Introduzione
Ogni famiglia è un mondo a sé, e lo stesso vale per ogni azienda. Dopo diversi anni di lavoro come Product Manager di SMARTFENSE, posso classificare le diverse strategie che le organizzazioni utilizzano per sensibilizzare nel modo seguente:
Sensibilizzare tutti per rispettare le normative
Alcune aziende realizzano una serie massiccia di campagne di Moduli Interattivi e Newsletter per diversi mesi, inondando gli utenti di informazioni. Completati tutti i contenuti pertinenti per rispettare le normative e le regolamentazioni, sospendono le azioni.
Sensibilizzare a tappe per… fare bella figura?
Un’altra strategia seguita da alcune organizzazioni consiste nel sensibilizzare un gruppo di utenti per un periodo, per poi continuare con un altro gruppo, in una sorta di progetto a cascata dove gli sforzi di formazione si concatenano per aree o team. In questo modo, cercano di formare tutti i collaboratori nell’arco dell’anno. Ma dal punto di vista dell’utente, ciò significa che improvvisamente inizia a ricevere materiale utile sulla cyber security e, improvvisamente, smette di godere di questo beneficio fino a nuovo avviso.
Sensibilizzare per rafforzare il fattore umano
Altre organizzazioni realizzano una serie continua e costante di campagne di Moduli Interattivi, rafforzate da Newsletter, separando gli invii nel tempo per non interferire troppo nella giornata lavorativa dell’utente e favorire l’apprendimento graduale dei contenuti.
Vale la pena chiarire che queste classificazioni non pretendono di essere esaustive né tassative, ma solo un abbozzo della realtà basato sulle mie osservazioni personali, senza addentrarsi ancora nelle azioni di simulazione di Phishing e Ransomware, Eesami e Sondaggi.
La frequenza e il suo effetto sull’efficacia delle nostre azioni
Una differenza fondamentale tra le strategie menzionate è la frequenza con cui gli utenti ricevono il contenuto.
In sostanza, un programma di security awareness mira a creare abitudini sicure negli utenti e a promuovere una cultura della sicurezza sia all’interno che all’esterno dell’organizzazione.
Gli esseri umani hanno una memoria che non è perfetta. Se assorbiamo certe informazioni oggi, ogni giorno che passa le perderemo, a meno che non rinforziamo il nostro apprendimento. Per non parlare della creazione di un’abitudine, per la quale è essenziale una costanza sostenuta nel tempo.
Detto questo, in termini di frequenze, esiste una sola strategia destinata a trionfare, ed è quella di sensibilizzare in modo continuo tutti gli utenti della nostra organizzazione.
Considerazioni finali
Dopo aver dimostrato l’importanza dell’utente nella sicurezza delle informazioni e considerando l’Hardening degli utenti come uno strumento essenziale per lo sviluppo di una componente umana sicura, è comprensibile che sempre più organizzazioni optino per sensibilizzare i loro utenti.
Riconosciuto il problema e presa la decisione di agire su di esso, abbiamo compiuto un passo molto importante. Tuttavia, dobbiamo comprendere che i risultati arriveranno solo focalizzando la sensibilizzazione come un processo trasversale di miglioramento continuo e sostenuto nel tempo.
Lascia un commento