Le otto principali cause del fallimento dei programmi formativi di Cyber Security Awareness illustrate da Gianni Baroni, Ceo di Cyber Guru, alla Cybertech Europe
Quella attuale, a detta di molti esperti, è una sorta di “età dell’oro” per la tecnologia europea. Insomma un vero exploit, nonostante le varie crisi sanitarie e geopolitiche. O forse proprio grazie ad esse. Settori commerciali, industriali, governativi, accademici, tutti coinvolti nella nuova sfida di trasformazione digitale. Ma le nuove opportunità comportano sempre nuove sfide: un aumento a livello mondiale di attacchi cyber, inclusi quelli alla Supply Chain, il pagamento di riscatti a causa di attacchi Ramsonware, le numerosissime attività di phishing e i tentativi di violazione della privacy.
Questo è quanto è emerso dall’evento europeo della Cybertech, la principale piattaforma di networking che conduce eventi in campo industriale in tutto il mondo e che ha tenuto una due giorni molto intensa il 10 e 11 Maggio scorsi a Roma. L’evento ha riunito i principali operatori del settore, oltre a personalità del mondo della politica e dell’economia.
Tra questi non poteva mancare Cyber Guru, tra i principali punti di riferimento a livello europeo sulla Cyber Security Awareness, che fino ad ora ha formato circa 250 mila utenti sui rischi cyber legati al mondo digitale e realizzato oltre due milioni di simulazioni di phishing.
Gianni Baroni, CEO di Cyber Guru, è stato tra i protagonisti della giornata dell’11 maggio con un intervento nel quale ha illustrato le 8 principali cause del fallimento dei progetti di Cyber Security Awareness e quello che bisogna fare per non cadere in facili tranelli.
1. Mancanza di sostegno da parte del Ceo
In poche parole, è necessario che sia chiaro a tutti i dipendenti che il CEO è il primo a credere che trasformare i comportamenti umani sia un elemento fondamentale per mettere al sicuro l’azienda dagli attacchi cyber. L’eventuale mancanza di questo supporto si manifesta sia sul piano della comunicazione: non trasmettendo ai dipendenti la centralità del tema della consapevolezza dei rischi cyber e l’importanza della prevenzione; sia sul piano della mancanza di follow up. E’ infatti importante che i KPI (Key Performance Indicators), ossia le misurazioni che un’azienda utilizza per valutare le sue prestazioni nel tempo sulla sensibilizzazione dei dipendenti, non siano mai trascurate e vengano discusse durante gli Staff Meeting. Se questo non avviene può essere un problema perché viene a mancare nell’azienda la giusta consapevolezza di quanto la Cyber Security Awareness sia oggi una questione non trascurabile e di massima priorità.
2. Uno scarso coinvolgimento degli utenti
Percorsi formativi con contenuti scontati e poco coinvolgenti che producono l’effetto di annoiare il dipendente e falliscono miseramente il loro scopo. Per questo è fondamentale che le piattaforme di Cyber Security Awareness siano: facili da usare, utilizzino tecnologie e metodologie formative innovative, si basino su una localizzazione accurata e su una gamification coinvolgente e infine presentino argomenti rilevanti per gli utenti. In sintesi che siano efficaci e motivanti.
3. Percorsi formativi di breve durata
La modifica del comportamento degli utenti finali è un percorso complesso che richiede tempo per essere metabolizzato e adottato. La formazione sui rischi cyber dunque, non può essere rapida e di breve durata. Inoltre, essendo le minacce e le tecniche di attacco sempre più raffinate e in continua evoluzione, è necessario avere una formazione costantemente aggiornata che segua l’evoluzione degli attacchi cyber. Solo conoscendo a fondo il nemico e prevedendo le sue possibili mosse si può essere certi di sconfiggerlo.
4. Assenza di un’analisi concreta delle performance
Una cosa è certa: quando si fa un percorso di formazione, non si può migliorare se non si misura costantemente ciò che si è appreso. Il monitoraggio continuo del coinvolgimento degli utenti e dei loro cambiamenti comportamentali durante il percorso di apprendimento sono un elemento fondamentale della formazione. Se questo aspetto è carente o non viene sorvegliato con l’attenzione che merita, tutta la formazione può esserne compromessa.
5. Affidamento sul “white phishing”
Ovvero sulla simulazione uguale per tutti. Inviare delle finte email di phishing ai dipendenti e vedere se cadono nella trappola è una modalità formativa troppo grossolana, rispetto alla complessità del mondo cyber. O comunque non può considerarsi completa. Per aumentare la consapevolezza è necessario procedere con mail di complessità diversa, ma anche diverse tra i diversi utenti. Un training anti-phishing non uguale per tutti ma personalizzato per ogni dipendente.
6. Affidarsi ad attività di Risk Assessment basate su questionari
Per valutare con un minimo di precisione il livello di conoscenza dei rischi cyber di un dipendente attraverso un questionario occorre predisporre un set di 20-30 domande. Tutti noi sappiamo bene che questionari di tale lunghezza non sono certamente apprezzati dagli utenti finali che quindi, molto spesso, li compilano con scarsa attenzione. Quindi i risultati di queste survey sono in larga parte poco attendibili. L’aspetto determinante che fa la differenza in un percorso formativo è la prontezza di reazione pratica. La capacità di rispondere prontamente ad un attacco cyber non si misura con delle domande, ma misurando le reazioni a stimoli quanto più verosimili. Una piattaforma di allenamento e misurazione è la corretta risposta a questa esigenza.
7. Pensare: “i miei dipendenti sono diversi”
L’esperienza di Cyber Guru, basata sui percorsi di formazione di centinaia di migliaia di dipendenti porta a concludere che la stragrande maggioranza degli utenti finali, a prescindere dall’organizzazione per cui lavorano e dalle loro mansioni, commette gli stessi errori di base. Ed è su questi errori che bisogna lavorare. La formazione, dunque, non deve essere estremamente personalizzata, cosa che peraltro la renderebbe particolarmente costosa. La sua efficacia dipende soprattutto dalla sua accuratezza, dalla sua capacità di utilizzare strumenti diversi, di coinvolgere gli utenti anche dal punto di vista delle reazioni emotive e, soprattutto, dal suo essere sempre aggiornata e svolta in modo continuativo.
8. Team sotto organico
I team di sicurezza sono sempre sovraccarichi di lavoro. Per questa ragione molto spesso alla formazione viene data una priorità inferiore rispetto ad altre attività informatiche critiche. Prima di intraprendere un percorso formativo di Cyber Security Awareness è quindi fondamentale comprendere chiaramente l’impegno necessario per gestirlo. Per questa ragione è importante scegliere soluzioni che minimizzino i costi di gestione e massimizzino l’efficacia dei risultati formativi
Per saperne di più sui percorsi formativi di Cyber Guru