituire la sezione minore del materiale formativo. I contenuti formali possono essere difficili da leggere e assimilare, ma possono essere importanti per dati ed esempi specifici.
• 20% informale: i contenuti informali come webinar, video e collaborazioni coinvolgono meglio gli utenti. Questi contenuti non dovrebbero costituire la maggioranza delle fonti di formazione, ma possono eccedere quelli formali per aiutare gli utenti a comprendere meglio i concetti.
• 70% di esperienza reale: i contenuti di questa sezione devono essere personalizzati per adattarsi alla cultura e all’esperienza dell’ azienda. Questo tipo di contenuti viene solitamente sviluppato da una terza parte, in modo che tutti i membri del personale possano trarre il massimo dalla formazione.

I contenuti del materiale formativo devono essere informativi, ma anche rivolti a chi non ha mai subito un attacco di phishing. Deve essere rivolto ai principianti, anche se ci sono persone molto più preparate sull’argomento. Deve essere sufficientemente coinvolgente da spingere gli utenti ad approfondire i dettagli e a saperne di più. La formazione serve a costruire un’abilità, che consiste nell’individuare il phishing e l’ingegneria sociale per gli utenti che non conoscono i molti modi in cui gli aggressori creano campagne contro le aziende. Gli utenti possono anche imparare a proteggere i propri account personali dal phishing e dal social engineering, ottenendo così ulteriori vantaggi dalla formazione sulla sicurezza aziendale.

Proofpoint offre una suite completa di prodotti per il tuo programma di sensibilizzazione e formazione sulla sicurezza: dalle valutazioni delle conoscenze e le simulazioni di phishing alla formazione interattiva, ai report elaborati e alle dashboard di facile utilizzo.

• Risultati comprovati: la formazione sulla sicurezza ha dimostrato di ridurre la percentuale di click fino al 50%.
• Esempi reali: formazione dei dipendenti con esempi reali in modo che riconoscano più efficacemente un’email di phishing.

• Migliore conformità: la formazione di Proofpoint migliora la conformità istruendo gli utenti sulle corrette procedure di auditing e di registrazione quando lavorano con i dati dei clienti.
• Coinvolgente per gli utenti: tutte le lezioni e i corsi di formazione sono creati per coinvolgere gli utenti in modo che possano trarre il massimo dalle loro sessioni.