Introduzione
Per ottenere il sostegno dei manager nell’attuare un programma di security awareness, è essenziale disporre di strumenti che permettano di evidenziare i benefici delle azioni da intraprendere. In questo contesto, i business case rappresentano documenti che dimostrano in modo chiaro e conciso come l’implementazione dei piani di sensibilizzazione sia in linea con gli interessi organizzativi.
Prima di iniziare
Per ottenere il massimo supporto dai dirigenti delle organizzazioni, è importante comprendere i loro interessi personali e professionali. Idealmente, dovremmo incontrarci individualmente con ciascun dirigente per avere una conversazione o un’intervista informale, al fine di comprendere i loro obiettivi all’interno dell’organizzazione e quali benefici si aspettano dall’area Cyber Security.
In certi casi, questo compito potrebbe essere piuttosto semplice. Tuttavia, in altri casi, potremmo dover guidare le conversazioni per far sì che i dirigenti possano visualizzare come le loro aree di responsabilità potrebbero prosperare se gli utenti adottassero comportamenti sicuri e fossero allineati alle politiche e alle procedure interne dell’organizzazione.
Successivamente, dovremmo riassumere i benefici e gli obiettivi emersi dalla conversazione in modo chiaro e senza tecnicismi. Questi elementi diventeranno i fondamenti del nostro programma di awareness.
Contenuto del Business case
Sebbene non esista una struttura, formato o standard per redigere un Business case, possiamo menzionare una serie di elementi che devono essere presenti:
Obiettivi
Elencare gli obiettivi del programma di awareness. Stabilire collegamenti chiari con:
- gli obiettivi strategici della società
- gli obiettivi e i benefici personali e lavorativi dei dirigenti
Questo ci permetterà di modellare il programma come pietra angolare degli interessi della direzione.
Scenari
Fornire un elenco di scenari cruciali per l’organizzazione e descrivere come potrebbero essere impattati da un incidente di sicurezza. Mettere in evidenza il ruolo della consapevolezza nel ridurre il rischio di tali incidenti.
Metriche
Definire come verrà misurato il successo relativo del programma.
Le metriche possono essere specifiche e direttamente correlate alle azioni di sensibilizzazione, misurando i cambiamenti specifici nella conoscenza e nel comportamento delle persone.
Inoltre, e in modo più generale, si possono adottare metriche centrate su questioni di cambiamento culturale. Questa misurazione è sottile e si possono utilizzare alcuni indicatori di atteggiamenti e tendenze culturali in cambiamento, come:
- Numero di dipendenti che hanno partecipato ad attività di security awareness, rispetto al numero totale di dipendenti
- Incidenti di sicurezza segnalati dai dipendenti che hanno completato il programma di sensibilizzazione
- Richieste di materiali o attività di formazione da parte di dirigenti e collaboratori.
- Risultati di sondaggi che dimostrano atteggiamenti positivi del personale verso le azioni intraprese dall’area IT per proteggere le informazioni dell’organizzazione. Ad esempio, valutazioni su corsi, materiali informativi, pratiche, ecc. Per questo punto, sarà fondamentale preparare domande precise che mirino a dimostrare informazioni concrete.
Nel caso di avvio di un programma di sensibilizzazione, questa valutazione preliminare servirà a stabilire una linea base che potrà essere utilizzata successivamente per valutare i progressi.
Risorse
Identificare l’investimento iniziale, cioè quali risorse saranno necessarie per avviare il lancio del programma di security awarness.
Non è necessario dettagliare tutte le risorse che saranno necessarie durante l’intero programma, poiché la sensibilizzazione mira a essere un processo di miglioramento continuo.
Responsabile della Security Awareness e comitato di supervisione
Designare un membro dell’organizzazione come responsabile del programma di Awareness. Idealmente, dovrebbe essere una persona con competenze di gestione di progetti.
Inoltre, proporre l’istituzione di un comitato di supervisione, che rappresenti le diverse parti interessate dell’organizzazione, per facilitare la comunicazione del responsabile della sensibilizzazione con il resto dell’organizzazione.
Definire, all’interno del business case, i meccanismi tramite i quali il responsabile del programma riferirà al comitato di supervisione, specificando il formato, il contenuto e la frequenza dei rapporti sui progressi.
Considerazioni finali
Il modo di presentare un business case dipenderà da ciascuna organizzazione. In generale, si consiglia di utilizzare un linguaggio semplice senza tecnicismi, frasi chiare senza ambiguità e mantenere il documento il più breve possibile. Per la sua costituzione, inoltre, devono partecipare il maggior numero possibile di stakeholder chiave per il programma.
Lascia un commento