Chiedete a qualsiasi esperto di sicurezza qual è il modo più efficace per migliorare la sicurezza informatica e probabilmente diranno “la formazione del personale”. Non solo la formazione è relativamente economica, ma una forza lavoro ben addestrata e vigile sulle ultime minacce e tecniche utilizzate dai criminali informatici (come il phishing e l’ingegneria sociale) può fare molto per proteggere i dati sensibili di un’azienda.
Sfortunatamente, negli ultimi 20 anni la formazione sulla sicurezza informatica è stata sempre più vista come un esercizio da spuntare o qualcosa da eliminare una volta all’anno per motivi di conformità. In molte aziende, la tipica sessione di formazione equivale a poco più di un breve video o presentazione, seguita da un questionario e / o da una sessione di domande e risposte con l’istruttore.
Sebbene questo possa spuntare la casella di formazione a livello di consiglio, generalmente non riesce a coinvolgere i dipendenti in modo significativo, lasciandoli non più informati di prima che entrassero.
Una formazione efficace sulla sicurezza informatica non è mai stata così importante
Se considerato sullo sfondo di un panorama di cybersecurity sempre più ostile, in cui emergono continuamente nuove minacce pericolose, l’approccio formativo sopra descritto è nella migliore delle ipotesi, poco brillante e nel peggiore dei casi pericoloso.
Con i dati che diventano sempre più importanti per le aziende di tutto il mondo, una protezione efficace è ora fondamentale e le ripercussioni per coloro che non lo fanno sono in aumento. Danni alla reputazione, perdita di fiducia dei clienti e gravi sanzioni normative possono rivelarsi fatali per le prospettive a lungo termine di un’azienda, in particolare nell’attuale clima finanziario.
A questo si aggiunge il fatto che molti dipendenti lavorano ancora da remoto, dove le distrazioni e l’ambiente domestico fanno sì che la loro guardia sia ancora più bassa del normale. Le aziende devono sapere che possono fidarsi dei loro dipendenti affinché agiscano in modo appropriato, indipendentemente da dove stanno lavorando in un dato momento.
Prendendo spunti di formazione da altri settori
Una formazione efficace dovrebbe aiutare i dipendenti a comprendere e ad accettare l’importanza della sicurezza informatica, non solo per l’azienda, ma anche per loro come individui. Ciò richiede un approccio che vada oltre i video e le presentazioni standard e li coinvolga a un livello più personale.
In order to understand this better, businesses can look at the way training is handled in other industries, such as the medical sector. For instance, the NHS uses situational-based training scenarios to help trainees understand the real-world consequences of decisions they make, so that they can understand the entire journey and the importance of their contribution (or not).
Uno scenario tipico vede i tirocinanti immersi nel viaggio di tutte le parti del problema, quali sono i fattori che contribuiscono a un dato scenario e come le loro azioni possono influenzare un risultato positivo o negativo end-to-end. La differenza fondamentale è che l’allievo viene portato in un viaggio, non solo dalla propria prospettiva del problema, ma da ciascuna delle parti in movimento e dall’effetto risultante che un’azione (o non azione) potrebbe avere. In questo modo il tirocinante impara davvero a comprendere il circolo di proprietà e inizia ad apprezzare il coinvolgimento degli altri in modo da porre domande migliori e ottenere risultati migliori, invece di spuntare solo la casella, esercizi del diagramma di flusso.
Dobbiamo tradurre questo nel mondo aziendale, aiutando gli utenti a comprendere (almeno ad un livello elevato) il mondo delle loro operazioni SOC, le responsabilità della sicurezza degli utenti e le esigenze dei clienti in termini di protezione e sicurezza dei dati. Ciò garantirà che la loro competenza dell’intero ecosistema della sicurezza sia ampliata e che si ottenga un maggiore apprezzamento e proprietà in termini di ruolo nella catena di protezione.
Ovviamente, la sicurezza informatica è raramente un caso di vita o di morte, ma i tirocinanti possono davvero trarre vantaggio dalla comprensione delle implicazioni delle loro azioni individuali anche qui. Ad esempio, se fanno clic con noncuranza su un link e l’azienda viene colpita da un attacco informatico, le successive multe o danni reputazionali potrebbero portare a un calo delle vendite, costringendo l’azienda a introdurre misure di riduzione dei costi come tagli di stipendio o addirittura lavoro perdite.
Sebbene questo scenario possa essere l’estremo limite delle cose, è molto più probabile che le persone ci pensino due volte prima di fare clic su quel collegamento se realizzano il loro lavoro, i dati sensibili di altre persone o persino il futuro dell’intera azienda potrebbero essere in gioco.
Un altro modo per ravvivare la formazione sulla sicurezza è estenderla al di fuori dell’aula, con l’introduzione di semplici esercizi della squadra rossa che testano la vigilanza e la consapevolezza dei dipendenti in un normale ambiente di lavoro. I dipendenti possono essere informati che un attacco è imminente o, per l’ultima prova, tenuti all’oscuro!
Proprio come la formazione basata sulla situazione, il punto non è nominare e svergognare chiunque faccia clic su un collegamento compromesso, ma indurre i dipendenti a pensare alla sicurezza e all’importanza delle proprie azioni su base regolare, piuttosto che solo per quella formazione sessione ogni anno.
Non aspettare di diventare una vittima
Purtroppo, le aziende che continuano a considerare la formazione sulla sicurezza informatica come un esercizio da spuntare tendono tutte ad avere una cosa in comune: non sono mai state vittime di un grave attacco informatico. In quanto tali, molti sono riluttanti a cambiare i loro modi di operare o investire di più in formazione.
Una formazione migliore costa inevitabilmente più soldi, ma la spesa aggiuntiva impallidisce rispetto alle implicazioni finanziarie di una grave violazione dei dati, quindi forse è il momento di rivedere come puoi reinvestire nei tuoi programmi di formazione e istruzione per supportare risultati aziendali più efficaci per sicurezza, conformità e gestione del rischio.