Demo

Come conquistare il sostegno della dirigenza: Preparare un Business Case

Nicolás Bruna Blog Nessun commento

Come conquistare il sostegno della dirigenza: Preparare un Business Case

Introduzione

Per ottenere il sostegno dei manager nell’attuare un programma di security awareness, è essenziale disporre di strumenti che permettano di evidenziare i benefici delle azioni da intraprendere. In questo contesto, i business case rappresentano documenti che dimostrano in modo chiaro e conciso come l’implementazione dei piani di sensibilizzazione sia in linea con gli interessi organizzativi.

Prima di iniziare

Per ottenere il massimo supporto dai dirigenti delle organizzazioni, è importante comprendere i loro interessi personali e professionali. Idealmente, dovremmo incontrarci individualmente con ciascun dirigente per avere una conversazione o un’intervista informale, al fine di comprendere i loro obiettivi all’interno dell’organizzazione e quali benefici si aspettano dall’area Cyber Security.

In certi casi, questo compito potrebbe essere piuttosto semplice. Tuttavia, in altri casi, potremmo dover guidare le conversazioni per far sì che i dirigenti possano visualizzare come le loro aree di responsabilità potrebbero prosperare se gli utenti adottassero comportamenti sicuri e fossero allineati alle politiche e alle procedure interne dell’organizzazione.

Successivamente, dovremmo riassumere i benefici e gli obiettivi emersi dalla conversazione in modo chiaro e senza tecnicismi. Questi elementi diventeranno i fondamenti del nostro programma di awareness.

Contenuto del Business case

Sebbene non esista una struttura, formato o standard per redigere un Business case, possiamo menzionare una serie di elementi che devono essere presenti:

Obiettivi

Elencare gli obiettivi del programma di awareness. Stabilire collegamenti chiari con:

  • gli obiettivi strategici della società
  • gli obiettivi e i benefici personali e lavorativi dei dirigenti

Questo ci permetterà di modellare il programma come pietra angolare degli interessi della direzione.

Scenari

Fornire un elenco di scenari cruciali per l’organizzazione e descrivere come potrebbero essere impattati da un incidente di sicurezza. Mettere in evidenza il ruolo della consapevolezza nel ridurre il rischio di tali incidenti.

Metriche

Definire come verrà misurato il successo relativo del programma.

Le metriche possono essere specifiche e direttamente correlate alle azioni di sensibilizzazione, misurando i cambiamenti specifici nella conoscenza e nel comportamento delle persone.

Inoltre, e in modo più generale, si possono adottare metriche centrate su questioni di cambiamento culturale. Questa misurazione è sottile e si possono utilizzare alcuni indicatori di atteggiamenti e tendenze culturali in cambiamento, come:

  • Numero di dipendenti che hanno partecipato ad attività di security awareness, rispetto al numero totale di dipendenti
  • Incidenti di sicurezza segnalati dai dipendenti che hanno completato il programma di sensibilizzazione
  • Richieste di materiali o attività di formazione da parte di dirigenti e collaboratori.
  • Risultati di sondaggi che dimostrano atteggiamenti positivi del personale verso le azioni intraprese dall’area IT per proteggere le informazioni dell’organizzazione. Ad esempio, valutazioni su corsi, materiali informativi, pratiche, ecc. Per questo punto, sarà fondamentale preparare domande precise che mirino a dimostrare informazioni concrete.

Nel caso di avvio di un programma di sensibilizzazione, questa valutazione preliminare servirà a stabilire una linea base che potrà essere utilizzata successivamente per valutare i progressi.

Risorse

Identificare l’investimento iniziale, cioè quali risorse saranno necessarie per avviare il lancio del programma di security awarness.

Non è necessario dettagliare tutte le risorse che saranno necessarie durante l’intero programma, poiché la sensibilizzazione mira a essere un processo di miglioramento continuo.

Responsabile della Security Awareness e comitato di supervisione

Designare un membro dell’organizzazione come responsabile del programma di Awareness. Idealmente, dovrebbe essere una persona con competenze di gestione di progetti.

Inoltre, proporre l’istituzione di un comitato di supervisione, che rappresenti le diverse parti interessate dell’organizzazione, per facilitare la comunicazione del responsabile della sensibilizzazione con il resto dell’organizzazione.

Definire, all’interno del business case, i meccanismi tramite i quali il responsabile del programma riferirà al comitato di supervisione, specificando il formato, il contenuto e la frequenza dei rapporti sui progressi.

Considerazioni finali

Il modo di presentare un business case dipenderà da ciascuna organizzazione. In generale, si consiglia di utilizzare un linguaggio semplice senza tecnicismi, frasi chiare senza ambiguità e mantenere il documento il più breve possibile. Per la sua costituzione, inoltre, devono partecipare il maggior numero possibile di stakeholder chiave per il programma.


Condividi:

Share on LinkedIn Share on Pinterest Share on WhatsApp
Tag Articolo :
Prev Post

Next Post

Nicolás Bruna

Product Manager de SMARTFENSE. Su misión en la empresa es mejorar la plataforma día a día y evangelizar sobre la importancia de la concientización. Lidera el equipo de desarrollo y QA de SMARTFENSE. Ha escrito dos whitepapers y más de 50 artículos sobre concientización. También es uno de los autores de la Guía de Ransomware de OWASP y el Calculador de costos de Ransomware, entre otros recursos gratuitos.

Lascia un commento

Ricerca

Articoli recenti

Nuvola di tag

buone pratiche cambiamento comportamentale ciso consapevolezza cybersicurezza formazione e sensibilizzazione game based learning hardening di utenti ocultado de estadísticas phishing piano di awareness ransomware responsabile sicurezza informatica smartfense whitelist

Blog in Spagnolo

Nel blog in spagnolo abbiamo centinaia di articoli da leggere

Vai al Blog in Spagnolo