Categorie: Cyber Security

I trend di security awareness nascono dalla necessità di sviluppare una solida cultura della sicurezza nel contesto aziendale: infatti, più della metà delle imprese (il 52%, secondo Kaspersky) è perfettamente consapevole del fatto che siano gli employee l’anello debole della propria security. Tutto ciò determina una continua crescita degli investimenti in attività di awareness, una crescita che potrebbe addirittura portare a 9 miliardi di dollari di spesa entro il 2027 (via: SwissCyberForum).

Posta la centralità del tema, è fondamentale che le aziende adottino metodologie e strumenti di security awareness efficaci e in grado di migliorare la security posture aziendale. Al posto della formazione in aula o dei messaggi e-mail che non necessariamente vengono letti, l’azienda si deve concentrare su metodi e strumenti moderni che siano profondamente engaging: la security awareness deve coinvolgere il destinatario e risultare un tema affascinante e piacevole da imparare. Sotto questo profilo, non dimentichiamo inoltre un grande vantaggio: la security riguarda da vicino anche la sfera personale, non solo quella professionale dei singoli individui. Per i migliori risultati è, quindi, auspicabile miscelare l’approfondimento teorico con l’attività pratica e con una valutazione continua dei comportamenti sia a livello preventivo che reattivo di fronte a una minaccia. Non è un caso che i principali trend della security awareness vadano in questa direzione.

 

Simulazioni sempre più avanzate e intelligenti: uno dei trend di security awareness

La security awareness è un processo continuo e sarebbe un errore confinarla a lezioni teoriche, qualche manuale e un insieme di test. Una caratteristica centrale delle piattaforme moderne è la simulazione: partendo dallo studio di casi reali, il sistema può adottare i più pericolosi vettori d’attacco (ransomware, phishing, media removibili, vishing, ecc.) e prendere di mira tutti gli employee o gruppi selezionati, monitorando in modo puntuale il loro comportamento di fronte all’attacco simulato. Tutto ciò confluisce solitamente in una valutazione di vulnerabilità dello specifico employee, cui far seguire una formazione personalizzata e, soprattutto, un nuovo attacco a distanza di tempo basato su un design diverso ma logiche analoghe, così da valutare in modo automatico i progressi del singolo individuo e della posture generale dell’azienda. L’efficacia di questa metodologia dipende proprio dal ciclo continuo di education, test e misurazione, che secondo le indicazioni di alcuni vendor potrebbe ridurre l’impatto dei rischi cyber fino al 90% in pochi mesi.

 

Training personalizzato e automatizzato

Un altro trend di security awareness riguarda la necessità di personalizzare i percorsi di apprendimento, dal momento che le competenze sono profondamente diverse da una persona all’altra. Una piattaforma di e-learning con corsi da seguire e test da affrontare non è di per sé sufficiente allo scopo. La personalizzazione dell’esperienza può essere determinata, in modo peraltro piuttosto semplice, dal ruolo, dall’esperienza, ma anche dal tipo di dato e di informazioni con cui la persona viene a contatto durante l’attività di tutti i giorni: dal profilo di rischio, in pratica. È possibile poi impostare un percorso di training personalizzato in funzione delle competenze (previa attività di assessment continuo) ma anche, come riportato nel paragrafo precedente, basato sull’analisi dei comportamenti concreti. L’ipotesi migliore è che la personalizzazione del percorso dipenda da una miscela di fattori: ruolo, profilo di rischio, esito dei test, competenze, training già svolto e comportamento di fronte a minacce varie.

 

Gamification, per il massimo livello di engagement

Tra i trend della security awareness c’è senza dubbio la gamification. Di per sé, il tema della sicurezza è affascinante, legato a doppia mandata all’attualità, riguarda anche argomenti non tecnici come il social engineering e le relative leve psicologiche: di per sé, è un argomento engaging. Ma se a questo aggiungiamo contenuti realizzati ad hoc (come brevi pillole video d’impatto), un sistema di simulazione, l’analisi dei dati per il miglioramento continuo e l’utilizzo di tecniche di game design, si ottiene un circolo virtuoso in cui a beneficiare è sia il singolo destinatario del programma sia l’azienda in sé.

Nella fattispecie, gamification può assumere diverse sembianze: può essere impiegata per l’assessment, strutturato come una sorta di percorso a punti con tanto di classifica, badge, riconoscimenti e obiettivi, ma in generale può pervadere tutto il percorso formativo, che comprende un mix di contenuti didattici, test personalizzati, simulazioni e comportamenti quotidiani tramite i quali raggiungere gli obiettivi e i “premi” di cui sopra. In questo modo si ottiene il risultato migliore: facendo leva sul desiderio umano di raggiungere un obiettivo, o più semplicemente di gareggiare e di vincere, si massimizza il livello di coinvolgimento rispetto al tema della sicurezza assicurando quel giusto mix di teoria, pratica e motivazione che può far vincere ogni sfida.

 

Prediligere il micro-apprendimento

Infine, tra i trend di security awareness, o meglio delle attività rivolte alla security awareness, c’è il micro-apprendimento, che peraltro è piuttosto consolidato. Tutto ciò si spiega facilmente, poiché la cultura della sicurezza non va studiata ma assimilata. Lunghe sessioni di formazione in aula o di fronte a un monitor non sono adatte perché non suscitano quel livello di coinvolgimento che è necessario allo scopo. Il rischio è che la noia prenda il sopravvento e renda un argomento interessante come la sicurezza informatica un obbligo mal tollerato. Meglio tante brevi sessioni e contenuti on-demand che corsi lunghi e approfonditi che potrebbero essere percepiti come sottrazioni di tempo ad attività di maggior valore.

New call-to-action