[ad_1]
Gli ultimi risultati del report IBM X-Force® Threat Intelligence Index evidenziano un cambiamento nelle tattiche degli aggressori. Invece di utilizzare i tradizionali metodi di hacking, si è registrato un aumento significativo del 71% degli attacchi in cui i criminali sfruttano credenziali valide per infiltrarsi nei sistemi. I ladri di informazioni hanno registrato uno sbalorditivo aumento del 266% nel loro utilizzo, sottolineando il loro ruolo nell’acquisizione di queste credenziali. Il loro obiettivo è semplice: sfruttare il percorso di minor resistenza, spesso attraverso dipendenti ignari, per ottenere credenziali valide.
Le organizzazioni hanno speso milioni per sviluppare e implementare tecnologie all’avanguardia per rafforzare le proprie difese contro tali minacce, e molte hanno già campagne di sensibilizzazione sulla sicurezza, quindi perché non riusciamo a fermare questi attacchi?
Sfide dei tradizionali programmi di sensibilizzazione alla sicurezza
La maggior parte dei programmi di sensibilizzazione sulla sicurezza oggi fornisce ai dipendenti le informazioni di cui hanno bisogno sulla gestione dei dati, sulle regole GDPR e sulle minacce comuni, come il phishing.
Tuttavia, c’è un grosso punto debole in questo approccio: i programmi non considerano il comportamento umano. Solitamente seguono un approccio unico per tutti, con i dipendenti che completano la formazione annuale generica basata su computer con alcune animazioni brillanti e un breve quiz.
Sebbene ciò fornisca le informazioni necessarie, la natura affrettata della formazione e la mancanza di rilevanza personale spesso fanno sì che i dipendenti dimentichino le informazioni entro soli 4-6 mesi. Ciò può essere spiegato dalla teoria di Daniel Kahneman sulla cognizione umana. Secondo la teoria, ogni individuo ha un processo di pensiero veloce, automatico e intuitivo, chiamato Sistema 1. Le persone hanno anche un processo di pensiero lento, deliberato e analitico, chiamato Sistema 2.
I tradizionali programmi di sensibilizzazione alla sicurezza si rivolgono principalmente al sistema 2, poiché le informazioni devono essere elaborate in modo razionale. Tuttavia, senza sufficiente motivazione, ripetizione e significato personale, le informazioni di solito entrano da un orecchio ed escono dall’altro.
È fondamentale comprendere i comportamenti dei dipendenti
Quasi il 95% del pensiero e del processo decisionale umano è controllato dal Sistema 1, che è il nostro modo di pensare abituale. Gli esseri umani devono affrontare migliaia di compiti e stimoli ogni giorno e gran parte della nostra elaborazione avviene automaticamente e inconsciamente attraverso pregiudizi ed euristiche. Il dipendente medio lavora con il pilota automatico e, per garantire che i problemi e i rischi legati alla sicurezza informatica siano radicati nelle sue decisioni quotidiane, dobbiamo progettare e realizzare programmi che comprendano veramente il suo modo intuitivo di lavorare.
Per comprendere il comportamento umano e come cambiarlo, ci sono alcuni fattori che dobbiamo valutare e misurare, supportati dalla Ruota di cambiamento del comportamento COM-B.
- Innanzitutto dobbiamo conoscere i dipendenti capacità. Ciò si riferisce alle loro conoscenze e competenze per impegnarsi in pratiche online sicure, come la creazione di password complesse e il riconoscimento dei tentativi di phishing.
- Quindi, dobbiamo identificare se ce ne sono abbastanza opportunità affinché possano apprendere, compresa la disponibilità di risorse quali programmi di formazione, politiche e procedure.
- Infine, e soprattutto, dobbiamo comprendere il livello del dipendente motivazione e la loro volontà e spinta a dare priorità e ad adottare comportamenti sicuri.
Una volta comprese e valutate queste tre aree, possiamo individuare le aree di cambiamento comportamentale e progettare interventi mirati ai comportamenti intuitivi dei dipendenti. In definitiva, questo approccio aiuta le organizzazioni a promuovere una prima linea di difesa attraverso lo sviluppo di una forza lavoro più consapevole del cyber.
Dobbiamo promuovere una cultura positiva della sicurezza informatica
Una volta identificate le cause profonde dei problemi comportamentali, l’attenzione si sposta naturalmente verso la creazione di una cultura della sicurezza. La sfida prevalente nella cultura della sicurezza informatica oggi è il suo fondamento nella paura di errori e illeciti. Questa mentalità spesso favorisce una percezione negativa della sicurezza informatica, con conseguenti bassi tassi di completamento della formazione e responsabilità minima. Questo approccio richiede un cambiamento, ma come realizzarlo?
Innanzitutto dobbiamo riconsiderare il nostro approccio alle iniziative, allontanandoci da un modello esclusivamente incentrato sulla consapevolezza e sulla conformità. Sebbene la formazione sulla consapevolezza della sicurezza rimanga vitale e non debba essere trascurata, dobbiamo diversificare i nostri metodi educativi per promuovere una cultura più positiva. Oltre ad un’ampia formazione organizzativa, dovremmo abbracciare programmi specifici per ruolo che incorporino apprendimento esperienziale e gamification, come le coinvolgenti gamme informatiche agevolate da IBM X-Force. Inoltre, le campagne a livello di organizzazione possono rafforzare il concetto di cultura positiva, coinvolgendo attività come la creazione di una rete di campioni della sicurezza informatica o organizzando mesi di sensibilizzazione con diversi eventi.
Una volta selezionate e implementate queste iniziative per coltivare una cultura della sicurezza informatica positiva e solida, è fondamentale che ricevano supporto da tutti i livelli dell’organizzazione, dalla leadership senior ai professionisti entry-level. Solo quando c’è un messaggio unificato e affermativo, possiamo veramente trasformare la cultura all’interno delle organizzazioni.
Se non misuriamo la riduzione del rischio umano, non sappiamo cosa funziona
Ora che abbiamo identificato le sfide comportamentali e implementato un programma volto a promuovere una cultura positiva, il passo successivo è stabilire metriche e parametri per il successo. Per valutare l’efficacia del nostro programma, dobbiamo affrontare una domanda fondamentale: in che misura abbiamo mitigato il rischio di un incidente di sicurezza informatica derivante da un errore umano? È fondamentale stabilire una serie completa di parametri in grado di misurare la riduzione del rischio e il successo complessivo del programma. Tradizionalmente, le organizzazioni si affidano a metodi quali campagne di phishing e test valutativi, con risultati contrastanti. Un approccio moderno è la quantificazione del rischio, un metodo che assegna un valore finanziario al rischio umano associato a uno scenario specifico. L’integrazione di tali parametri nel nostro programma di cultura della sicurezza ci consente di valutarne il successo e di migliorarlo continuamente nel tempo.
Collabora con IBM e crea il firewall umano
Il panorama mutevole della sicurezza informatica richiede un approccio globale che affronti il fattore umano critico. Le organizzazioni devono coltivare una cultura positiva della sicurezza informatica supportata dal coinvolgimento della leadership e da iniziative innovative. Ciò deve essere abbinato a parametri efficaci per misurare i progressi e dimostrarne il valore.
IBM offre una gamma di servizi per aiutare i nostri clienti a orientare i propri programmi dalla consapevolezza all’attenzione al comportamento umano. Possiamo aiutarvi a valutare e adattare gli interventi della vostra organizzazione alle motivazioni e alle abitudini dei vostri dipendenti e aiutarvi a promuovere una prima linea di difesa resiliente contro le minacce emergenti consentendo a ogni individuo di essere un guardiano proattivo della sicurezza informatica.
Scopri la tua soluzione di sicurezza informatica
questo articolo è stato utile?
SÌNO
[ad_2]
Source link