Con quale frequenza dobbiamo promuovere la security awareness?

Con quale frequenza dobbiamo promuovere la security awareness?

Introduzione

Ogni famiglia è un mondo a sé, e lo stesso vale per ogni azienda. Dopo diversi anni di lavoro come Product Manager di SMARTFENSE, posso classificare le diverse strategie che le organizzazioni utilizzano per sensibilizzare nel modo seguente:

Sensibilizzare tutti per rispettare le normative

Alcune aziende realizzano una serie massiccia di campagne di Moduli Interattivi e Newsletter per diversi mesi, inondando gli utenti di informazioni. Completati tutti i contenuti pertinenti per rispettare le normative e le regolamentazioni, sospendono le azioni.

Sensibilizzare a tappe per… fare bella figura?

Un’altra strategia seguita da alcune organizzazioni consiste nel sensibilizzare un gruppo di utenti per un periodo, per poi continuare con un altro gruppo, in una sorta di progetto a cascata dove gli sforzi di formazione si concatenano per aree o team. In questo modo, cercano di formare tutti i collaboratori nell’arco dell’anno. Ma dal punto di vista dell’utente, ciò significa che improvvisamente inizia a ricevere materiale utile sulla cyber security e, improvvisamente, smette di godere di questo beneficio fino a nuovo avviso.

Sensibilizzare per rafforzare il fattore umano

Altre organizzazioni realizzano una serie continua e costante di campagne di Moduli Interattivi, rafforzate da Newsletter, separando gli invii nel tempo per non interferire troppo nella giornata lavorativa dell’utente e favorire l’apprendimento graduale dei contenuti.

Vale la pena chiarire che queste classificazioni non pretendono di essere esaustive né tassative, ma solo un abbozzo della realtà basato sulle mie osservazioni personali, senza addentrarsi ancora nelle azioni di simulazione di Phishing e Ransomware, Eesami e Sondaggi.

La frequenza e il suo effetto sull’efficacia delle nostre azioni

Una differenza fondamentale tra le strategie menzionate è la frequenza con cui gli utenti ricevono il contenuto.

In sostanza, un programma di security awareness mira a creare abitudini sicure negli utenti e a promuovere una cultura della sicurezza sia all’interno che all’esterno dell’organizzazione.

Gli esseri umani hanno una memoria che non è perfetta. Se assorbiamo certe informazioni oggi, ogni giorno che passa le perderemo, a meno che non rinforziamo il nostro apprendimento. Per non parlare della creazione di un’abitudine, per la quale è essenziale una costanza sostenuta nel tempo.

Detto questo, in termini di frequenze, esiste una sola strategia destinata a trionfare, ed è quella di sensibilizzare in modo continuo tutti gli utenti della nostra organizzazione.

Considerazioni finali

Dopo aver dimostrato l’importanza dell’utente nella sicurezza delle informazioni e considerando l’Hardening degli utenti come uno strumento essenziale per lo sviluppo di una componente umana sicura, è comprensibile che sempre più organizzazioni optino per sensibilizzare i loro utenti.

Riconosciuto il problema e presa la decisione di agire su di esso, abbiamo compiuto un passo molto importante. Tuttavia, dobbiamo comprendere che i risultati arriveranno solo focalizzando la sensibilizzazione come un processo trasversale di miglioramento continuo e sostenuto nel tempo.

Nicolás Bruna

Product Manager de SMARTFENSE. Su misión en la empresa es mejorar la plataforma día a día y evangelizar sobre la importancia de la concientización. Lidera el equipo de desarrollo y QA de SMARTFENSE. Ha escrito dos whitepapers y más de 50 artículos sobre concientización. También es uno de los autores de la Guía de Ransomware de OWASP y el Calculador de costos de Ransomware, entre otros recursos gratuitos.

Lascia un commento