Immagina questo: come parte di un esercizio per insegnare la consapevolezza della sicurezza, i dipendenti entrano in una stanza. Una vera e propria “stanza di fuga” per la sicurezza operativa fisica, che a prima vista sembra un normale ufficio. Ma man mano che le persone guardano più da vicino, interpretando il ruolo di ingegneri sociali criminali che hanno fatto irruzione nell'edificio, iniziano a individuare informazioni che possono utilizzare per scopi nefasti.
Ad esempio, c'è una password in un cestino. E c'è una riunione in videoconferenza rimasta aperta. Intorno ai partecipanti ci sono indizi che potrebbero aiutarli a sfruttare l'attività. La speranza è che questa esperienza li aiuti a vedere attraverso gli occhi di un criminale e faccia loro comprendere l’importanza della sicurezza fisica. Una volta terminato, l'obiettivo è far ricordare loro la necessità di mantenere cose come lavagne pulite, laptop chiusi a chiave e documenti nascosti o distrutti per proteggere l'azienda.
Questo è il tipo di formazione alla consapevolezza della sicurezza che Kim Burton, responsabile della fiducia e della conformità di Tessian, ha utilizzato per assicurarsi che la formazione lasciasse il segno sui dipendenti.
Una formazione di sensibilizzazione efficace è ancora disperatamente necessaria poiché l’errore umano è responsabile di molte violazioni ed eventi di perdita di dati. In effetti, il più recente Rapporto sulle indagini sulla violazione dei dati di Verizon ha rilevato che il 74% delle violazioni coinvolgeva l’elemento umano, compresi attacchi di ingegneria sociale, errori o usi impropri.
I dati rivelano inoltre che molte aziende non riescono ancora a fornire formazione di sensibilizzazione. Nuovo dati da Hornetsecurity ha rilevato che il 33% delle aziende non fornisce alcuna formazione sulla consapevolezza della sicurezza informatica agli utenti che lavorano in remoto, un accordo comune in un mondo post-COVID. E le organizzazioni che forniscono formazione di sensibilizzazione, sia ai dipendenti in sede che a quelli remoti, spesso la amministrano solo una volta all’anno. Ciò è lungi dall’essere efficace, secondo Lisa Plaggemier, direttore esecutivo della National Cyber Security Alliance, che ha una lunga storia nello sviluppo e nella gestione di programmi di sensibilizzazione sulla sicurezza.
È tempo, dice, che le organizzazioni si uniscano quando si tratta di una consapevolezza effettiva.
“Breve ma frequente; basta con queste sciocchezze che si verificano una volta all’anno”, afferma.
Vai oltre la conformità
Ma una maggiore frequenza è solo uno dei tanti modi in cui la moderna formazione sulla consapevolezza della sicurezza deve migliorare. In un panorama delle minacce in continua evoluzione, come si presenta una formazione efficace sulla consapevolezza della sicurezza?
"Nella National Cybersecurity Alliance, molti dei comportamenti che cerchiamo di influenzare sono gli stessi, quindi i consigli sono gli stessi (usare l'MFA, segnalare il phishing, ecc.) ma li trasmettiamo attraverso messaggi univoci nel tempo", afferma Plaggemier. "Questi messaggi utilizzano approcci diversi: raccontare la storia dal punto di vista della vittima, raccontare la storia dal punto di vista del difensore, sfruttare gli eventi attuali nei titoli dei giornali."
Coinvolgente, tempestivo, coinvolgente e memorabile. Sembra semplice, vero? Ma non lo è. Il problema principale che trattiene molte aziende è l’atteggiamento, afferma il dottor Jason Nurse, direttore della scienza e della ricerca presso CybSafe e professore associato di sicurezza informatica presso l’Università del Kent.
"Molti programmi di sensibilizzazione alla sicurezza continuano a fallire perché l'organizzazione considera la formazione come una casella da spuntare", afferma. “Le organizzazioni spesso si concentrano sulla conformità e sul rispetto dei requisiti di base, il che può comportare una formazione priva di profondità e coinvolgimento”.
Creare una consapevolezza 'appiccicosa'
Come possono i leader della sicurezza mettere insieme un programma che vada ben oltre i requisiti di conformità e trasformare la formazione in qualcosa che le persone non solo ricordino, ma effettivamente utilizzino quando devono affrontare decisioni basate sul rischio?
Un modo è fornire il contenuto attraverso un canale di comunicazione che funzioni per loro, afferma Nurse. Ricerca da CybSafe all’inizio di quest’anno ha rilevato che il 79% degli impiegati probabilmente agirà in base ai consigli di sicurezza forniti sulle piattaforme che utilizzano quotidianamente, come Slack e Teams. E il 90% degli intervistati ritiene che le misure di sicurezza sulle piattaforme di messaggistica istantanea sarebbero preziose. Allo stesso modo, le persone che ricevevano informazioni informatiche quotidianamente e settimanalmente avevano il doppio delle probabilità di ricordare tutta la loro formazione rispetto a coloro che le ricevevano mensilmente, trimestralmente o annualmente.
"Sebbene una conoscenza di base dell'igiene informatica sia essenziale attraverso una formazione regolare e coinvolgente, è altrettanto fondamentale aiutare i dipendenti quando ne hanno bisogno in un formato utile", afferma Nurse. “La formazione dovrebbe andare oltre la semplice trasmissione di informazioni; dovrebbe guidare le persone su come comportarsi in modo sicuro nelle loro attività quotidiane. Inoltre, dovrebbe garantire che le persone sappiano dove cercare aiuto in caso di necessità”.
Un altro modo per renderlo più significativo è farlo rendere la formazione basata sui ruoli. Una soluzione valida per tutti è “necessaria in una certa misura per la conformità”, afferma Plaggemier, “ma una volta adempiuto all'obbligo di conformità, le persone dovrebbero ricevere una formazione adeguata al loro ruolo e ai rischi specifici che le riguardano. "
Burton di Tessian afferma che oltre a renderlo troppo generico, molte organizzazioni non riescono a considerare la cultura e il quadro generale quando progettano la formazione.
“I programmi non tengono conto delle esperienze olistiche dei dipendenti, come l’attuale cultura dell’organizzazione, i segnali attuali provenienti dalla leadership sull’importanza di pratiche sicure e dove al dipendente in generale viene chiesto di utilizzare la maggior parte del proprio tempo e energia”, dice. “I programmi di sensibilizzazione alla sicurezza potrebbero trascurare i dipendenti non ingegneri e gli ingegneri potrebbero non avere un tutoraggio per integrare il materiale nella loro pratica”.
“Non esiste un modo giusto per formare le persone alla sicurezza informatica. Esiste solo la strada giusta per la tua organizzazione, dipartimento o team”, aggiunge Nurse.
Gioca nella stanza
Un altro fattore importante per mantenere la consapevolezza è conoscere il proprio pubblico, afferma Burton. Come un buon cabarettista, devi capire con chi stai recitando se vuoi che ricordi quello che gli stai dicendo.
“Il primo passo è l’empatia”, afferma. “L’educatore sulla sicurezza ha bisogno di una profonda comprensione delle persone a cui insegna. Anche la ripetizione per un periodo di tempo più lungo, introducendo il contenuto in vari modi, garantirà il ricordo. E infine, non dimenticare di divertirti. Le organizzazioni spesso perdono interesse e coinvolgimento a causa della paura di essere troppo strane. Tuttavia, è più probabile che le persone conservino contenuti unici. Strano è bello! Sii divertente, sii creativo, trova la gioia!”
Burton, oltre all’escape room, ha anche fatto partecipare i dipendenti a un concorso di storie in cui chiedevano ai dipendenti di scrivere una “spettrale storia di Halloween” su come avrebbero attaccato l’azienda. Ha anche creato narrazioni che mettono le persone nella posizione di analisti della sicurezza presso l'azienda, in cui devono valutare la sicurezza dei fornitori esterni.
La formazione sulla sicurezza più efficace, afferma, copre i rischi principali di cui l'azienda è preoccupata; è adattato al pubblico; i concetti sono presentati nel tempo e in vari modi; e il materiale è memorabile grazie alla sua consegna unica, al suo umorismo o alla sua esperienza creativa.
“La componente chiave è stata, e sempre sarà, l’attenzione alle persone stesse”.
COME PASSARE DA UNA CONSAPEVOLEZZA SULLA SICUREZZA DA DIMENTICABILE A MEMORABILE
Una formazione approfondita sulla consapevolezza della sicurezza può essere sfuggente per molte organizzazioni. E poiché il 74% degli eventi di sicurezza sono direttamente legati all’errore umano, è importante trovare modi per raggiungere i dipendenti e aiutarli a comprendere i rischi informatici. Kim Burton, responsabile della fiducia e della conformità di Tessian, utilizza una varietà di tecniche di formazione sulla consapevolezza nei suoi programmi. Ecco i principi importanti che dice di tenere a mente quando crei un programma nella tua azienda.
- Lavora con il modo in cui le persone lavorano: Utilizzare le informazioni su come funziona la memoria umana, come gli esseri umani apprendono, quali incentivi forniscono i migliori risultati a lungo termine.
- Approccio olistico: Comprendere i dipendenti. Quali pressioni devono affrontare? Com'è la cultura locale? Com’è la cultura interna? Che background professionale hanno queste persone? Come viene attualmente percepito internamente il team di sicurezza o il team IT? I dirigenti sostengono la sicurezza?
- Raccontare storie: Condividi aneddoti reali, racconta storie del settore o della tua esperienza e utilizza esempi. Questo aiuta le persone a vedere se stesse nella narrazione. Idealmente, ogni individuo dovrebbe essere in grado di vedere come contribuisce in modo univoco alla storia della sicurezza dell'organizzazione.
- Gamification: Vai oltre una classifica. Rendi divertente l'interazione con i contenuti sulla sicurezza utilizzando la tua conoscenza di come lavorano le persone e l'esperienza olistica di lavorare nella tua azienda. Crea enigmi, incoraggia la curiosità e il mistero, ricrea il piacere della scoperta nell'apprendimento, sottolinea i progressi e usa il rinforzo positivo per comportamenti sicuri.
- Crea fiducia: Costruisci relazioni internamente. Diventa una fonte di informazioni affidabile, ma anche una persona sicura a cui essere vulnerabile rispetto a concetti difficili, errori di sicurezza e preoccupazioni generali. L'educatore sulla sicurezza dovrebbe essere una delle persone più conosciute all'interno dell'azienda.
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
- PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
- PlatoneESG. Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
- Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
- Fonte: https://www.darkreading.com/edge/from-snooze-to-enthuse-security-awareness-training-that-sticks
- :ha
- :È
- :non
- :Dove
- 7
- a
- capace
- WRI
- Secondo
- Il mio account
- Legge
- attività
- presenti
- effettivamente
- aggiunta
- Aggiunge
- amministrare
- consigli
- influenzare
- Tutti
- alleanza
- anche
- sempre
- an
- analista
- ed
- Annualmente
- in qualsiasi
- approcci
- opportuno
- SONO
- in giro
- disposizione
- AS
- Associate
- At
- attacco
- attacchi
- atteggiamento
- pubblico
- consapevolezza
- precedente
- sfondi
- basic
- BE
- perché
- diventare
- stato
- comportamenti
- essendo
- esseri
- MIGLIORE
- Al di là di
- Big
- Big Picture
- Scatola
- violazione
- violazioni
- Rotto
- costruire
- Costruzione
- affari
- ma
- by
- Materiale
- campione
- canale
- più vicino
- viene
- Uncommon
- Comunicazione
- Aziende
- azienda
- conformità
- componente
- concetti
- interessato
- preoccupazioni
- Convegno
- Prendere in considerazione
- costantemente
- contenuto
- contribuire
- Nucleo
- potuto
- Copertine
- creato
- Creazione
- Creative
- Azione Penale
- cruciale
- Cultura
- curiosità
- Corrente
- Attualmente
- Cyber
- sicurezza informatica
- Cybersecurity
- alle lezioni
- dati
- violazione di dati
- Perdita di dati
- giorno per giorno
- decisioni
- deep
- Laurea
- deliziare
- consegnare
- consegna
- Shirts Department
- profondità
- disperatamente
- in via di sviluppo
- diverso
- difficile
- direttamente
- Direttore
- scoperta
- do
- documenti
- effettua
- don
- fatto
- dr
- dovuto
- ogni
- In precedenza
- Efficace
- elemento
- empatia
- Dipendente
- dipendenti
- incoraggiare
- energia
- Fidanzamento
- impegnandosi
- Ingegneria
- Ingegneri
- garantire
- entrare
- Allo stesso modo
- errore
- errori
- fuga
- essential
- eccetera
- valutare
- eventi
- evoluzione
- esempio
- Esempi
- esecutivo
- Direttore esecutivo
- dirigenti
- Esercitare
- esperienza
- Esperienze
- Sfruttare
- esterno
- Occhi
- Faccia
- di fronte
- fatto
- fattore
- FAIL
- Autunno
- lontano
- paura
- Infine
- Trovate
- Nome
- piatto
- Focus
- Nel
- formato
- essere trovato
- Frequenza
- frequente
- frequentemente
- da
- ti divertirai
- divertente
- Inoltre
- Generale
- ottenere
- Go
- scopo
- buono
- guida
- ha avuto
- halloween
- Avere
- he
- capo
- Notizie
- Aiuto
- utile
- aiuta
- suo
- qui
- nascosto
- storia
- possesso
- olistica
- speranza
- Come
- Tutorial
- Tuttavia
- HTTPS
- umano
- Elemento umano
- umorismo
- idealmente
- if
- importanza
- importante
- competenze
- in
- Incentive
- inclusi
- individuale
- individui
- industria
- influenza
- informazioni
- immediato
- integrare
- interesse
- interno
- internamente
- ai miglioramenti
- l'introduzione di
- Indagini
- coinvolto
- IT
- SUO
- jpg
- ad appena
- mantenere
- Le
- Kim
- Genere
- Sapere
- Conoscere
- conoscenze
- Dipingere
- paesaggio
- computer portatili
- capi
- Leadership
- IMPARARE
- apprendimento
- a sinistra
- leveraging
- piace
- probabile
- locale
- bloccato
- Lunghi
- a lungo termine
- più a lungo
- Guarda
- una
- SEMBRA
- perdere
- spento
- lotto
- make
- Fare
- mandati
- molti
- marchio
- materiale
- Maggio..
- significare
- incontro
- memorabile
- Memorie
- tutoraggio
- messaggi
- di messaggistica
- AMF
- mente
- errori
- uso improprio
- moderno
- mensile
- Scopri di più
- maggior parte
- cambiano
- si muove
- devono obbligatoriamente:
- Mistero
- NARRATIVA
- narrazione
- il
- necessaria
- Bisogno
- di applicazione
- esigenze
- New
- no
- obbligo
- of
- Office
- di frequente
- on
- una volta
- ONE
- esclusivamente
- operativa
- or
- organizzazione
- organizzazioni
- su
- risultati
- ancora
- proprio
- parte
- partecipanti
- Password
- Persone
- le persone lavorano
- percepito
- periodo
- persona
- prospettiva
- phishing
- Fisico
- immagine
- Piattaforme
- Platone
- Platone Data Intelligence
- PlatoneDati
- gioco
- punto
- posizione
- positivo
- pratica
- pratiche
- presentata
- pressioni
- Problema
- professionale
- Insegnante
- Programma
- Programmi
- Progressi
- protegge
- fornire
- purché
- fornitura
- fini
- metti
- Puzzle
- RE
- raggiungere
- di rose
- ricevuto
- ricevente
- recente
- Basic
- Relazioni
- ricorda
- a distanza
- Reportistica
- Requisiti
- riparazioni
- intervistati
- responsabile
- colpevole
- conservare
- rivelare
- destra
- rischi
- Ruolo
- Prenotazione sale
- running
- s
- sicura
- stesso
- dice
- Scienze
- sicuro
- in modo sicuro
- problemi di
- Consapevolezza della sicurezza
- eventi di sicurezza
- vedere
- Cercare
- Forma
- Condividi
- lei
- Corti
- dovrebbero
- Segnali
- Allo stesso modo
- Un'espansione
- allentato
- So
- Social
- Ingegneria sociale
- qualcosa
- Fonte
- specifico
- Spot
- inizia a
- step
- appiccicoso
- Ancora
- Storie
- Storia
- narrativa
- tale
- sicuro
- su misura
- Fai
- racconto
- Insegnamento
- team
- le squadre
- tecniche
- dire
- raccontare
- dogmi
- che
- Il
- loro
- Li
- si
- Là.
- Strumenti Bowman per analizzare le seguenti finiture:
- di
- cose
- questo
- quest'anno
- quelli
- pensiero
- minaccia
- Attraverso
- Legato
- tempo
- tempestivo
- a
- insieme
- pure
- Treni
- Training
- Affidati ad
- di fiducia
- cerca
- Due volte
- capire
- e una comprensione reciproca
- unico
- univocamente
- Università
- uso
- utilizzato
- utenti
- usa
- utilizzando
- Prezioso
- varietà
- Ve
- fornitori
- Verizon
- Vittima
- Video
- videoconferenza
- visualizzazioni
- Vulnerabile
- volere
- Modo..
- modi
- we
- settimanale
- noto
- sono stati
- Che
- Che cosa è l'
- quando
- se
- quale
- while
- OMS
- volere
- con
- entro
- Lavora
- lavoratori
- lavoro
- lavori
- mondo
- sarebbe
- scrivere
- anno
- Tu
- Trasferimento da aeroporto a Sharm
- zefiro