I trend di security awareness nascono dalla necessità di sviluppare una solida cultura della sicurezza nel contesto aziendale: infatti, più della metà delle imprese (il 52%, secondo Kaspersky) è consapevole di quanto gli employee rappresentino l’anello debole della propria security. Tutto ciò determina una continua crescita degli investimenti in attività di awareness, una crescita che potrebbe addirittura portare a 9 miliardi di dollari di spesa entro il 2027 (via: SwissCyberForum).
Quali sono gli attuali trend della cybersecurity
Il Rapporto Clusit 2022 fa luce sui principali trend della cybersecurity. Durante lo scorso anno, gli attacchi informatici sono cresciuti sia a livello numerico (+10%) che di “qualità” dell’evento, con ripercussioni importanti sugli impatti economici e di immagine. Diventa così sempre più urgente l’investimento in security awareness, poiché le aziende devono trasformare il potenziale “anello debole” della catena nella prima linea di difesa.
Tra i trend della cybersecurity, il malware resta la principale tecnica di attacco con una crescita del 9,7%, mentre il phishing e il social engineering calano del 32,1% pur mantenendo una posizione molto alta in termini assoluti: al momento, sono alla base del 10% di tutti gli attacchi informatici. Come si vedrà successivamente, entrambe le metodologie di attacco possono essere mitigate da un’efficace security awareness.
In crescita molto significativa, anche se con un legame meno pronunciato con l’awareness, è lo sfruttamento delle vulnerabilità: il +60% rilevato dal Rapporto Clusit posiziona questa tecnica di attacco al terzo posto assoluto e disegna un importante trend della cybersecurity del 2022.
Nessuna novità di rilievo, invece, per quanto concerne il fine degli attacchi: il cybercrime resta la categoria principale, con un passaggio dall’81% all’86% del totale, seguita a grande distanza dallo spionaggio, che si posiziona all’11%, e dall’Information Warfare al 2%.
Security awareness efficace: il ruolo dell’engagement
Posta la centralità del tema, è fondamentale che le aziende adottino metodologie e strumenti di security awareness efficaci e in grado di migliorare la security posture aziendale.
Al posto della formazione in aula o dei messaggi e-mail che non necessariamente vengono letti, l’azienda si deve concentrare su metodi e strumenti moderni che siano profondamente engaging: la security awareness deve coinvolgere il destinatario e risultare un tema affascinante e piacevole da imparare. Sotto questo profilo, non dimentichiamo inoltre un grande vantaggio: la security riguarda da vicino anche la sfera personale, non solo quella professionale dei singoli individui. Per i migliori risultati è, quindi, auspicabile miscelare l’approfondimento teorico con l’attività pratica e con una valutazione continua dei comportamenti sia a livello preventivo che reattivo di fronte a una minaccia. Non è un caso che i principali trend della security awareness vadano in questa direzione.
Simulazioni sempre più avanzate e intelligenti tra i trend di security awareness
La security awareness è un processo continuo e sarebbe un errore confinarla a lezioni teoriche, qualche manuale e un insieme di test. Una caratteristica centrale delle piattaforme moderne è la simulazione: partendo dallo studio di casi reali, il sistema può adottare i più pericolosi vettori d’attacco (ransomware, phishing, media removibili, vishing, ecc.) e prendere di mira tutti gli employee o gruppi selezionati, monitorando in modo puntuale il loro comportamento di fronte all’attacco simulato.
Tutto ciò confluisce solitamente in una valutazione di vulnerabilità dello specifico employee, cui far seguire una formazione personalizzata e, soprattutto, un nuovo attacco a distanza di tempo basato su un design diverso ma logiche analoghe, così da valutare in modo automatico i progressi del singolo individuo e della posture generale dell’azienda. L’efficacia di questa metodologia dipende proprio dal ciclo continuo di education, test e misurazione, che secondo le indicazioni di alcuni vendor potrebbe ridurre l’impatto dei rischi cyber fino al 90% in pochi mesi.
Training personalizzato e automatizzato
Un altro trend di security awareness riguarda la necessità di personalizzare i percorsi di apprendimento, dal momento che le competenze sono profondamente diverse da una persona all’altra. Una piattaforma di e-learning con corsi da seguire e test da affrontare non è di per sé sufficiente allo scopo. La personalizzazione dell’esperienza può essere determinata, in modo peraltro piuttosto semplice, dal ruolo, dall’esperienza, ma anche dal tipo di dato e di informazioni con cui la persona viene a contatto durante l’attività di tutti i giorni: dal profilo di rischio, in pratica. È possibile poi impostare un percorso di training personalizzato in funzione delle competenze (previa attività di assessment continuo) ma anche, come riportato nel paragrafo precedente, basato sull’analisi dei comportamenti concreti. L’ipotesi migliore è che la personalizzazione del percorso dipenda da una miscela di fattori: ruolo, profilo di rischio, esito dei test, competenze, training già svolto e comportamento di fronte a minacce varie.
Security Gamification, per il massimo livello di engagement
Il rapporto tra security e gamification può essere molto stretto. Di per sé, infatti, il tema della sicurezza è affascinante, legato a doppia mandata all’attualità, riguarda anche argomenti non tecnici come il social engineering e le relative leve psicologiche: di per sé, è un argomento engaging per chi deve apprenderne i segreti. Se a questo aggiungiamo contenuti realizzati ad hoc (come brevi pillole video d’impatto), un sistema di simulazione, l’analisi dei dati per il miglioramento continuo e l’utilizzo di tecniche di game design, si ottiene un circolo virtuoso in cui a beneficiare è sia il singolo destinatario del programma sia l’azienda in sé. Lo stesso Rapporto Clusit 2022 afferma che le più efficaci attività di security awareness, oltre ad essere frequenti e continue, sono quelle interattive, che coinvolgono i partecipanti in un percorso di auto-apprendimento continuo.
Nella fattispecie, una security gamification efficace può assumere diverse sembianze: può essere impiegata per l’assessment, strutturato come una sorta di percorso a punti con tanto di classifica, badge, riconoscimenti e obiettivi, ma in generale può pervadere tutto il percorso formativo, che comprende un mix di contenuti didattici, test personalizzati, simulazioni e comportamenti quotidiani tramite i quali raggiungere gli obiettivi e i “premi” di cui sopra. In questo modo si ottiene il risultato migliore: facendo leva sul desiderio umano di raggiungere un obiettivo, o più semplicemente di gareggiare e di vincere, si massimizza il livello di coinvolgimento rispetto al tema della sicurezza assicurando quel giusto mix di teoria, pratica e motivazione che può far vincere ogni sfida.
Prediligere il micro-apprendimento
Infine, tra i trend di security awareness, o meglio delle attività rivolte alla security awareness, c’è il micro-apprendimento, che peraltro è piuttosto consolidato. Tutto ciò si spiega facilmente, poiché la cultura della sicurezza non va studiata ma assimilata. Lunghe sessioni di formazione in aula o di fronte a un monitor non sono adatte perché non suscitano quel livello di coinvolgimento che è necessario allo scopo. Il rischio è che la noia prenda il sopravvento e renda un argomento interessante come la sicurezza informatica un obbligo mal tollerato. Meglio tante brevi sessioni e contenuti on-demand che corsi lunghi e approfonditi che potrebbero essere percepiti come sottrazioni di tempo ad attività di maggior valore.
