Benchmarking nella Security Awareness

Benchmarking nella Security Awareness

Questo è un articolo di opinione personale sull’uso del Benchmarking nella Security Awareness.

Nei miei oltre 7 anni di lavoro in SMARTFENSE, mi sono spesso imbattuto in domande del tipo: quale percentuale di utenti cade nelle trappole di Phishing dei clienti di SMARTFENSE?

E l’obiettivo è sempre lo stesso: confrontare la propria organizzazione con il resto.

Come se il fatto che le organizzazioni abbiano una percentuale media di clic sui link di phishing del 25% potesse essere un conforto se anche la mia organizzazione avesse un numero preoccupante simile. O come se avere una percentuale inferiore al resto potesse essere un parametro per considerare il mio lavoro di consapevolezza sulla cyber security come un successo e sufficiente.

Questo, che fondamentalmente è il Benchmarking applicato alla Security Awareness, ha due problemi dal mio punto di vista:

  • I numeri del Benchmarking non sono sempre come sembrano
  • È difficile trovare un’organizzazione sufficientemente simile alla nostra affinché il confronto abbia senso

I numeri del Benchmarking non sono sempre come sembrano

Per rendere la lettura meno pesante, supponiamo un esempio molto semplice basato sull’engagement degli utenti finali con campagne di video di sensibilizzazione.
Di solito avremo metriche come:

  • Numero di utenti assegnati alla campagna
  • Numero di utenti che hanno iniziato a vedere il video
  • Numero di utenti che hanno completato la visione del video

Supponiamo ora due organizzazioni:

Organizzazione 1

  • Utenti assegnati: 20.000 (100%)
  • Video iniziati: 10.000 (50%)
  • Video completati: 5.000 (25%)

Organizzazione 2

  • Utenti assegnati: 50 (100%)
  • Video iniziati: 45 (90%)
  • Video completati: 40 (80%)

Cosa ci indica il Benchmarking qui?

In casi come questo, se il nostro fornitore non lo chiarisce, possiamo avere risultati con interpretazioni molto diverse:

Media delle interazioni

Analizziamo il Benchmarking dei video completati. Per farlo, sommiamo il numero di utenti che completano i video e lo dividiamo per il totale:
Organizzazione 1: 5.000 video completati

Organizzazione 2: 40 video completati

Totale utenti assegnati tra entrambe le organizzazioni: 20.050

Media degli utenti che completano i video: 25,13%

Media delle percentuali

Un altro calcolo possibile, tuttavia, è concentrarsi sulle proporzioni e indipendentemente dal numero di utenti, per esempio:
Organizzazione 1: 25% degli utenti completa i video

Organizzazione 2: 80% degli utenti completa i video

Media degli utenti che completano i video: 52,5%

Come vediamo, a seconda dell’approccio seguito per calcolare il Benchmarking, i risultati possono variare notevolmente.

Filtraggio per settore e numero di utenti

Un modo che si utilizza spesso per ridurre un po’ il bias che può avere un esempio come il precedente è confrontare la nostra organizzazione con altre dello stesso settore e con un numero simile di dipendenti.
Questo sembra essere una buona idea, ma quando si parla di consapevolezza, non lo è tanto. Più sopra dicevamo che “è difficile trovare un’organizzazione sufficientemente simile alla nostra affinché il confronto abbia senso.

E infatti, nella Security Awareness, il settore e il numero di utenti non sono filtri sufficienti per confrontarci con un’altra organizzazione.

Ricordiamo che con i nostri programmi di awareness possiamo avere obiettivi diversi anche in organizzazioni simili:

  • Conformità normativa
  • Sviluppo di abitudini sicure
  • Sviluppo di una cultura della cyber security

Secondo questi obiettivi, il modo di gestire il programma di consapevolezza può variare in fattori come:

  • Livello di difficoltà dei contenuti utilizzati
  • Numero di campagne inviate all’anno
  • Canali utilizzati per raggiungere l’utente
  • Messaggi inviati ai diversi gruppi di utenti in base a età, posizione, interessi, ecc.
  • Uso di tecniche complementari come la gamification
  • Etc.

E non solo questo. Ricordiamo che stiamo trattando con persone, e il risultato delle campagne di sensibilizzazione può essere influenzato da alcuni fattori generali come:

  • Numero di utenti con conoscenze tecniche
  • Età degli utenti
  • Situazione personale e familiare di ciascun utente
  • Eterogeneità degli utenti
  • Etc.

Inoltre, il risultato delle campagne può essere determinato anche dalla realtà che gli utenti vivono in quella organizzazione:

  • Clima lavorativo
  • Sovraccarico di lavoro
  • Livelli di stress
  • Fase che l’organizzazione sta attraversando
  • Etc.

E anche da questioni sociali e politiche della città e del paese in cui vive ciascuno.
Infine, e non meno importante, con la sensibilizzazione di solito cerchiamo di gestire il rischio dell’ingegneria sociale. E il livello di rischio accettabile per la nostra organizzazione non deve essere il livello accettabile per gli altri. Quindi, in termini di gestione dei rischi, i risultati che per un’organizzazione possono essere buoni, per un’altra possono essere inaccettabili.

think

Alcuni esempi specifici

Supponiamo di aver applicato un filtro per ottenere informazioni di Benchmarking confrontando la nostra organizzazione con un’altra dello stesso settore e con un numero simile di utenti.

A cosa ci serve sapere la percentuale media di apertura degli allegati nella nostra industria?

Forse alcune delle organizzazioni con cui ci confrontiamo utilizzano contenuti di livello semplice, facili da rilevare per l’utente, con l’unico obiettivo di rispettare un certo numero di simulazioni annuali.
Forse alcune di queste organizzazioni non completano le simulazioni con azioni di sensibilizzazione come l’invio di video e moduli interattivi, e i loro utenti non sono motivati con tecniche di gamification per assimilare meglio i contenuti e migliorare le loro abitudini.

Un numero freddo come “il 20% degli utenti delle organizzazioni del tuo stesso settore e dimensione apre allegati non richiesti” in realtà ci fornisce molto poco valore per capire la realtà attuale nella nostra organizzazione e ancora meno per stabilire obiettivi relativi al nostro programma di sensibilizzazione.

A cosa ci serve sapere la percentuale media di approvazione degli esami nella nostra industria?

Forse alcune delle organizzazioni con cui ci confrontiamo hanno un numero maggiore di utenti tecnici che trovano facile superare esami su determinati argomenti.
Inoltre, la media di età degli utenti di molte di queste organizzazioni è di circa 35 anni, quindi i loro utenti hanno un rapporto stretto con la tecnologia e sono in grado di discernere facilmente alcune situazioni.

Se nella nostra organizzazione la maggior parte degli utenti non ha conoscenze tecniche e la media di età è di 45 anni, la realtà può essere molto diversa. E il fatto di avere una percentuale inferiore di approvati non significa che stiamo facendo le cose male.

Perché vogliamo confrontarci con altre organizzazioni?

Secondo l’analisi precedente, il Benchmarking non è un parametro utile o rappresentativo per guidare i nostri piani di sensibilizzazione e non ci serve altro che per soddisfare una curiosità su come stanno andando le campagne di altri.
Di fronte a ciò, non è superfluo analizzare perché sorge questa necessità di confrontarci con gli altri e vedere come possiamo soddisfarla attraverso un approccio migliore.

Di solito, la motivazione per guardare un Benchmarking nasce perché vogliamo sapere se stiamo seguendo un buon percorso con il nostro programma di sensibilizzazione. Se stiamo ottenendo risultati accettabili, o se dobbiamo apportare aggiustamenti.

E il punto principale da tenere a mente è che non dovremmo stabilire i nostri obiettivi e traguardi guardando gli altri. La mia raccomandazione è la seguente:

Misuriamo il livello di esposizione che la nostra organizzazione ha di fronte all’ingegneria sociale utilizzando i metodi a nostra disposizione:

  • Simulazioni di Phishing
  • Simulazioni di Smishing
  • Simulazioni di Ransomware
  • Simulazioni di USB drop
  • Esami
  • Sondaggi

Facciamo un’analisi dei risultati e determiniamo la nostra linea base.
Qui possiamo fare un passo oltre e non fermarci al numero o alla percentuale in sé che risulta dalla nostra misurazione. Invece di lasciare detto che “il 25% dei nostri utenti clicca su link di phishing”, facciamo un passo avanti e pensiamo alle implicazioni che questo ha nella nostra organizzazione.

Basta pensare alle conseguenze di questa misurazione e dare un’occhiata più manageriale: Cosa implica per la nostra organizzazione che questi clic avvengano in un incidente reale? Quali sono i costi che dovremo affrontare? Qual è il valore delle informazioni che potrebbero essere compromesse?, ecc.

Questo sguardo, applicato a tutti gli indicatori che possiamo ottenere dalle nostre misurazioni, ci permetterà di esprimere il livello di rischio attuale utilizzando scale quantitative (preferibilmente in denaro) e qualitative.

A partire da questa linea base possiamo stabilire nella nostra organizzazione in particolare qual è il livello di rischio accettabile e lavorare internamente per raggiungerlo.

Questo livello di rischio sarà esclusivo della nostra organizzazione, non dovrebbe dipendere da ciò che fanno gli altri.

Le azioni di sensibilizzazione della nostra organizzazione sono quelle che porteranno il livello di rischio attuale al livello desiderato, e da lì potremo compiere azioni per mantenerlo nel tempo o migliorarlo ulteriormente, attraverso un processo di miglioramento continuo.

Considerazioni finali

Di fronte al dubbio su quanto sia bene la nostra organizzazione in termini di livello umano, poco può offrirci un confronto con il resto.
Le variabili che influenzano la risposta sono molte, e il numero che risulta da un Benchmarking risulta molto difficile da interpretare.

Il modo migliore per guidare i nostri piani di sensibilizzazione non è guardare gli altri, ma effettuare le nostre misurazioni e stabilire i nostri obiettivi e traguardi, tenendo conto della nostra realtà organizzativa.

Nicolás Bruna

Product Manager de SMARTFENSE. Su misión en la empresa es mejorar la plataforma día a día y evangelizar sobre la importancia de la concientización. Lidera el equipo de desarrollo y QA de SMARTFENSE. Ha escrito dos whitepapers y más de 50 artículos sobre concientización. También es uno de los autores de la Guía de Ransomware de OWASP y el Calculador de costos de Ransomware, entre otros recursos gratuitos.

Lascia un commento