Per i dipendenti, la formazione sulla consapevolezza della sicurezza può spesso sembrare un compito annuale da “spuntare”, se non si offrono esperienze ricche e significative. Molti team di sicurezza stanno notando i limiti della formazione attuale, quando la consapevolezza si assottiglia e gli utenti non prendono sul serio i training o non modificano i propri comportamenti. Il percorso per cambiare questa situazione inizia assicurandosi che le risorse e i contenuti siano coinvolgenti, rilevanti e comprensibili.
Per mantenere elevato l’interesse dei dipendenti, è importante fornire un’ampia gamma di materiali che rafforzi l’importanza della sicurezza IT e li guidi verso il giusto comportamento da adottare. I singoli utenti non sono esperti di protezione, e solitamente hanno poco interesse a diventarlo, quindi le aziende dovrebbero considerare di presentare il processo di cybersecurity come una storia o un percorso, fornendo esempi di vita reale a supporto della conoscenza e comprensione delle potenziali conseguenze. Sviluppare ulteriormente questa narrazione, coinvolgendo dipartimenti e individui diversi in tutta l’azienda per personalizzare il contenuto e suggerire miglioramenti.
È importante utilizzare i principi della scienza dell’apprendimento per raggiungere i migliori risultati, ad esempio, aumentando la retention delle conoscenze con corsi brevi su temi specifici, e non con moduli di e-learning di un’ora, guidando l’interattività e non la messaggistica, e sostenendo la comunicazione per un lungo periodo per supportare una memorizzazione a lungo termine.
Idealmente, la formazione dovrebbe essere focalizzata sulle minacce reali che un’organizzazione potrebbe affrontare, per aggiornare ed educare i dipendenti sui rischi di compromissione e delineare le potenziali conseguenze del rischio, utilizzando simulazioni di phishing basate su esempi reali per aiutare gli utenti ad acquisire conoscenze su come utilizzare gli strumenti di sicurezza.
Attività di formazione positive e divertenti aiutano a evitare la resistenza e l’indifferenza degli utenti, producono benefici misurabili per la sicurezza aziendale e permettono ai dipendenti di diventare una parte fondamentale della postura di sicurezza della loro organizzazione. Può essere efficace utilizzare la gamification con moduli brevi e chiari, per differenziare realmente i contenuti e i messaggi da altri tipi di formazione e istruzione aziendale.
Infine, conta anche la scelta della persona. Non importa quanto sia creativo, il personale si annoierà ad ascoltare una voce già nota: per questo è consigliabile invitare un esperto di sicurezza esterno a condurre un esercizio di formazione o offrire una nuova prospettiva sui messaggi che si intendono promuovere
Una recente ricerca di Proofpoint ha rivelato che il 65% dei CISO (la figura responsabile dell’information security in azienda, ndr) italiani ha ammesso di formare i propri dipendenti sulla consapevolezza della sicurezza informatica una volta all’anno o meno, addirittura il 17% dichiara non effettuare mai alcuna formazione.
La formazione è fondamentale per aumentare la consapevolezza, ma è solo un inizio. La consapevolezza è il primo passo, ma cambiare i comportamenti e la cultura della sicurezza è la chiave per ridurre il rischio.
Un’analogia da utilizzare in questo caso è il fumo. È noto a tutti della pericolosità del fumo, è scritto su ogni pacchetto, ma la gente fuma ancora – quindi essere consapevoli di una cosa non conduce per forza al comportamento corretto. Come si può trasformare la consapevolezza in comportamento? E come cambiare il comportamento in cultura? Questo è ciò su cui i CISO devono concentrarsi: non si tratta più di consapevolezza della sicurezza – è un discorso più complesso -, ma è forse il più importante controllo di sicurezza IT che un’azienda può avere.