Sicurezza Informatica: verso il coaching just-in-time dei dipendenti. Contenuto a cura di Neil Thacker, Chief Information Security Officer (CISO), Netskope EMEA.
I programmi di formazione sulla sicurezza informatica e sulla conformità sono ormai un grande business. Secondo Cybersecurity Ventures, il mercato della formazione sulla sensibilizzazione alla sicurezza ha raggiunto i 5,6 miliardi di dollari nel 2023 e si prevede che supererà i 10 miliardi di dollari nei prossimi quattro anni. Questo boom del mercato non è una sorpresa: le minacce informatiche sono dilaganti e gli attacchi su larga scala continuano a fare notizia. Tutto ciò dimostra che ogni organizzazione, indipendentemente dalle sue dimensioni, è a rischio di violazione.
Le tecniche di ingegneria sociale, in cui un utente malintenzionato prende di mira le persone che hanno accesso ai sistemi e le manipola per ottenere il controllo, sono state le tattiche malevole più popolari nel 2023. Le aziende hanno quindi ragione nel riconoscere che l’essere umano rappresenta un elemento di vulnerabilità.
Programmi di formazione annuale sulla consapevolezza della sicurezza informatica sono ormai una costante nel calendario della maggior parte delle organizzazioni, nel tentativo di garantire che ogni persona all’interno di ogni dipartimento sviluppi capacità di consapevolezza informatica e sia in grado di individuare le minacce e rispondere di conseguenza prima che diventino un grosso problema. Di fronte alle minacce alla sicurezza in rapida evoluzione, questa formazione però è spesso obsoleta e possono essere necessari mesi o addirittura anni per far sì che quelle persone riconoscano le tattiche malevole utilizzate.
Sicurezza informatica, la formazione dovrebbe avvenire più rapidamente ogni anno?
Basta chiedere a qualsiasi leader della sicurezza e risponderà che i dipendenti trovano la formazione annuale sulla sicurezza informatica dispendiosa in termini di tempo e poco interessante. Spesso questi corsi sono visti dai dipendenti come una distrazione dal loro lavoro, molti leggono velocemente, guardano i video a doppia velocità e cercano qualunque scorciatoia per raggiungere il certificato di completamento, per flaggare l’attività come “fatta” e proseguire con la propria giornata lavorativa.
Inoltre, l’interattività spesso limitata di ciascun corso di formazione annuale non riesce a catturare e mantenere alta e costante l’attenzione dei dipendenti. I tassi di fidelizzazione precipitano senza un coinvolgimento attivo e molti programmi di formazione non dispongono di alcuna forma di collegamento del dipendente con scenari del mondo reale, che potrebbero verificarsi nella sua specifica funzione lavorativa.
Anche per chi trova la formazione annuale coinvolgente e approfondita, ci sono ancora poche prove che educhino veramente le persone o portino a cambiamenti positivi del comportamento. Di conseguenza, fungono solo da caselle di controllo della conformità da spuntare, invece che rappresentare una misura proattiva per costruire una cultura di vigilanza e difendersi dalle minacce. In definitiva, si tratta di un uso non efficiente sia del tempo che delle risorse, e gli attacchi informatici continuano il loro slancio costante.
Bisogna anche dire che gli autori malintenzionati costruiscono appositamente le loro campagne in modo tale che, anche il dipendente più addestrato, dimentichi cosa deve fare per evitare comportamenti che mettano a rischio la sicurezza informatica. In particolare, gli attaccanti sfruttano il comportamento emotivo, piuttosto che quello logico, e il senso di urgenza per guidare specificamente la vittima fuori dal suo approccio logico e dagli addestramenti ricevuti.
Quindi, cosa possiamo? Le organizzazioni di tutto il mondo necessitano di interventi sul comportamento dei dipendenti che aiutino a riportare le persone verso il pensiero logico prima che causino grossi rischi informatici.
Verso una maggiore igiene informatica
Un intervento piccolo, regolare e incentrato sull’uomo è un percorso ideale per cambiamenti comportamentali efficaci a lungo termine. Un esempio di ciò è la teoria del nudge, un insieme generale di principi volti a guidare il comportamento umano lungo un percorso più desiderabile. È un concetto consolidato, che ha avuto un enorme successo in passato, indirizzando le persone verso scelte alimentari più sane e comportamenti pro-ambiente, e richiede solo piccoli cambiamenti nel processo decisionale. Applicare questo concetto al mondo della sicurezza informatica, quindi, sembra un gioco da ragazzi.
Allo stesso modo in cui un segnale di velocità radar mostra la tua velocità attuale, dandoti un secondo per pensare e adattare il tuo comportamento, dovremmo avere segnali sul lavoro che ci facciano comprendere quando stiamo per prendere parte a comportamenti informatici rischiosi e ci incoraggino a rallentare e a pensare.
Questo percorso di prevenzione incentrato sull’uomo può essere molto efficace ed è uno strumento che dovrebbe essere più ampiamente conosciuto e accessibile alle imprese. Il coaching degli utenti in tempo reale, ad esempio, sfrutta il rilevamento dell’intelligenza artificiale per segnalare istantaneamente un comportamento ad alto rischio all’individuo nel momento in cui si verifica e proporre azioni alternative per il dipendente.
Ciò è particolarmente importante nell’era dell’intelligenza artificiale generativa (Generative AI), dove gli strumenti di intelligenza artificiale di terze parti sono disponibili gratuitamente in molte aziende e piattaforme come ChatGPT e Google Bard sono viste come l’assistente di riferimento per molte attività amministrative. Il rischio in questo caso è che molti dipendenti carichino dati sensibili su queste piattaforme (dal codice sorgente alle informazioni di identificazione personale) aumentando significativamente il rischio di perdita di dati.
Nella maggior parte dei casi, i dipendenti che accedono a questi servizi non sono consapevoli del rischio e cercano di essere produttivi con strumenti con cui hanno familiarità o con cui si sono imbattuti. Invece di bloccare completamente questa attività, portando potenzialmente un dipendente scontento a lavorare di più per aggirare la policy, il coaching just-in-time dei dipendenti – realizzato per adattarsi alla cultura e al ‘tone of voice’ dell’azienda, così come le policy – offre l’opportunità di spiegare il rischio nel momento in cui si presenta e raccomandare modi più sicuri per ottenere lo stesso risultato.
Questo metodo di formazione e rafforzamento continui può fornire ai dipendenti ciò che manca alla formazione annuale: un’opportunità per contestualizzare le informazioni ed evitare che svaniscano rapidamente nella memoria. Inoltre, questa applicazione pratica di promemoria coerenti nella vita lavorativa quotidiana di un dipendente è l’ingrediente essenziale per comprendere appieno i rischi e sfruttare una maggiore igiene informatica.
Formando i dipendenti in tempo reale affinché diventino cittadini informatici migliori e prendano decisioni più sicure, le aziende possono prevenire gli incidenti informatici nel momento in cui si verifica la minaccia e creare reali opportunità di apprendimento nella vita lavorativa quotidiana dei dipendenti.
Invece di considerare gli esseri umani come un anello debole nella nostra strategia di sicurezza, dovremmo considerarli come la nostra ultima linea di difesa tra un’azienda e il panorama delle minacce informatiche. È importante riconoscerlo e formare le persone nel modo più efficace e responsabilizzante.
LEGGI ANCHE: Nis 2, l’allarme compliance e una svolta chiamata Sase. La guida di Netskope
