SMARTFENSE fa schifo, episodio I

SMARTFENSE fa schifo, episodio I

Obiettivi concreti, risultati reali?

Le piattaforme di sensibilizzazione (AMS) esistono per assistere le organizzazioni in obiettivi concreti:
  • Generare consapevolezza negli utenti
  • Generare abitudini sicure e, attraverso le stesse, generare una cultura della sicurezza
SMARTFENSE, fin dalla sua fondazione, è stata pensata e sviluppata affinché le organizzazioni possano raggiungere questi obiettivi completamente, in modo omogeneo.
Quando l’obiettivo principale di un’organizzazione è solo quello di generare abitudini sicure, parliamo di un programma di Security Awareness.
Quando, invece, l’obiettivo va oltre, e si vogliono anche generare abitudini sicure negli utenti e, in definitiva, sviluppare una cultura della sicurezza nell’organizzazione, parliamo di un Security Behavior and Culture Program (SBCP).
In entrambi i casi, e come conseguenza degli obiettivi di cui sopra, si assicura la conformità a diverse normative.
Un aspetto chiave per raggiungere questi obiettivi sono i contenuti di sensibilizzazione. Non tutti i contenuti hanno la capacità di causare cambiamenti reali e non tutte le piattaforme possono creare un ambiente in cui ciò è possibile.

Contenuti di SMARTFENSE

I contenuti di SMARTFENSE sono creati sia per generare consapevolezza che per ottenere un cambiamento di abitudini reale negli utenti. Per questo, vengono utilizzate varie tecniche come il design thinking e il rinforzo positivo (derivato dalla teoria di Nudges), tra molte altre. Pensiamo al nostro sviluppo di contenuti con una mentalità di Marketing piuttosto che con un approccio tradizionale alla sensibilizzazione.
Ciò consente agli utenti di avere un’esperienza di qualità con i nostri contenuti e la nostra piattaforma, favorendo il loro engagement. L’utente percepisce quando un contenuto cerca davvero di aggiungere valore al suo lavoro e alla sua vita lavorativa e personale e aumenta la sua ricettività, il che in definitiva porta a sviluppare o consolidare una certa abitudine sicura.

Contenuti personalizzabili (e rovinabili) al 100%

SMARTFENSE è, molto probabilmente, la piattaforma di sensibilizzazione più flessibile disponibile sul mercato. Questo offre molti vantaggi. Quelli specifici relativi ai contenuti di sensibilizzazione sono, tra gli altri:
  • Generare contenuti contestualizzati per l’organizzazione
  • Utilizzare l’immagine aziendale dell’organizzazione
  • Rispondere rapidamente di fronte a situazioni particolari, come per esempio generare una simulazione di Phishing a partire da un attacco reale ricevuto nell’organizzazione.
Questo grado di flessibilità, a volte, si combina con amministratori che hanno un obiettivo ben preciso per il loro programma di sensibilizzazione: la conformità alle normative.
Solo questo.
Non sono interessati a generare consapevolezza, per non parlare di abitudini sicure, e men che meno di culture della sicurezza.
Da questa combinazione, nasce l’episodio 1 di SMARTFENSE fa schifo.

Il lato oscuro della flessibilità

Il campanello non funziona. Toccare il pollo!

 

Uno dei punti specifici che consideriamo in SMARTFENSE quando sviluppiamo ogni contenuto è di quanto tempo avrà bisogno l’utente per completarlo. A tal fine, i nostri tempi vanno da 1 minuto a 12 minuti, a seconda dei componenti coinvolti:
  • Video
  • Videogiochi
  • Moduli Interattivi
  • Newsletter
  • Esami
  • Sondaggi
  • Momenti educativi
Il problema qui è che molti utenti amministrativi sfruttano la flessibilità di SMARTFENSE per creare, ad esempio, Moduli Interattivi personalizzati di oltre 100 slide, combinando diversi argomenti e creando così contenuti che richiedono più di un’ora per essere completati.
Per quale motivo fanno questo gli amministratori? Perché, come abbiamo detto, mirano alla conformità, e non gli interessa nient’altro. E ci riescono (con una percentuale molto bassa di utenti). Inoltre, ottengono altre cose, tutte negative:
  • Gettare alle ortiche qualsiasi tipo di engagement che l’utente possa avere con la piattaforma.
  • Predisporre negativamente l’utente e creare un ambiente negativo controproducente per l’apprendimento.
  • Si annulla la capacità del contenuto di produrre un cambiamento reale nel comportamento o livello di consapevolezza dell’utente, e quindi, nella cultura dell’organizzazione.

Modi per peggiorare questa situazione

Può sempre andare peggio.
Ci sono casi in cui i Moduli Interattivi includono Esami enormi, dove attraverso 50 o più domande si cerca di valutare l’utente rispetto al contenuto nefasto che gli è stato assegnato.
Un altro caso, ad esempio, riguarda le organizzazioni che non considerano la sensibilizzazione come un processo di miglioramento continuo.
Precedentemente abbiamo citato gli obiettivi che un programma di sensibilizzazione dovrebbe effettivamente avere. E in definitiva il risultato che si vuole raggiungere con essi – la missione, se vogliamo parlare in termini strategici – è diminuire il rischio di un attacco di ingegneria sociale nell’organizzazione. In altre parole, gestire il rischio di ingegneria sociale.
I rischi non si gestiscono per 3 mesi o 1 anno. Si gestiscono in modo continuo, per poterli mantenere a un livello accettabile per l’organizzazione.
Molte organizzazioni, tuttavia, vedono la sensibilizzazione come un progetto di breve durata, incentrato sulla generazione di competenze o conoscenze specifiche. Questo ha diverse cause. Una molto comune è che in alcuni Paesi sono previsti contributi/sovvenzioni per le imprese che, per essere effettivi, richiedono che in un brevissimo periodo di tempo (2 o 3 mesi) venga lanciato un corso di molte ore (più di 20).
Per potersi qualificare per questo vantaggio economico, sfruttano la flessibilità della piattaforma per trasformarla da AMS a LMS (Learning Management System) e offrire corsi, il che non è l’obiettivo – nemmeno lontanamente – di una piattaforma di sensibilizzazione.

Nota: alla data della pubblicazione di questo post abbiamo in SMARTFENSE più di 300 clienti. I casi presentati sono reali, ma a loro volta non sono tutti quelli che abbiamo rilevato, altrimenti questo post sarebbe lungo come contenuto di un CISO che vuole soltanto adempiere.

Idee finali

È facile lasciarsi trasportare dalle libertà che uno strumento può fornire. Per questo, allo stesso modo in cui dovremmo pensarci due volte prima di fare clic, possiamo pensarci due volte prima di modificare un contenuto.
  • Cosa vogliamo ottenere con l’editing?
  • È davvero un bene per l’utente finale?
  • Ci aiuta a raggiungere meglio gli obiettivi del nostro programma di sensibilizzazione?
Questo è il primo episodio di una serie di post sui cattivi usi di SMARTFENSE. Ti piacerebbe saperne di più? Seguici sui nostri social per non perderti nessuna novità!
Tag Articolo :

Nicolás Bruna

Product Manager de SMARTFENSE. Su misión en la empresa es mejorar la plataforma día a día y evangelizar sobre la importancia de la concientización. Ha escrito dos whitepapers y más de 150 artículos sobre gestión del riesgo de la ingeniería social, creación de culturas seguras y cumplimiento de normativas. También es uno de los autores de la Guía de Ransomware de OWASP y el Calculador de costos de Ransomware, entre otros recursos gratuitos.

Lascia un commento