Training fatigue: è la preoccupazione (valida) di molte aziende di ogni dimensione e settore di mercato, ma soprattutto per le imprese pubbliche quotate e quelle che sono tenute a fornire formazione compliance-based legata a normative regionali, nazionali, e/o globali.
Queste, oltre ad altre motivazioni quali budget contenuti, risorse limitate e la percezione che pratiche di sicurezza più adeguate non generino fatturato — portano le aziende a non prioritizzare il security awareness training, considerandolo più un “nice to have” e non un’esigenza imprescindibile.
Ed è qui che le aziende fanno un passo falso. I dati digitali sono ormai intrinsecamente connessi al tessuto dei processi e elle procedure di business — in tutti i ruoli e dipartimenti — e non è possibile minimizzare l’importanza delle competenze di cybersecurity. Se siete personalmente responsabili di aver ridotto la necessità di adottare un approccio globale di cyber hygiene o state lottando con tutte le vostre forze per cambiare il parere di coloro che prendono le decisioni, ecco tre motivi per riaffrontare l’argomento.
#1: Gli aggressori si focalizzano sulle persone … molte organizzazioni no
Il nostro recente State of the Phish Report e altre ricerche Proofpoint illustrano chiaramente il crescente focus dei cyber criminali sui target umani e l’uso di sofisticate tecniche di social engineering per accedere a dati, dispositivi e sistemi. I malintenzionati studiano gli organigrammi aziendali per trovare il giusto punto d’accesso — e non colpiscono solo i VIP. I lavoratori di livello inferiore vengono colpiti altrettanto frequentemente, se non di più, degli executive (approfondisci).
Chiunque nell’organizzazione può essere l’anello debole, o quello forte. Ma così come la prestanza fisica, le competenze cyber non possono essere sviluppate con pratiche irregolari e un’attenzione intermittente. Gli sporadici attacchi di phishing simulati e la formazione occasionale non permettono agli utenti di migliorare (o all’azienda di ridurre il rischio guidato dagli utenti). È necessario offrire ai dipendenti la possibilità di imparare nel tempo e sviluppare le capacità necessarie per proteggere meglio dispositivi e dati.
#2: Gli end user sono irrimediabilmente legati a infosecurity e IT
I team di infosecurity e IT devono garantire che i dispositivi, i processi e le procedure digitali funzionino in modo efficace ed efficiente. Anche quando gli attacchi di phishing, le infezioni malware e i data breach derivano da errori degli utenti, il personale infosec e IT deve risponderne (e risolvere il problema).
E, anche se fonte di frustrazione, la realtà è che gli utenti e i professionisti della security hanno una relazione simbiotica — relazione minata dall’approccio “noi contro loro”. Un maggior focus sulla formazione può migliorare le cose per entrambi i gruppi. Gli utenti consapevoli sono più attenti e creano un minor numero di incidenti che i team di security devono identificare e rimediare.
#3: Le persone apprezzano le competenze ‘portatili’
Gli utenti possono rappresentare un ostacolo al successo quando si tratta di security awareness training. Ma in questi casi, la causa del malinteso è spesso la mancanza di comunicazione. Gli end user dovrebbero essere considerati degli stakeholder nei programmi di educazione alla cybersecurity — cosa che molte organizzazioni non fanno. I dipendenti che ritengono di sapere cosa viene loro richiesto — e perché — tendono a essere più interessati ad apprendere nuove competenze. Inoltre, è a vantaggio dell’aziende ricordare loro che tutto ciò che imparano è portatile: può essere usato a casa (per potenziare la sicurezza di dispositivi e dati personali) e condiviso con amici e parenti.
Non sottostimate il desiderio del dipendente di imparare nuove competenze che sono interessanti e utili anche a livello personale. Email, online banking, SMS e social media sono solo alcuni modi in cui gli individui comunicano e condividono i dati ogni giorno. E anche in questo caso le competenze di cybersecurity possono essere messe a frutto!
______
a cura di Adenike Cosgrove, Director International Product Marketing, Proofpoint
