Cybersecurity, competenze per la vita: ecco perché

di Redazione PMI.it

scritto il

La formazione in azienda legata ai temi della sicurezza IT e della compliance normativa non va sottovalutata e vi spieghiamo perchè: le evidenze Proofpoint.

Training fatigue: è la preoccupazione (valida) di molte aziende di ogni dimensione e settore di mercato, ma soprattutto per le imprese pubbliche quotate e quelle che sono tenute a fornire formazione compliance-based legata a normative regionali, nazionali, e/o globali.

Queste, oltre ad altre motivazioni quali budget contenuti, risorse limitate e la percezione che pratiche di sicurezza più adeguate non generino fatturato — portano le aziende a non prioritizzare il security awareness training, considerandolo più un “nice to have” e non un’esigenza imprescindibile.

Ed è qui che le aziende fanno un passo falso. I dati digitali sono ormai intrinsecamente connessi al tessuto dei processi e elle procedure di business — in tutti i ruoli e dipartimenti — e non è possibile minimizzare l’importanza delle competenze di cybersecurity. Se siete personalmente responsabili di aver ridotto la necessità di adottare un approccio globale di cyber hygiene o state lottando con tutte le vostre forze per cambiare il parere di coloro che prendono le decisioni, ecco tre motivi per riaffrontare l’argomento.

#1: Gli aggressori si focalizzano sulle persone … molte organizzazioni no

Il nostro recente State of the Phish Report e altre ricerche Proofpoint illustrano chiaramente il crescente focus dei cyber criminali sui target umani e l’uso di sofisticate tecniche di social engineering per accedere a dati, dispositivi e sistemi. I malintenzionati studiano gli organigrammi aziendali per trovare il giusto punto d’accesso — e non colpiscono solo i VIP. I lavoratori di livello inferiore vengono colpiti altrettanto frequentemente, se non di più, degli executive (approfondisci).

Chiunque nell’organizzazione può essere l’anello debole, o quello forte. Ma così come la prestanza fisica, le competenze cyber non possono essere sviluppate con pratiche irregolari e un’attenzione intermittente. Gli sporadici attacchi di phishing simulati e la formazione occasionale non permettono agli utenti di migliorare (o all’azienda di ridurre il rischio guidato dagli utenti). È necessario offrire ai dipendenti la possibilità di imparare nel tempo e sviluppare le capacità necessarie per proteggere meglio dispositivi e dati.

 

#2: Gli end user sono irrimediabilmente legati a infosecurity e IT

I team di infosecurity e IT devono garantire che i dispositivi, i processi e le procedure digitali funzionino in modo efficace ed efficiente. Anche quando gli attacchi di phishing, le infezioni malware e i data breach derivano da errori degli utenti, il personale infosec e IT deve risponderne (e risolvere il problema).

E, anche se fonte di frustrazione, la realtà è che gli utenti e i professionisti della security hanno una relazione simbiotica — relazione minata dall’approccio “noi contro loro”. Un maggior focus sulla formazione può migliorare le cose per entrambi i gruppi. Gli utenti consapevoli sono più attenti e creano un minor numero di incidenti che i team di security devono identificare e rimediare.

#3: Le persone apprezzano le competenze ‘portatili’  

Gli utenti possono rappresentare un ostacolo al successo quando si tratta di security awareness training. Ma in questi casi, la causa del malinteso è spesso la mancanza di comunicazione. Gli end user dovrebbero essere considerati degli stakeholder nei programmi di educazione alla cybersecurity — cosa che molte organizzazioni non fanno. I dipendenti che ritengono di sapere cosa viene loro richiesto — e perché — tendono a essere più interessati ad apprendere nuove competenze. Inoltre, è a vantaggio dell’aziende ricordare loro che tutto ciò che imparano è portatile: può essere usato a casa (per potenziare la sicurezza di dispositivi e dati personali) e condiviso con amici e parenti.

Non sottostimate il desiderio del dipendente di imparare nuove competenze che sono interessanti e utili anche a livello personale. Email, online banking, SMS e social media sono solo alcuni modi in cui gli individui comunicano e condividono i dati ogni giorno. E anche in questo caso le competenze di cybersecurity possono essere messe a frutto!

______

a cura di Adenike Cosgrove, Director International Product Marketing, Proofpoint