Il fattore umano: gli impiegati possono imparare a non commettere errori?

Anche chi è responsabile dell’organizzazione dei corsi di formazione sulla sicurezza potrebbe non capire a pieno cosa sia una formazione sulla cybersicurezza o perché questa sia utile.

Abbiamo a lungo sostenuto che gli strumenti tecnici non bastano per proteggere un’azienda dalle cyberminacce. È possibile che una sola persona annulli i risultati di un intero team che si occupa della sicurezza delle informazioni. In molti casi tutto questo potrebbe non essere fatto in maniera intenzionale e potrebbe essere solo frutto della scarsa conoscenza delle basi della cybersicurezza, dell’incapacità di accorgersi delle minacce o di distrazione. Ecco perché molte aziende (stando ai nostri dati, circa il 65%) investono già nella formazione dei propri dipendenti sulla cybersicurezza.

 

Potrebbero sorgere però delle complicazioni. La persona che decide che i dipendenti debbano essere più informati al riguardo non è obbligatoriamente la persona responsabile dell’organizzazione della loro formazione. Sebbene la prima persona riscontri un problema, la seconda potrebbe non comprendere a pieno cosa sia una formazione sulla cybersicurezza, come si formi il personale o perché si abbia bisogno di una formazione.

Capire il problema

Immaginiamo che vi sia stato assegnato il compito di aumentare la consapevolezza dei dipendenti sulla cybersicurezza. Innanzitutto, cosa significa veramente consapevolezza sulla cybersicurezza? Per approfondire la questione, abbiamo lavorato con l’azienda di ricerche di mercato B2B International per ottenere informazioni da 5.000 aziende di tutto il mondo circa la loro comprensione del problema e per conoscere gli effetti che determinati incidenti di cybersicurezza hanno sugli impiegati. In poche parole abbiamo scoperto che:

  • Il 46% degli incidenti avvenuti nell’ultimo anno ha coinvolto impiegati che hanno compromesso la cybersicurezza della loro azienda involontariamente o inconsapevolmente;
  • Il 53% delle aziende colpite da un software pericoloso ha affermato che l’infezione non sarebbe potuta avvenire senza l’aiuto di impiegati distratti. Il 36% delle aziende incolpa l’ingegneria sociale. Questo vuol dire che qualcuno ha ingannato intenzionalmente gli impiegati;
  • Gli attacchi mirati che includono il phishing e l’ingegneria sociale hanno avuto successo nel 28% dei casi;
  • Nel 40% dei casi, gli impiegati hanno provato a nascondere l’incidente, amplificando il danno e mettendo ulteriormente in pericolo la sicurezza dell’azienda colpita;
  • Quasi la metà degli intervistati si preoccupa del fatto che i propri impiegati diffonda inavvertitamente informazioni aziendali attraverso i dispositivi mobili utilizzati sul posto di lavoro.

Per visualizzare il testo completo della ricerca (in inglese), cliccate sul link sottostante. Troverete la risposta alla domanda “Perché preoccuparsi di aumentare la consapevolezza dei dipendenti sulla cybersicurezza?”

Insegnare ad essere consapevoli sulla cybersicurezza

Anche la parte del “come” è molto importante. Sono disponibili diversi corsi, conferenze e laboratori. Ma formarsi vuol dire investire tempo e denaro; dovete essere sicuri di ottenere risultati.

Prendiamo in considerazione il problema di nascondere l’incidente. Potete riunire gli impiegati e dire loro che è importante riferire gli incidenti di cybersicurezza. Vi diranno probabilmente che sono d’accordo ma continueranno invece a non comunicarli, sperando di non assumersi nessuna responsabilità.

Un approccio migliore è quello di capire prima le loro motivazioni. In molti casi i dirigenti o gli impiegati del dipartimento di sicurezza delle informazioni hanno già comunicato agli impiegati le severe norme da seguire, ma in realtà nessuno le ha spiegate.

A volte anche il team di gestione e di sicurezza delle informazioni ha bisogno di formazioni (formazioni su come spiegare le norme).

Sapere cosa insegnare

Per far fronte alle sofisticate cyberminacce del giorno d’oggi, un’azienda deve funzionare proprio come un organismo sano, con diversi team che si assumono diverse responsabilità e compiti. Ovviamente questo significa che i team devono imparare diverse cose. I dirigenti che si occupano di gestire l’azienda devono essere consapevoli dei rischi e capire quali siano i potenziali costi finanziari e di reputazione. I dirigenti di medio livello e il team che si occupa della sicurezza delle informazioni devono comprendere bene quali siano le imminenti minacce, devono saper agire in maniera da aumentare la resistenza informatica e devono essere in grado di parlare in maniera efficace con la maggior parte del personale. Per quanto riguarda gli specialisti, conoscere le minacce è meno importante di avere le competenze necessarie per evitarle.

Ecco perché il nostro approccio alla formazione include la differenziazione del personale per anzianità e funzioni.

Per saperne di più al riguardo o per commissionare corsi per il vostro personale, completate il modulo sottostante e i nostri specialisti vi contatteranno il prima possibile.

Consigli