Le istituzioni e le organizzazioni hanno una maggiore probabilità, oggi, rispetto al passato, di ricevere attacchi di phishing o ransomware e molti dei loro dipendenti, e/o clienti, non hanno ancora una chiara idea di cosa significhino questi due termini. Nonostante si implementino tecnologie di sicurezza sempre più efficaci, processi e policy che migliorano il governo della sicurezza, questa può essere compromessa da utenti scarsamente preparati, mettendo così a serio rischio l’organizzazione e tutti gli investimenti in materia di sicurezza. Occorre quindi sviluppare, nelle aziende, quella che viene definita come “security awareness”, ovvero la consapevolezza della sicurezza.
La consapevolezza della cybersecurity e sull’uso consapevole delle tecnologie digitali può garantire alle organizzazioni, e al Paese, la resilienza necessaria alla sopravvivenza nell’era digitale.
Le nuove frontiere della prevenzione devono prevedere attività strutturate di formazione e sensibilizzazione dirette sia ai clienti che ai dipendenti, che dovranno diventare, pertanto, una parte integrante del programma di sicurezza ed essere, al tempo stesso, continue poiché gli strumenti di attacco evolvono e gli attaccanti troveranno sempre nuove metodologie.
Come attuare la security awareness
Sono molti i passi da compiere, dal coinvolgimento delle strutture aziendali, alla definizione dei contenuti, all’adozione di strumenti innovativi e alla misurazione continua volta a garantire il raggiungimento degli obiettivi attesi.
Al fine di avviare la campagna in modo corretto sarà fondamentale capire lo stato attuale della sicurezza e individuare le aree che richiedono un miglioramento. Tutto questo dovrà essere documentato insieme alle metriche che si deciderà di utilizzare per determinare l’efficacia della campagna.
Fattori determinanti per il successo di progetti di sensibilizzazione saranno la motivazione dei partecipanti, il commitment aziendale sia nel guidare l’iniziativa sia per fungere da esempio e motore del cambiamento, la continuità delle attività che non devono essere pensate “a spot”, le tempistiche delle attività che dovranno essere curata con attenzione, le misurazioni che dimostrino l’effettivo miglioramento o meno della performance aziendale sul terreno della cyber security.
In molte organizzazioni questi programmi, soprattutto sui temi della cybersecurity, vengono percepiti come impegnativi. Il coinvolgimento dell’utente e l’entusiasmo sono indispensabili per indurre un reale cambiamento nei comportamenti quotidiani.
Misurare la consapevolezza della sicurezza
Non esiste una ricetta da seguire, un approccio unico, il programma deve essere pensato “a misura” dell’organizzazione e testato sulle risorse principali su cui fare leva: le persone.
È possibile coinvolgerle utilizzando tecniche di gamification e facendo largo uso di materiale multimediale (come filmati, cartoon ecc.), definendo di piani di sviluppo o sistemi di premi o attingendo anche al loro senso di comunità. Qualunque sino la modalità più idonee è necessario identificarle prima dell’avvio del programma di awareness. Bisogna precisare che occorre un’analisi attenta di quei complessi cognitivi e fattori emotivi che giocano un ruolo essenziale nel mantenimento di attenzione al programma.
È fondamentale misurare, attraverso metriche oggettive, la security awareness per verificare che le attività previste nel programma siano svolte nei tempi corretti, seguite con profitto e interesse e trasformate in conoscenza effettiva; queste misure specifiche mirano quindi a valutare il “successo” di una campagna per verificarne il coinvolgimento e il consenso del target scelto.
Affrontare la metamorfosi digitale con la conoscenza
L’accelerazione del digitale ha messo in evidenza come la sicurezza sia oggi uno dei problemi da mitigare per garantire una transizione di successo. Vivere “OnLife”, neologismo coniato nel 2013 da Luciano Floridi per definire la nuova società digitale, rende sempre più impercettibile la distinzione tra reale e virtuale. OnLife è dunque la nuova dimensione del passaggio dall’analogico al digitale, che sta cambiando il mondo e anche la natura umana nella sua relazione con l’ambiente, costringendoci a una ridefinizione della nostra identità. Proprio per questo motivo si parla di metamorfosi digitale e non più di trasformazione, questo poiché il processo di metamorfosi è proprio degli organismi viventi. Una metamorfosi che sta cambiando le nostre abitudini e le nostre interfacce, disegnando un futuro digitale sul quale si è interrogata anche Shoshana Zuboff, docente della Harvard Business School e autrice del saggio “Il capitalismo della sorveglianza”. Uno degli interrogativi con cui si apre il libro è: “potremo chiamare casa il futuro digitale?”, una domanda che resta aperta in uno scenario nel quale il mondo digitale prende il sopravvento e l’idea di un futuro prevedibile svanisce pian piano. Fondamentale diventa, in questo contesto, il tema della conoscenza sia per quanto concerne la formazione delle nuove generazioni sia per quanto concerne l’utilizzo degli strumenti digitali, sul delicato terreno della sicurezza.
Molti degli aspetti della security awareness sono analizzati nel nuovo libro della fondazione Global Cyber Security Center- GCSEC dal titolo “Il fattore umano nella cyber security – Valori e strategie da costruire insieme” edito da Franco Angeli Edizioni e disponibile dal 13 febbraio.
Molteplici sono i target di riferimento: dai team che operano nell’ambito della tutela aziendale, ai professionisti delle risorse umane, alle aree della comunicazione e della formazione, al variegato fronte dei professionisti impegnati a far crescere e a diffondere un’adeguata cultura della prevenzione del rischio.
Gli autori, esperti di cybersecurity, offrono una lettura ragionata delle esperienze e delle best practice di successo. Nel corso della trattazione, che si caratterizza per il suo approccio pragmatico, vengono, illustrati i contenuti da veicolare, le tecniche, i linguaggi e i requisiti principali che possono determinare una campagna di successo. Si possono trovare esempi interessanti e le esperienze di un team che ha approcciato in maniera strutturata la formazione in tema cybersecurity, cercando di utilizzare al meglio tutti i canali che il digitale mette oggi a disposizione.