Data per assodata l’importanza della cyber security awareness in azienda, altro discorso è organizzarne una campagna efficace. Per questo occorre, prima di tutto, puntualizzare quando la cyber security awareness è efficace. Scopo di un’attività di questo tipo è fornire a dipendenti e collaboratori le nozioni di base necessarie per conoscere il fenomeno del cyber crime, per non cadere nelle sue trappole principali e, di fatto, nel prevenirlo.
Tre elementi da considerare per un programma efficace di cyber security awareness
Stando alle stime più recenti, circa il 98% degli attacchi informatici verso aziende si fonda sull’ingegneria sociale (fonte: https://purplesec.us/resources/cyber-security-statistics/). Per questo, tutto ciò che concerne il social engineering dovrebbe essere parte integrante di un programma di cyber security awareness. Ma venendo all’aspetto più pratico, come dovrebbe essere strutturato un programma di questo tipo? E basta “solo” questo per un’awareness davvero efficace? Gli elementi fondamentali di un percorso formativo di cyber security awareness sono tre: docenti, programma ed esercitazioni. Solo bilanciando e integrando al meglio questi parametri si ottiene una cyber security awareness efficace e capace di massimizzare l’investimento.
La scelta dei docenti
I docenti sono forse l’aspetto più delicato. La cyber security awareness richiede formatori di esperienza comprovata, specializzati in modo verticale sulla materia, ma che abbiano allo stesso tempo la capacità di spiegarla in modo semplice. Il pubblico di riferimento è spesso a digiuno dei temi inerenti la cyber security e per questo occorrono figure che sappiano rivolgersi a un bacino di utenti con bassa competenza, ma capaci al tempo stesso di farlo crescere e accontentare anche chi mastica già i concetti di base. Meglio ancora se i docenti lavorano sul campo, in modo da offrire trucchi ed esempi pratici pronti per essere sfruttati fin da subito dai corsisti. Senza contare che un buon docente è il primo passo per avere un programma adatto alle esigenze specifiche di un’azienda.
Il rapporto tra azienda e formatore
Il programma di una campagna di cyber security awareness è il frutto della totale collaborazione tra azienda e formatore. Alla prima sta forse la parte più complessa: descrivere al secondo le metodologie di lavoro, le criticità nel ramo della cyber security, un prospetto sulle conoscenze dei dipendenti ed eventuali necessità da considerare. Al secondo, invece, il compito di recepire queste direttive e sviluppare un programma di cyber security awareness che le consideri in un ordine ragionato e con una progressione ben calibrata del livello di difficoltà. In questa fase, poi, è necessario che l’azienda sia disposta ad affidarsi al formatore e rivedere, quando necessario, le proprie aspettative. Non esistono programmi di cyber security awareness “all inclusive”: un programma di formazione si sviluppa in modo graduale e sul medio termine.
L’importanza della pratica
La parte pratica dovrebbe essere un elemento imprescindibile di un piano di cyber security awareness, ma la verità è che, fino a oggi, è stata ben poco considerata. Il motivo è che da una parte occorre un programma specializzato che tenga conto di dimostrazioni ed eventuali esercitazioni, mentre dall’altra non è sempre facile simulare attacchi e trappole informatiche per creare contenuti accessibili e dedicati alla formazione. Anche per questo motivo, alcune delle realtà che si occupano anche di cyber security awareness hanno integrato delle vere e proprie piattaforme dedicate. Si tratta, in buona sostanza, di tecnologie per la formazione, a distanza o di supporto alla docenza in presenza, con le quali sviluppare un percorso che tenga conto di docenti, programma e proprio esercitazioni.
Aggiornamento continuo
Che si scelga una formazione più tradizionale, una basata su piattaforme di questo tipo oppure una soluzione ibrida, il concetto fondamentale per massimizzare un investimento nella cyber security awareness è di puntare alla comprovata esperienza dell’azienda formatrice. Può sembrare banale, ma un programma di awareness ha costi di molto inferiori a una singola attività di incident response e disaster recovery, con l’enorme vantaggio di essere un investimento duraturo nel tempo. A tal proposito, come nota finale, si consideri che la cyber security awareness è un bene prezioso e come tale va preservato. Come? Considerando “richiami” e aggiornamenti che tengano al passo tutto il lavoro fatto in tema di awareness.