Perché la conformità della tua Cybersecurity awareness crolla a marzo

Planta de oficina junto a una ventana con la mitad de las hojas marchitas y la otra mitad verdes, bajo luz cálida de mañana

Perché la conformità della tua Cybersecurity awareness crolla a marzo

La maggior parte dei team di sicurezza verifica la conformità della propria Cybersecurity awareness una volta all’anno, poco prima dell’audit. Preparano il foglio di calcolo, raccolgono i certificati, calcolano la percentuale e tirano un sospiro di sollievo. Il problema è che quel numero è già scaduto. La formazione che le persone hanno completato dodici mesi fa ha smesso di essere valida a un certo punto, probabilmente senza che nessuno se ne accorgesse, e il foglio ha continuato a mostrare lo stesso verde di sempre.

Quando l’auditor arriva a novembre, la conformità che risulta dal documento e la conformità reale dell’organizzazione sono due cose diverse. E il divario non si è aperto quel giorno. Si stava allargando da molto prima.

Cosa significa che la conformità dell’awareness è continua?

La conformità dell’awareness è la quota della tua popolazione di dipendenti che dispone di una formazione valida in un dato momento. La parola che conta è valida. Aver formato qualcuno una volta non basta: quella formazione ha una data oltre la quale smette di contare, e da lì la persona torna a risultare in sospeso.

Le normative che richiedono awareness la intendono così. Sia la ISO/IEC 27001 sia i quadri regolatori più recenti parlano di un programma sostenuto nel tempo, non di un corso erogato una volta e archiviato. L’audit è una singola fotografia, ma l’obbligo che quella fotografia verifica è permanente. Per questo misurare la conformità una sola volta all’anno lascia scoperti gli altri undici mesi.

Aiuta paragonarlo a qualcosa di più fisico. A nessuno verrebbe in mente di mostrare a un ispettore il certificato di revisione di un estintore firmato tre anni fa e dare per scontato che l’apparecchio sia ancora in regola. Capiamo che quella garanzia scade e che il controllo si ripete a intervalli. Con l’awareness succede lo stesso, solo che la sua scadenza non lascia un’etichetta in vista. Le persone continuano a lavorare, i sistemi continuano a funzionare, e l’unico segnale che la copertura è scaduta compare quando qualcuno va a cercarla e non c’è più.

Perché crolla a marzo e non il giorno dell’audit?

Perché l’awareness scade in silenzio. Pensiamo a un’organizzazione che ha formato tutto il personale a marzo dell’anno scorso e ha chiuso il periodo con una conformità impeccabile. Dodici mesi dopo, quella formazione raggiunge la sua data di scadenza. Da un giorno all’altro, buona parte della popolazione che risultava coperta non lo è più, anche se nessuno ha fatto nulla di diverso.

A questo si aggiunge il normale movimento di qualsiasi azienda. Ogni persona entrata dopo l’ultima campagna entra nella popolazione senza formazione. Ogni cambio di ruolo espone qualcuno a rischi che la formazione precedente non contemplava. Il numero reale di conformità scende settimana dopo settimana, in modo graduale, mentre il documento che hai preparato a suo tempo resta intatto in una cartella.

L’audit non rompe nulla. Si limita ad accendere la luce in una stanza che era già in disordine.

Cosa resta esposto mentre la conformità è scaduta?

La parte scomoda non è la casella rossa nell’audit. È ciò che accade nei mesi in cui la copertura non c’è e nessuno lo registra. Chi ha ricevuto la formazione più di un anno fa conserva una parte di ciò che ha imparato, ma i segnali si offuscano proprio quando gli attacchi cambiano forma. E le persone entrate dopo l’ultima campagna non hanno mai avuto quella base.

Il risultato è un’organizzazione che si crede coperta e opera, per una parte dell’anno, con una protezione già scaduta. Non è qualcosa che si nota nel quotidiano, perché non lascia un avviso. Si nota il giorno in cui qualcuno sfrutta quella finestra, oppure il giorno in cui l’auditor chiede l’evidenza e la data non torna.

Perché i piani manuali arrivano sempre tardi?

Un foglio di calcolo è una fotografia, e una fotografia invecchia. Quando finisci di preparare il piano annuale (definire la popolazione, assegnare i corsi, caricare le date) sono già passate settimane, e la realtà che cercavi di catturare è cambiata. Excel non sa che la formazione di una persona è scaduta ieri né che stamattina sono entrati quindici nuovi dipendenti. E non ti avvisa. Continua a mostrare ciò che hai inserito l’ultima volta che lo hai aperto.

Il piano manuale, inoltre, misura ciò che è facile contare, non ciò che conta. Conta i corsi completati sui corsi assegnati e festeggia la percentuale, senza chiedersi se quella popolazione sia quella giusta né se la formazione che somma sia ancora valida. Insegue la completezza di un elenco chiuso quando la conformità reale dipende dalla continuità su una popolazione che si muove ogni giorno.

Il risultato è prevedibile. Lo sforzo si concentra nelle settimane prima dell’audit, il periodo si chiude con un buon numero, e l’orologio ricomincia a correre contro il giorno dopo. È molto lavoro per una conformità che dura poco.

E quel lavoro lo paga il team di sicurezza, che dedica diverse settimane all’anno a ricostruire a mano uno stato che è cambiato mentre lo ricostruiva: incrociare elenchi del personale, controllare chi ha fatto cosa, rincorrere chi manca, rifare il foglio. È tempo di persone costose speso in un’attività amministrativa che, per giunta, è obsoleta non appena viene consegnata. La sensazione di controllo che dà chiudere il periodo con un buon numero è reale finché dura, e dura fino alla prima scadenza.

Come si presenta la conformità quando si misura come uno stato vivo?

Cambia il momento in cui guardi il numero. Invece di calcolarlo una volta all’anno, lo hai a disposizione ogni giorno: quale quota della tua popolazione dispone oggi di formazione valida, chi è appena scaduto, chi è entrato e non è ancora stato formato. La conformità smette di essere uno sprint pre-audit e diventa un indicatore che osservi come qualsiasi altra metrica di sicurezza.

È così che pensiamo la conformità dell’awareness in SMARTFENSE, come parte del rischio umano che si misura con la condotta osservata e non con una dichiarazione annuale. Misurare la validità persona per persona, in tempo reale, ha un effetto collaterale importante: quando arriva l’auditor, non c’è nulla da ricostruire. L’evidenza che il programma è stato attivo tutto l’anno è già lì, perché si è generata da sola mentre il programma funzionava.

Questa è la differenza tra dimostrare che hai rispettato la conformità e dimostrare che continui a rispettarla. La prima si mette insieme all’ultimo minuto; la seconda si sostiene.

La conformità che dura tutto l’anno

La conformità dell’awareness non si conquista a novembre con uno sforzo dell’ultimo minuto. O si sostiene per tutti i dodici mesi, oppure non esiste il giorno in cui qualcuno la guarda da vicino. Il foglio di calcolo annuale dà una sensazione di controllo che la realtà smentisce non appena passa la prima scadenza.

Se vuoi vedere come si misura la conformità del tuo programma come uno stato vivo, e non come una fotografia che invecchia da sola, puoi scoprire la piattaforma o scriverci per una demo sui tuoi dati.

Nicolás Bruna

Product Manager de SMARTFENSE. Su misión en la empresa es mejorar la plataforma día a día y evangelizar sobre la importancia de la concientización. Ha escrito dos whitepapers y más de 150 artículos sobre gestión del riesgo de la ingeniería social, creación de culturas seguras y cumplimiento de normativas. También es uno de los autores de la Guía de Ransomware de OWASP y el Calculador de costos de Ransomware, entre otros recursos gratuitos.

Lascia un commento