I numeri del Benchmarking non sono sempre come sembrano<\/strong><\/h2>\nPer rendere la lettura meno pesante, supponiamo un esempio molto semplice basato sull’engagement degli utenti finali con campagne di video di sensibilizzazione.
\nDi solito avremo metriche come:<\/p>\n
\n- Numero di utenti assegnati<\/strong> alla campagna<\/li>\n
- Numero di utenti che hanno iniziato<\/strong> a vedere il video<\/li>\n
- Numero di utenti che hanno completato<\/strong> la visione del video<\/li>\n<\/ul>\n
Supponiamo ora due organizzazioni:<\/p>\n
Organizzazione 1<\/strong><\/p>\n\n- Utenti assegnati: 20.000 (100%)<\/li>\n
- Video iniziati: 10.000 (50%)<\/li>\n
- Video completati: 5.000 (25%)<\/li>\n<\/ul>\n
Organizzazione 2<\/strong><\/p>\n\n- Utenti assegnati: 50 (100%)<\/li>\n
- Video iniziati: 45 (90%)<\/li>\n
- Video completati: 40 (80%)<\/li>\n<\/ul>\n
Cosa ci indica il Benchmarking qui?<\/strong><\/h3>\nIn casi come questo, se il nostro fornitore non lo chiarisce, possiamo avere risultati con interpretazioni molto diverse:<\/p>\n
Media delle interazioni<\/strong><\/h4>\nAnalizziamo il Benchmarking dei video completati. Per farlo, sommiamo il numero di utenti che completano i video e lo dividiamo per il totale:
\nOrganizzazione 1<\/strong>: 5.000 video completati<\/p>\nOrganizzazione 2<\/strong>: 40 video completati<\/p>\nTotale utenti assegnati tra entrambe le organizzazioni<\/strong>: 20.050<\/p>\nMedia degli utenti che completano i video<\/strong>: 25,13%<\/p>\nMedia delle percentuali<\/strong><\/h4>\nUn altro calcolo possibile, tuttavia, \u00e8 concentrarsi sulle proporzioni e indipendentemente dal numero di utenti, per esempio:
\nOrganizzazione 1<\/strong>: 25% degli utenti completa i video<\/p>\nOrganizzazione 2<\/strong>: 80% degli utenti completa i video<\/p>\nMedia degli utenti che completano i video<\/strong>: 52,5%<\/p>\nCome vediamo, a seconda dell’approccio seguito per calcolare il Benchmarking, i risultati possono variare notevolmente.<\/p>\n
![\"\"](\"https:\/\/smartfense.com\/file\/2023\/04\/benchmarking-path.jpg\")
<\/p>\n
Filtraggio per settore e numero di utenti<\/strong><\/h3>\nUn modo che si utilizza spesso per ridurre un po’ il bias che pu\u00f2 avere un esempio come il precedente \u00e8 confrontare la nostra organizzazione con altre dello stesso settore e con un numero simile di dipendenti<\/strong>.
\nQuesto sembra essere una buona idea, ma quando si parla di consapevolezza, non lo \u00e8 tanto. Pi\u00f9 sopra dicevamo che \u201c\u00e8 difficile trovare un’organizzazione sufficientemente simile alla nostra affinch\u00e9 il confronto abbia senso.<\/em>\u201d<\/p>\nE infatti, nella Security Awareness<\/strong>, il settore e il numero di utenti non sono filtri sufficienti per confrontarci con un’altra organizzazione<\/strong>.<\/p>\nRicordiamo che con i nostri programmi di awareness possiamo avere obiettivi diversi<\/strong> anche in organizzazioni simili:<\/p>\n\n- Conformit\u00e0 normativa<\/li>\n
- Sviluppo di abitudini sicure<\/li>\n
- Sviluppo di una cultura della cyber security<\/li>\n<\/ul>\n
Secondo questi obiettivi, il modo di gestire il programma di consapevolezza<\/strong> pu\u00f2 variare in fattori come:<\/p>\n\n- Livello di difficolt\u00e0 dei contenuti utilizzati<\/li>\n
- Numero di campagne inviate all’anno<\/li>\n
- Canali utilizzati per raggiungere l’utente<\/li>\n
- Messaggi inviati ai diversi gruppi di utenti in base a et\u00e0, posizione, interessi, ecc.<\/li>\n
- Uso di tecniche complementari come la gamification<\/li>\n
- Etc.<\/li>\n<\/ul>\n
E non solo questo. Ricordiamo che stiamo trattando con persone<\/strong>, e il risultato delle campagne di sensibilizzazione pu\u00f2 essere influenzato da alcuni fattori generali come:<\/p>\n\n- Numero di utenti con conoscenze tecniche<\/li>\n
- Et\u00e0 degli utenti<\/li>\n
- Situazione personale e familiare di ciascun utente<\/li>\n
- Eterogeneit\u00e0 degli utenti<\/li>\n
- Etc.<\/li>\n<\/ul>\n
Inoltre, il risultato delle campagne pu\u00f2 essere determinato anche dalla realt\u00e0 che gli utenti vivono in quella organizzazione<\/strong>:<\/p>\n\n- Clima lavorativo<\/li>\n
- Sovraccarico di lavoro<\/li>\n
- Livelli di stress<\/li>\n
- Fase che l’organizzazione sta attraversando<\/li>\n
- Etc.<\/li>\n<\/ul>\n
E anche da questioni sociali e politiche<\/strong> della citt\u00e0 e del paese in cui vive ciascuno.
\nInfine, e non meno importante, con la sensibilizzazione di solito cerchiamo di gestire il rischio dell’ingegneria sociale<\/strong>. E il livello di rischio accettabile per la nostra organizzazione non deve essere il livello accettabile per gli altri<\/strong>. Quindi, in termini di gestione dei rischi, i risultati che per un’organizzazione possono essere buoni, per un’altra possono essere inaccettabili.<\/p>\n![\"think\"](\"https:\/\/lh6.googleusercontent.com\/U7wBjjYQT3mJZb73NJsAQ9fYqhkr4Js-pZSSoEa04Ub5epuypvL_7oJ2F-4zpZlnNMlgacXU-owatyzOIjb6XO-_YJAJxuAL-l71NaM4isrgupZi-IKuxAu-YSuWmjQjSG-TShN51-Yx2OxFmUU_sUg\")
<\/p>\n
Alcuni esempi specifici<\/strong><\/h3>\nSupponiamo di aver applicato un filtro per ottenere informazioni di Benchmarking confrontando la nostra organizzazione con un’altra dello stesso settore e con un numero simile di utenti.<\/p>\n
A cosa ci serve sapere la percentuale media di apertura degli allegati nella nostra industria?<\/strong><\/h4>\nForse alcune delle organizzazioni con cui ci confrontiamo utilizzano contenuti di livello semplice, facili da rilevare per l’utente, con l’unico obiettivo di rispettare un certo numero di simulazioni annuali<\/strong>.
\nForse alcune di queste organizzazioni non completano le simulazioni con azioni di sensibilizzazione<\/strong> come l’invio di video e moduli interattivi, e i loro utenti non sono motivati con tecniche di gamification per assimilare meglio i contenuti e migliorare le loro abitudini.<\/p>\nUn numero freddo<\/strong> come \u201cil 20% degli utenti delle organizzazioni del tuo stesso settore e dimensione apre allegati non richiesti\u201d in realt\u00e0 ci fornisce molto poco valore per capire la realt\u00e0 attuale nella nostra organizzazione<\/strong> e ancora meno per stabilire obiettivi relativi al nostro programma di sensibilizzazione.<\/p>\nA cosa ci serve sapere la percentuale media di approvazione degli esami nella nostra industria?<\/strong><\/h4>\nForse alcune delle organizzazioni con cui ci confrontiamo hanno un numero maggiore di utenti tecnici<\/strong> che trovano facile superare esami su determinati argomenti.
\nInoltre, la media di et\u00e0<\/strong> degli utenti di molte di queste organizzazioni \u00e8 di circa 35 anni, quindi i loro utenti hanno un rapporto stretto con la tecnologia<\/strong> e sono in grado di discernere facilmente alcune situazioni.<\/p>\nSe nella nostra organizzazione la maggior parte degli utenti non ha conoscenze tecniche e la media di et\u00e0 \u00e8 di 45 anni, la realt\u00e0 pu\u00f2 essere molto diversa. E il fatto di avere una percentuale inferiore di approvati non significa che stiamo facendo le cose male.<\/p>\n
Perch\u00e9 vogliamo confrontarci con altre organizzazioni?<\/strong><\/h2>\nSecondo l’analisi precedente, il Benchmarking non \u00e8 un parametro utile o rappresentativo per guidare i nostri piani di sensibilizzazione e non ci serve altro che per soddisfare una curiosit\u00e0<\/strong> su come stanno andando le campagne di altri.
\nDi fronte a ci\u00f2, non \u00e8 superfluo analizzare perch\u00e9 sorge questa necessit\u00e0 di confrontarci con gli altri e vedere come possiamo soddisfarla attraverso un approccio migliore.<\/p>\nDi solito, la motivazione per guardare un Benchmarking nasce perch\u00e9 vogliamo sapere se stiamo seguendo un buon percorso con il nostro programma di sensibilizzazione. Se stiamo ottenendo risultati accettabili, o se dobbiamo apportare aggiustamenti.<\/p>\n
E il punto principale da tenere a mente \u00e8 che non dovremmo stabilire i nostri obiettivi e traguardi guardando gli altri. La mia raccomandazione \u00e8 la seguente:<\/p>\n
Misuriamo il livello di esposizione<\/strong> che la nostra organizzazione ha di fronte all’ingegneria sociale utilizzando i metodi a nostra disposizione:<\/p>\n\n- Simulazioni di Phishing<\/strong><\/li>\n
- Simulazioni di Smishing<\/strong><\/li>\n
- Simulazioni di Ransomware<\/strong><\/li>\n
- Simulazioni di USB drop<\/strong><\/li>\n
- Esami<\/strong><\/li>\n
- Sondaggi<\/strong><\/li>\n<\/ul>\n
Facciamo un’analisi dei risultati e determiniamo la nostra linea base<\/strong>.
\nQui possiamo fare un passo oltre e non fermarci al numero o alla percentuale in s\u00e9 che risulta dalla nostra misurazione. Invece di lasciare detto che \u201cil 25% dei nostri utenti clicca su link di phishing\u201d, facciamo un passo avanti e pensiamo alle implicazioni che questo ha nella nostra organizzazione.<\/p>\nBasta pensare alle conseguenze di questa misurazione e dare un’occhiata pi\u00f9 manageriale<\/strong>: Cosa implica per la nostra organizzazione che questi clic avvengano in un incidente reale? Quali sono i costi che dovremo affrontare? Qual \u00e8 il valore delle informazioni che potrebbero essere compromesse?, ecc.<\/p>\nQuesto sguardo, applicato a tutti gli indicatori che possiamo ottenere dalle nostre misurazioni, ci permetter\u00e0 di esprimere il livello di rischio attuale utilizzando scale quantitative (preferibilmente in denaro) e qualitative.<\/p>\n
A partire da questa linea base possiamo stabilire nella nostra organizzazione in particolare<\/strong> qual \u00e8 il livello di rischio accettabile<\/strong> e lavorare internamente per raggiungerlo.<\/p>\nQuesto livello di rischio sar\u00e0 esclusivo della nostra organizzazione, non dovrebbe dipendere da ci\u00f2 che fanno gli altri.<\/p>\n
Le azioni di sensibilizzazione della nostra organizzazione sono quelle che porteranno il livello di rischio attuale al livello desiderato, e da l\u00ec potremo compiere azioni per mantenerlo nel tempo o migliorarlo ulteriormente<\/strong>, attraverso un processo di miglioramento continuo.<\/p>\nConsiderazioni finali<\/strong><\/h2>\nDi fronte al dubbio su quanto sia bene la nostra organizzazione in termini di livello umano, poco pu\u00f2 offrirci un confronto con il resto.
\nLe variabili che influenzano la risposta sono molte, e il numero che risulta da un Benchmarking risulta molto difficile da interpretare<\/strong>.<\/p>\nIl modo migliore per guidare i nostri piani di sensibilizzazione non \u00e8 guardare gli altri<\/em>, ma effettuare le nostre misurazioni e stabilire i nostri obiettivi e traguardi<\/strong>, tenendo conto della nostra realt\u00e0 organizzativa.<\/p>\n","protected":false},"excerpt":{"rendered":"Questo \u00e8 un articolo di opinione personale sull’uso del Benchmarking nella Security Awareness. Nei miei oltre 7 anni di lavoro in SMARTFENSE, mi sono spesso imbattuto in domande del tipo: […]<\/p>\n","protected":false},"author":2,"featured_media":8988,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[339],"tags":[504,457,993,871,929,556],"class_list":["post-22939","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-blog","tag-bec-it","tag-cybersicurezza","tag-delito-informatico-it","tag-fraude-del-ceo-it","tag-ingegneria-sociale","tag-truffa"],"acf":[],"yoast_head":" \n
Benchmarking nella Security Awareness - SMARTFENSE - Cyber Security Awareness<\/title>\n<meta name=\"description\" content=\"bec, cybersicurezza, delito inform\u00e1tico, fraude del CEO, ingegneria sociale, truffa - Questo \u00e8 un articolo di opinione personale sull'uso del Benchmarking nella Security Awareness. Nei miei oltre 7 anni di lavoro in SMARTFENSE, mi sono\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/smartfense.com\/it\/blog\/benchmarking-nella-security-awareness\/\" \/>\n<meta property=\"og:locale\" content=\"it_IT\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"Benchmarking nella Security Awareness - SMARTFENSE - Cyber Security Awareness\" \/>\n<meta property=\"og:description\" content=\"bec, cybersicurezza, delito inform\u00e1tico, fraude del CEO, ingegneria sociale, truffa - Questo \u00e8 un articolo di opinione personale sull'uso del Benchmarking nella Security Awareness. Nei miei oltre 7 anni di lavoro in SMARTFENSE, mi sono\" \/>\n<meta property=\"og:url\" content=\"https:\/\/smartfense.com\/it\/blog\/benchmarking-nella-security-awareness\/\" \/>\n<meta property=\"og:site_name\" content=\"SMARTFENSE - Cyber Security Awareness\" \/>\n<meta property=\"article:published_time\" content=\"2023-04-03T10:19:09+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2024-05-27T15:22:46+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/smartfense.com\/file\/2021\/05\/benchmarking-1.jpg\" \/>\n\t<meta property=\"og:image:width\" content=\"1200\" \/>\n\t<meta property=\"og:image:height\" content=\"630\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/jpeg\" \/>\n<meta name=\"author\" content=\"Nicol\u00e1s Bruna\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:label1\" content=\"Scritto da\" \/>\n\t<meta name=\"twitter:data1\" content=\"Nicol\u00e1s Bruna\" \/>\n\t<meta name=\"twitter:label2\" content=\"Tempo di lettura stimato\" \/>\n\t<meta name=\"twitter:data2\" content=\"8 minuti\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\\\/\\\/schema.org\",\"@graph\":[{\"@type\":\"Article\",\"@id\":\"https:\\\/\\\/smartfense.com\\\/it\\\/blog\\\/benchmarking-nella-security-awareness\\\/#article\",\"isPartOf\":{\"@id\":\"https:\\\/\\\/smartfense.com\\\/it\\\/blog\\\/benchmarking-nella-security-awareness\\\/\"},\"author\":{\"name\":\"Nicol\u00e1s Bruna\",\"@id\":\"https:\\\/\\\/smartfense.com\\\/it\\\/#\\\/schema\\\/person\\\/5494c12e79213c554fa449135589c24c\"},\"headline\":\"Benchmarking nella Security Awareness\",\"datePublished\":\"2023-04-03T10:19:09+00:00\",\"dateModified\":\"2024-05-27T15:22:46+00:00\",\"mainEntityOfPage\":{\"@id\":\"https:\\\/\\\/smartfense.com\\\/it\\\/blog\\\/benchmarking-nella-security-awareness\\\/\"},\"wordCount\":1436,\"commentCount\":0,\"publisher\":{\"@id\":\"https:\\\/\\\/smartfense.com\\\/it\\\/#organization\"},\"image\":{\"@id\":\"https:\\\/\\\/smartfense.com\\\/it\\\/blog\\\/benchmarking-nella-security-awareness\\\/#primaryimage\"},\"thumbnailUrl\":\"https:\\\/\\\/smartfense.com\\\/wp-content\\\/uploads\\\/2021\\\/05\\\/benchmarking-1.jpg\",\"keywords\":[\"bec\",\"cybersicurezza\",\"delito inform\u00e1tico\",\"fraude del CEO\",\"ingegneria sociale\",\"truffa\"],\"articleSection\":[\"Blog\"],\"inLanguage\":\"it-IT\",\"potentialAction\":[{\"@type\":\"CommentAction\",\"name\":\"Comment\",\"target\":[\"https:\\\/\\\/smartfense.com\\\/it\\\/blog\\\/benchmarking-nella-security-awareness\\\/#respond\"]}]},{\"@type\":\"WebPage\",\"@id\":\"https:\\\/\\\/smartfense.com\\\/it\\\/blog\\\/benchmarking-nella-security-awareness\\\/\",\"url\":\"https:\\\/\\\/smartfense.com\\\/it\\\/blog\\\/benchmarking-nella-security-awareness\\\/\",\"name\":\"Benchmarking nella Security Awareness - SMARTFENSE - Cyber Security Awareness\",\"isPartOf\":{\"@id\":\"https:\\\/\\\/smartfense.com\\\/it\\\/#website\"},\"primaryImageOfPage\":{\"@id\":\"https:\\\/\\\/smartfense.com\\\/it\\\/blog\\\/benchmarking-nella-security-awareness\\\/#primaryimage\"},\"image\":{\"@id\":\"https:\\\/\\\/smartfense.com\\\/it\\\/blog\\\/benchmarking-nella-security-awareness\\\/#primaryimage\"},\"thumbnailUrl\":\"https:\\\/\\\/smartfense.com\\\/wp-content\\\/uploads\\\/2021\\\/05\\\/benchmarking-1.jpg\",\"datePublished\":\"2023-04-03T10:19:09+00:00\",\"dateModified\":\"2024-05-27T15:22:46+00:00\",\"description\":\"bec, cybersicurezza, delito inform\u00e1tico, fraude del CEO, ingegneria sociale, truffa - Questo \u00e8 un articolo di opinione personale sull'uso del Benchmarking nella Security Awareness. Nei miei oltre 7 anni di lavoro in SMARTFENSE, mi sono\",\"breadcrumb\":{\"@id\":\"https:\\\/\\\/smartfense.com\\\/it\\\/blog\\\/benchmarking-nella-security-awareness\\\/#breadcrumb\"},\"inLanguage\":\"it-IT\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\\\/\\\/smartfense.com\\\/it\\\/blog\\\/benchmarking-nella-security-awareness\\\/\"]}]},{\"@type\":\"ImageObject\",\"inLanguage\":\"it-IT\",\"@id\":\"https:\\\/\\\/smartfense.com\\\/it\\\/blog\\\/benchmarking-nella-security-awareness\\\/#primaryimage\",\"url\":\"https:\\\/\\\/smartfense.com\\\/wp-content\\\/uploads\\\/2021\\\/05\\\/benchmarking-1.jpg\",\"contentUrl\":\"https:\\\/\\\/smartfense.com\\\/wp-content\\\/uploads\\\/2021\\\/05\\\/benchmarking-1.jpg\",\"width\":1200,\"height\":630},{\"@type\":\"BreadcrumbList\",\"@id\":\"https:\\\/\\\/smartfense.com\\\/it\\\/blog\\\/benchmarking-nella-security-awareness\\\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Portada\",\"item\":\"https:\\\/\\\/smartfense.com\\\/it\\\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"Benchmarking nella Security Awareness\"}]},{\"@type\":\"WebSite\",\"@id\":\"https:\\\/\\\/smartfense.com\\\/it\\\/#website\",\"url\":\"https:\\\/\\\/smartfense.com\\\/it\\\/\",\"name\":\"SMARTFENSE - Concienciaci\u00f3n en Ciberseguridad\",\"description\":\"\",\"publisher\":{\"@id\":\"https:\\\/\\\/smartfense.com\\\/it\\\/#organization\"},\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"https:\\\/\\\/smartfense.com\\\/it\\\/?s={search_term_string}\"},\"query-input\":{\"@type\":\"PropertyValueSpecification\",\"valueRequired\":true,\"valueName\":\"search_term_string\"}}],\"inLanguage\":\"it-IT\"},{\"@type\":\"Organization\",\"@id\":\"https:\\\/\\\/smartfense.com\\\/it\\\/#organization\",\"name\":\"SMARTFENSE\",\"url\":\"https:\\\/\\\/smartfense.com\\\/it\\\/\",\"logo\":{\"@type\":\"ImageObject\",\"inLanguage\":\"it-IT\",\"@id\":\"https:\\\/\\\/smartfense.com\\\/it\\\/#\\\/schema\\\/logo\\\/image\\\/\",\"url\":\"https:\\\/\\\/smartfense.com\\\/wp-content\\\/uploads\\\/2023\\\/08\\\/logo-smartfense-240x40-1.png\",\"contentUrl\":\"https:\\\/\\\/smartfense.com\\\/wp-content\\\/uploads\\\/2023\\\/08\\\/logo-smartfense-240x40-1.png\",\"width\":241,\"height\":40,\"caption\":\"SMARTFENSE\"},\"image\":{\"@id\":\"https:\\\/\\\/smartfense.com\\\/it\\\/#\\\/schema\\\/logo\\\/image\\\/\"}},{\"@type\":\"Person\",\"@id\":\"https:\\\/\\\/smartfense.com\\\/it\\\/#\\\/schema\\\/person\\\/5494c12e79213c554fa449135589c24c\",\"name\":\"Nicol\u00e1s Bruna\",\"image\":{\"@type\":\"ImageObject\",\"inLanguage\":\"it-IT\",\"@id\":\"https:\\\/\\\/secure.gravatar.com\\\/avatar\\\/b03096bf4c3dd886cfcffd7415eadf6f80d2c8126188409e7d4d1d1b6b911fcb?s=96&d=mm&r=g\",\"url\":\"https:\\\/\\\/secure.gravatar.com\\\/avatar\\\/b03096bf4c3dd886cfcffd7415eadf6f80d2c8126188409e7d4d1d1b6b911fcb?s=96&d=mm&r=g\",\"contentUrl\":\"https:\\\/\\\/secure.gravatar.com\\\/avatar\\\/b03096bf4c3dd886cfcffd7415eadf6f80d2c8126188409e7d4d1d1b6b911fcb?s=96&d=mm&r=g\",\"caption\":\"Nicol\u00e1s Bruna\"},\"description\":\"Product Manager de SMARTFENSE. Su misi\u00f3n en la empresa es mejorar la plataforma d\u00eda a d\u00eda y evangelizar sobre la importancia de la concientizaci\u00f3n. Ha escrito dos whitepapers y m\u00e1s de 150 art\u00edculos sobre gesti\u00f3n del riesgo de la ingenier\u00eda social, creaci\u00f3n de culturas seguras y cumplimiento de normativas. Tambi\u00e9n es uno de los autores de la Gu\u00eda de Ransomware de OWASP y el Calculador de costos de Ransomware, entre otros recursos gratuitos.\",\"sameAs\":[\"https:\\\/\\\/www.linkedin.com\\\/in\\\/nicolasbruna\\\/\"],\"url\":\"https:\\\/\\\/smartfense.com\\\/it\\\/author\\\/nicolas\\\/\"}]}<\/script>\n ","yoast_head_json":{"title":"Benchmarking nella Security Awareness - SMARTFENSE - Cyber Security Awareness","description":"bec, cybersicurezza, delito inform\u00e1tico, fraude del CEO, ingegneria sociale, truffa - Questo \u00e8 un articolo di opinione personale sull'uso del Benchmarking nella Security Awareness. Nei miei oltre 7 anni di lavoro in SMARTFENSE, mi sono","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/smartfense.com\/it\/blog\/benchmarking-nella-security-awareness\/","og_locale":"it_IT","og_type":"article","og_title":"Benchmarking nella Security Awareness - SMARTFENSE - Cyber Security Awareness","og_description":"bec, cybersicurezza, delito inform\u00e1tico, fraude del CEO, ingegneria sociale, truffa - Questo \u00e8 un articolo di opinione personale sull'uso del Benchmarking nella Security Awareness. Nei miei oltre 7 anni di lavoro in SMARTFENSE, mi sono","og_url":"https:\/\/smartfense.com\/it\/blog\/benchmarking-nella-security-awareness\/","og_site_name":"SMARTFENSE - Cyber Security Awareness","article_published_time":"2023-04-03T10:19:09+00:00","article_modified_time":"2024-05-27T15:22:46+00:00","og_image":[{"width":1200,"height":630,"url":"https:\/\/smartfense.com\/file\/2021\/05\/benchmarking-1.jpg","type":"image\/jpeg"}],"author":"Nicol\u00e1s Bruna","twitter_card":"summary_large_image","twitter_misc":{"Scritto da":"Nicol\u00e1s Bruna","Tempo di lettura stimato":"8 minuti"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/smartfense.com\/it\/blog\/benchmarking-nella-security-awareness\/#article","isPartOf":{"@id":"https:\/\/smartfense.com\/it\/blog\/benchmarking-nella-security-awareness\/"},"author":{"name":"Nicol\u00e1s Bruna","@id":"https:\/\/smartfense.com\/it\/#\/schema\/person\/5494c12e79213c554fa449135589c24c"},"headline":"Benchmarking nella Security Awareness","datePublished":"2023-04-03T10:19:09+00:00","dateModified":"2024-05-27T15:22:46+00:00","mainEntityOfPage":{"@id":"https:\/\/smartfense.com\/it\/blog\/benchmarking-nella-security-awareness\/"},"wordCount":1436,"commentCount":0,"publisher":{"@id":"https:\/\/smartfense.com\/it\/#organization"},"image":{"@id":"https:\/\/smartfense.com\/it\/blog\/benchmarking-nella-security-awareness\/#primaryimage"},"thumbnailUrl":"https:\/\/smartfense.com\/file\/2021\/05\/benchmarking-1.jpg","keywords":["bec","cybersicurezza","delito inform\u00e1tico","fraude del CEO","ingegneria sociale","truffa"],"articleSection":["Blog"],"inLanguage":"it-IT","potentialAction":[{"@type":"CommentAction","name":"Comment","target":["https:\/\/smartfense.com\/it\/blog\/benchmarking-nella-security-awareness\/#respond"]}]},{"@type":"WebPage","@id":"https:\/\/smartfense.com\/it\/blog\/benchmarking-nella-security-awareness\/","url":"https:\/\/smartfense.com\/it\/blog\/benchmarking-nella-security-awareness\/","name":"Benchmarking nella Security Awareness - SMARTFENSE - Cyber Security Awareness","isPartOf":{"@id":"https:\/\/smartfense.com\/it\/#website"},"primaryImageOfPage":{"@id":"https:\/\/smartfense.com\/it\/blog\/benchmarking-nella-security-awareness\/#primaryimage"},"image":{"@id":"https:\/\/smartfense.com\/it\/blog\/benchmarking-nella-security-awareness\/#primaryimage"},"thumbnailUrl":"https:\/\/smartfense.com\/file\/2021\/05\/benchmarking-1.jpg","datePublished":"2023-04-03T10:19:09+00:00","dateModified":"2024-05-27T15:22:46+00:00","description":"bec, cybersicurezza, delito inform\u00e1tico, fraude del CEO, ingegneria sociale, truffa - Questo \u00e8 un articolo di opinione personale sull'uso del Benchmarking nella Security Awareness. Nei miei oltre 7 anni di lavoro in SMARTFENSE, mi sono","breadcrumb":{"@id":"https:\/\/smartfense.com\/it\/blog\/benchmarking-nella-security-awareness\/#breadcrumb"},"inLanguage":"it-IT","potentialAction":[{"@type":"ReadAction","target":["https:\/\/smartfense.com\/it\/blog\/benchmarking-nella-security-awareness\/"]}]},{"@type":"ImageObject","inLanguage":"it-IT","@id":"https:\/\/smartfense.com\/it\/blog\/benchmarking-nella-security-awareness\/#primaryimage","url":"https:\/\/smartfense.com\/file\/2021\/05\/benchmarking-1.jpg","contentUrl":"https:\/\/smartfense.com\/file\/2021\/05\/benchmarking-1.jpg","width":1200,"height":630},{"@type":"BreadcrumbList","@id":"https:\/\/smartfense.com\/it\/blog\/benchmarking-nella-security-awareness\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Portada","item":"https:\/\/smartfense.com\/it\/"},{"@type":"ListItem","position":2,"name":"Benchmarking nella Security Awareness"}]},{"@type":"WebSite","@id":"https:\/\/smartfense.com\/it\/#website","url":"https:\/\/smartfense.com\/it\/","name":"SMARTFENSE - Concienciaci\u00f3n en Ciberseguridad","description":"","publisher":{"@id":"https:\/\/smartfense.com\/it\/#organization"},"potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/smartfense.com\/it\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"it-IT"},{"@type":"Organization","@id":"https:\/\/smartfense.com\/it\/#organization","name":"SMARTFENSE","url":"https:\/\/smartfense.com\/it\/","logo":{"@type":"ImageObject","inLanguage":"it-IT","@id":"https:\/\/smartfense.com\/it\/#\/schema\/logo\/image\/","url":"https:\/\/smartfense.com\/file\/2023\/08\/logo-smartfense-240x40-1.png","contentUrl":"https:\/\/smartfense.com\/file\/2023\/08\/logo-smartfense-240x40-1.png","width":241,"height":40,"caption":"SMARTFENSE"},"image":{"@id":"https:\/\/smartfense.com\/it\/#\/schema\/logo\/image\/"}},{"@type":"Person","@id":"https:\/\/smartfense.com\/it\/#\/schema\/person\/5494c12e79213c554fa449135589c24c","name":"Nicol\u00e1s Bruna","image":{"@type":"ImageObject","inLanguage":"it-IT","@id":"https:\/\/secure.gravatar.com\/avatar\/b03096bf4c3dd886cfcffd7415eadf6f80d2c8126188409e7d4d1d1b6b911fcb?s=96&d=mm&r=g","url":"https:\/\/secure.gravatar.com\/avatar\/b03096bf4c3dd886cfcffd7415eadf6f80d2c8126188409e7d4d1d1b6b911fcb?s=96&d=mm&r=g","contentUrl":"https:\/\/secure.gravatar.com\/avatar\/b03096bf4c3dd886cfcffd7415eadf6f80d2c8126188409e7d4d1d1b6b911fcb?s=96&d=mm&r=g","caption":"Nicol\u00e1s Bruna"},"description":"Product Manager de SMARTFENSE. Su misi\u00f3n en la empresa es mejorar la plataforma d\u00eda a d\u00eda y evangelizar sobre la importancia de la concientizaci\u00f3n. Ha escrito dos whitepapers y m\u00e1s de 150 art\u00edculos sobre gesti\u00f3n del riesgo de la ingenier\u00eda social, creaci\u00f3n de culturas seguras y cumplimiento de normativas. Tambi\u00e9n es uno de los autores de la Gu\u00eda de Ransomware de OWASP y el Calculador de costos de Ransomware, entre otros recursos gratuitos.","sameAs":["https:\/\/www.linkedin.com\/in\/nicolasbruna\/"],"url":"https:\/\/smartfense.com\/it\/author\/nicolas\/"}]}},"_links":{"self":[{"href":"https:\/\/smartfense.com\/it\/wp-json\/wp\/v2\/posts\/22939","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/smartfense.com\/it\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/smartfense.com\/it\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/smartfense.com\/it\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/smartfense.com\/it\/wp-json\/wp\/v2\/comments?post=22939"}],"version-history":[{"count":2,"href":"https:\/\/smartfense.com\/it\/wp-json\/wp\/v2\/posts\/22939\/revisions"}],"predecessor-version":[{"id":22941,"href":"https:\/\/smartfense.com\/it\/wp-json\/wp\/v2\/posts\/22939\/revisions\/22941"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/smartfense.com\/it\/wp-json\/wp\/v2\/media\/8988"}],"wp:attachment":[{"href":"https:\/\/smartfense.com\/it\/wp-json\/wp\/v2\/media?parent=22939"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/smartfense.com\/it\/wp-json\/wp\/v2\/categories?post=22939"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/smartfense.com\/it\/wp-json\/wp\/v2\/tags?post=22939"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}
\nDi solito avremo metriche come:<\/p>\n
Supponiamo ora due organizzazioni:<\/p>\n
Organizzazione 1<\/strong><\/p>\n Organizzazione 2<\/strong><\/p>\n In casi come questo, se il nostro fornitore non lo chiarisce, possiamo avere risultati con interpretazioni molto diverse:<\/p>\n Analizziamo il Benchmarking dei video completati. Per farlo, sommiamo il numero di utenti che completano i video e lo dividiamo per il totale: Organizzazione 2<\/strong>: 40 video completati<\/p>\n Totale utenti assegnati tra entrambe le organizzazioni<\/strong>: 20.050<\/p>\n Media degli utenti che completano i video<\/strong>: 25,13%<\/p>\n Un altro calcolo possibile, tuttavia, \u00e8 concentrarsi sulle proporzioni e indipendentemente dal numero di utenti, per esempio: Organizzazione 2<\/strong>: 80% degli utenti completa i video<\/p>\n Media degli utenti che completano i video<\/strong>: 52,5%<\/p>\n Come vediamo, a seconda dell’approccio seguito per calcolare il Benchmarking, i risultati possono variare notevolmente.<\/p>\n Un modo che si utilizza spesso per ridurre un po’ il bias che pu\u00f2 avere un esempio come il precedente \u00e8 confrontare la nostra organizzazione con altre dello stesso settore e con un numero simile di dipendenti<\/strong>. E infatti, nella Security Awareness<\/strong>, il settore e il numero di utenti non sono filtri sufficienti per confrontarci con un’altra organizzazione<\/strong>.<\/p>\n Ricordiamo che con i nostri programmi di awareness possiamo avere obiettivi diversi<\/strong> anche in organizzazioni simili:<\/p>\n Secondo questi obiettivi, il modo di gestire il programma di consapevolezza<\/strong> pu\u00f2 variare in fattori come:<\/p>\n E non solo questo. Ricordiamo che stiamo trattando con persone<\/strong>, e il risultato delle campagne di sensibilizzazione pu\u00f2 essere influenzato da alcuni fattori generali come:<\/p>\n Inoltre, il risultato delle campagne pu\u00f2 essere determinato anche dalla realt\u00e0 che gli utenti vivono in quella organizzazione<\/strong>:<\/p>\n E anche da questioni sociali e politiche<\/strong> della citt\u00e0 e del paese in cui vive ciascuno. Supponiamo di aver applicato un filtro per ottenere informazioni di Benchmarking confrontando la nostra organizzazione con un’altra dello stesso settore e con un numero simile di utenti.<\/p>\n Forse alcune delle organizzazioni con cui ci confrontiamo utilizzano contenuti di livello semplice, facili da rilevare per l’utente, con l’unico obiettivo di rispettare un certo numero di simulazioni annuali<\/strong>. Un numero freddo<\/strong> come \u201cil 20% degli utenti delle organizzazioni del tuo stesso settore e dimensione apre allegati non richiesti\u201d in realt\u00e0 ci fornisce molto poco valore per capire la realt\u00e0 attuale nella nostra organizzazione<\/strong> e ancora meno per stabilire obiettivi relativi al nostro programma di sensibilizzazione.<\/p>\n Forse alcune delle organizzazioni con cui ci confrontiamo hanno un numero maggiore di utenti tecnici<\/strong> che trovano facile superare esami su determinati argomenti. Se nella nostra organizzazione la maggior parte degli utenti non ha conoscenze tecniche e la media di et\u00e0 \u00e8 di 45 anni, la realt\u00e0 pu\u00f2 essere molto diversa. E il fatto di avere una percentuale inferiore di approvati non significa che stiamo facendo le cose male.<\/p>\n Secondo l’analisi precedente, il Benchmarking non \u00e8 un parametro utile o rappresentativo per guidare i nostri piani di sensibilizzazione e non ci serve altro che per soddisfare una curiosit\u00e0<\/strong> su come stanno andando le campagne di altri. Di solito, la motivazione per guardare un Benchmarking nasce perch\u00e9 vogliamo sapere se stiamo seguendo un buon percorso con il nostro programma di sensibilizzazione. Se stiamo ottenendo risultati accettabili, o se dobbiamo apportare aggiustamenti.<\/p>\n E il punto principale da tenere a mente \u00e8 che non dovremmo stabilire i nostri obiettivi e traguardi guardando gli altri. La mia raccomandazione \u00e8 la seguente:<\/p>\n Misuriamo il livello di esposizione<\/strong> che la nostra organizzazione ha di fronte all’ingegneria sociale utilizzando i metodi a nostra disposizione:<\/p>\n Facciamo un’analisi dei risultati e determiniamo la nostra linea base<\/strong>. Basta pensare alle conseguenze di questa misurazione e dare un’occhiata pi\u00f9 manageriale<\/strong>: Cosa implica per la nostra organizzazione che questi clic avvengano in un incidente reale? Quali sono i costi che dovremo affrontare? Qual \u00e8 il valore delle informazioni che potrebbero essere compromesse?, ecc.<\/p>\n Questo sguardo, applicato a tutti gli indicatori che possiamo ottenere dalle nostre misurazioni, ci permetter\u00e0 di esprimere il livello di rischio attuale utilizzando scale quantitative (preferibilmente in denaro) e qualitative.<\/p>\n A partire da questa linea base possiamo stabilire nella nostra organizzazione in particolare<\/strong> qual \u00e8 il livello di rischio accettabile<\/strong> e lavorare internamente per raggiungerlo.<\/p>\n Questo livello di rischio sar\u00e0 esclusivo della nostra organizzazione, non dovrebbe dipendere da ci\u00f2 che fanno gli altri.<\/p>\n Le azioni di sensibilizzazione della nostra organizzazione sono quelle che porteranno il livello di rischio attuale al livello desiderato, e da l\u00ec potremo compiere azioni per mantenerlo nel tempo o migliorarlo ulteriormente<\/strong>, attraverso un processo di miglioramento continuo.<\/p>\n Di fronte al dubbio su quanto sia bene la nostra organizzazione in termini di livello umano, poco pu\u00f2 offrirci un confronto con il resto. Il modo migliore per guidare i nostri piani di sensibilizzazione non \u00e8 guardare gli altri<\/em>, ma effettuare le nostre misurazioni e stabilire i nostri obiettivi e traguardi<\/strong>, tenendo conto della nostra realt\u00e0 organizzativa.<\/p>\n","protected":false},"excerpt":{"rendered":" Questo \u00e8 un articolo di opinione personale sull’uso del Benchmarking nella Security Awareness. Nei miei oltre 7 anni di lavoro in SMARTFENSE, mi sono spesso imbattuto in domande del tipo: […]<\/p>\n","protected":false},"author":2,"featured_media":8988,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[339],"tags":[504,457,993,871,929,556],"class_list":["post-22939","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-blog","tag-bec-it","tag-cybersicurezza","tag-delito-informatico-it","tag-fraude-del-ceo-it","tag-ingegneria-sociale","tag-truffa"],"acf":[],"yoast_head":" \n\n
\n
Cosa ci indica il Benchmarking qui?<\/strong><\/h3>\n
Media delle interazioni<\/strong><\/h4>\n
\nOrganizzazione 1<\/strong>: 5.000 video completati<\/p>\nMedia delle percentuali<\/strong><\/h4>\n
\nOrganizzazione 1<\/strong>: 25% degli utenti completa i video<\/p>\n<\/p>\nFiltraggio per settore e numero di utenti<\/strong><\/h3>\n
\nQuesto sembra essere una buona idea, ma quando si parla di consapevolezza, non lo \u00e8 tanto. Pi\u00f9 sopra dicevamo che \u201c\u00e8 difficile trovare un’organizzazione sufficientemente simile alla nostra affinch\u00e9 il confronto abbia senso.<\/em>\u201d<\/p>\n\n
\n
\n
\n
\nInfine, e non meno importante, con la sensibilizzazione di solito cerchiamo di gestire il rischio dell’ingegneria sociale<\/strong>. E il livello di rischio accettabile per la nostra organizzazione non deve essere il livello accettabile per gli altri<\/strong>. Quindi, in termini di gestione dei rischi, i risultati che per un’organizzazione possono essere buoni, per un’altra possono essere inaccettabili.<\/p>\nAlcuni esempi specifici<\/strong><\/h3>\n
A cosa ci serve sapere la percentuale media di apertura degli allegati nella nostra industria?<\/strong><\/h4>\n
\nForse alcune di queste organizzazioni non completano le simulazioni con azioni di sensibilizzazione<\/strong> come l’invio di video e moduli interattivi, e i loro utenti non sono motivati con tecniche di gamification per assimilare meglio i contenuti e migliorare le loro abitudini.<\/p>\nA cosa ci serve sapere la percentuale media di approvazione degli esami nella nostra industria?<\/strong><\/h4>\n
\nInoltre, la media di et\u00e0<\/strong> degli utenti di molte di queste organizzazioni \u00e8 di circa 35 anni, quindi i loro utenti hanno un rapporto stretto con la tecnologia<\/strong> e sono in grado di discernere facilmente alcune situazioni.<\/p>\nPerch\u00e9 vogliamo confrontarci con altre organizzazioni?<\/strong><\/h2>\n
\nDi fronte a ci\u00f2, non \u00e8 superfluo analizzare perch\u00e9 sorge questa necessit\u00e0 di confrontarci con gli altri e vedere come possiamo soddisfarla attraverso un approccio migliore.<\/p>\n\n
\nQui possiamo fare un passo oltre e non fermarci al numero o alla percentuale in s\u00e9 che risulta dalla nostra misurazione. Invece di lasciare detto che \u201cil 25% dei nostri utenti clicca su link di phishing\u201d, facciamo un passo avanti e pensiamo alle implicazioni che questo ha nella nostra organizzazione.<\/p>\nConsiderazioni finali<\/strong><\/h2>\n
\nLe variabili che influenzano la risposta sono molte, e il numero che risulta da un Benchmarking risulta molto difficile da interpretare<\/strong>.<\/p>\n