google 4.9 (34 recensioni)
Cyber security servizio per voi
Programmare una dimostrazione
Torna al Centro risorse

Guida CISO: Come creare una cultura security awareness

13 ottobre 2023 - Cyber security

Condividi

Pim de Vos Responsabile marketing

Un solido programma di sicurezza deve essere incentrato su persone, processi e tecnologia. Questo viene spesso definito il "triangolo d'oro".

Molti CISO ritengono che l'aspetto "Persone" sia la parte più impegnativa di questo framework. Di gran lunga.

Ottenere il consenso delle parti interessate. Far sì che i dipendenti credano nei vostri piani. Comunicare le minacce informatiche in modo chiaro ed efficace. E soprattutto, costruire una cultura in cui la sicurezza sia sempre al centro dell'attenzione, invece di essere un pensiero secondario.

Questo CISO sa bene quanto possa essere importante, ma anche complesso, questo aspetto 👇.

In questo articolo parleremo di come i CISO possono costruire una cultura security awareness all'interno della loro organizzazione.

Ma prima di tutto, cerchiamo di capire cosa comporta una cultura security awareness .

Che cos'è la cultura security awareness (e perché è importante)?

La cultura di un'azienda si basa sulle convinzioni e sui comportamenti dell'organizzazione. Quando un'azienda ha una forte cultura security awareness , i dipendenti sono consapevoli delle minacce informatiche rilevanti, delle attività da segnalare e di chi contattare in tali situazioni. Quando l'organizzazione ha una solida cultura di security awareness , non viene considerata come un ripensamento, ma come una priorità.

Al giorno d'oggi, concentrarsi su una forte cultura security awareness è fondamentale. Il 95% di tutti gli hackeraggi e delle violazioni di dati sono causati da errori umani:

  • Cliccando sui link di phishing
  • Mancato aggiornamento del software
  • Utilizzo di password deboli
  • Lavorare in remoto senza una VPN

E l'elenco continua.

Ecco perché è dannoso perdersi nella tecnologia e nei processi se non si è ancora prestata la giusta attenzione alle persone.

In un'organizzazione in cui non esiste una forte cultura security awareness , la sicurezza è sempre "responsabilità di qualcun altro". Ma ciò che serve è un senso di responsabilità condiviso in tutta l'organizzazione. Perché la forza è pari a quella dell'anello più debole.

Parlando di cultura aziendale, Dustin Moskovitz, cofondatore e CEO di Asana, sottolinea l'importanza della perseveranza e di iniziare presto. "Se rimandate questo lavoro perché vi sembra difficile e distraente ora, vi state solo preparando a un problema molto più difficile (e forse impossibile) da risolvere in seguito. La cultura si rafforza e diventa più rigida nel tempo, quindi è importante spingerla nella giusta direzione il prima possibile".

Costruire una cultura security awareness in cinque passi

Ora che abbiamo stabilito l'importanza di una forte cultura di security awareness , parliamo dei passi da compiere per costruirne una per la vostra organizzazione.

1. Ottenere il sostegno della leadership

Il primo passo da fare è partire dai vertici. La costruzione di una cultura inizia con il sostegno della leadership. Se la leadership non investe in security awareness, tutto il resto del lavoro è inutile. Tutte le culture aziendali vengono coltivate all'inizio dall'alto verso il basso. Perché se l'amministratore delegato non la considera una delle sue priorità, perché dovrebbero pensarlo tutti gli altri membri dell'azienda?

Come per qualsiasi altra unità aziendale, il vostro compito di CISO è quello di comunicare il livello di sicurezza attuale della vostra organizzazione e le iniziative che avete pianificato per migliorarlo. Quanto più regolarmente si comunica questo aspetto, tanto più il messaggio rimarrà impresso nel tempo.

È utile mostrare regolarmente un cruscotto con cui l'intero team dirigenziale possa familiarizzare. Potrebbe trattarsi, ad esempio, dei risultati del mese scorso del vostro programma di formazione security awareness . Da qui, potreste rispondere alle seguenti domande:

  • Su quali minacce informatiche è stato formato il team?
  • Quali argomenti richiedono maggiore attenzione?
  • Quali sono i reparti che funzionano meglio o peggio?
  • Cosa dicono i punteggi sul nostro livello di sicurezza complessivo?

Una volta ottenuto il consenso del gruppo dirigente, è il momento di concentrarsi sui "campioni" del vostro reparto. Questi possono essere i capisquadra o i responsabili di un particolare reparto. Sono queste le persone che vi forniranno il feedback necessario durante l'implementazione delle iniziative di sicurezza.

In qualità di CISO in un'organizzazione di grandi dimensioni, molto probabilmente avrete a che fare con molti interlocutori diversi allo stesso tempo, che richiedono tutti un approccio diverso. Può essere facile perdere di vista chi deve comunicare e chi ha bisogno di maggiore attenzione. Potete utilizzare un modello di gestione degli stakeholder per tenere tutte le anatre in fila.

2. Creare una dichiarazione del marchio

Ora che la leadership è d'accordo, coinvolgetela nel processo di creazione di una dichiarazione del marchio. Questa dovrebbe rispondere a tutte le domande importanti che riguardano le vostre politiche di sicurezza, come ad esempio come i dipendenti possono contattarvi o come vi comportate di fronte a una minaccia informatica.

Secondo il CISO Jadee Hanson, il modo migliore per far rispettare questa dichiarazione del marchio non è comunicarla. Hanson incoraggia i CISO a celebrare semplicemente il comportamento ricercato. In questo modo si crea un effetto a palla di neve all'interno dell'organizzazione, con persone che potrebbero cercare di ottenere lo stesso riconoscimento. Maggiori informazioni sui modi per celebrare il vostro team sono riportate più avanti in questo articolo.

3. Organizzare una formazione regolare per i dipendenti

Non è possibile avere una forte cultura security awareness senza formare i dipendenti sulle minacce informatiche attuali e su ciò che si sta cercando di proteggere. I dipendenti devono capire quanto l'organizzazione sia a rischio e cosa sia in gioco.

In molte organizzazioni, la formazione su security awareness viene offerta solo una o due volte l'anno per conformarsi a normative come il GDPR. Non è questo il tipo di formazione di cui stiamo parlando.

Per costruire una vera consapevolezza, la ripetizione è fondamentale. Le ricerche dimostrano che il 90% degli apprendimenti di un corso unico viene dimenticato dopo due settimane. Quando si offre una formazione regolare, i dipendenti accumulano le conoscenze nel tempo e si verifica un reale cambiamento di comportamento. È semplicemente impossibile costruire una cultura security awareness se i dipendenti devono pensarci attivamente una o due volte l'anno.

Il grafico mostra come la formazione regolare porti alla conservazione delle conoscenze

Quando trovate la soluzione di formazione giusta, assicuratevi che non sia incentrata solo su phishing. Phishing è la minaccia informatica più grande, ma non è l'unica. È necessario un programma di formazione che si concentri su tutti i temi rilevanti, tra cui:

  • Phishing
  • Smishing
  • Lavoro remoto sicuro
  • Frode del CEO
  • Aggiornamento del software
  • Ransomware

Naturalmente non è necessario impartire questa formazione di persona. Molti specialisti della sicurezza hanno difficoltà a insegnare la formazione di base security awareness . Non per mancanza di conoscenze, ma perché l'insegnamento è un'abilità sottovalutata che non tutti possiedono. Spiegare concetti complessi in termini profani è una forma d'arte.

Con una soluzione come Guardey, il vostro team riceve ogni settimana una sfida online di 3 minuti per allenarsi security awareness. Questo gioco security awareness è stato creato con l'aiuto di professionisti della sicurezza e di educatori.

4. Comunicazione, comunicazione, comunicazione

Una volta che si è acquisito il consenso e la formazione, è il momento di comunicare, comunicare e comunicare ancora un po'. Ogni amministratore delegato che si distingue per la costruzione di una forte cultura aziendale è noto per ripetere continuamente i valori fondamentali.

In qualità di CISO, dovete attirare regolarmente l'attenzione e comunicare le vostre priorità in materia di sicurezza e ribadire la responsabilità condivisa da tutto il team.

Oltre a comunicare le politiche di sicurezza e gli aggiornamenti importanti, spesso un po' aridi (ma necessari), utilizzate una prospettiva positiva. Un buon modo per farlo è riconoscere attivamente, premiare e celebrare apertamente i comportamenti attenti alla sicurezza.

Condividete un messaggio nel canale Slack aziendale su come Peter ha segnalato una minaccia informatica che ha risparmiato all'azienda un sacco di problemi. Oppure condividete i risultati della vostra soluzione di formazione security awareness e celebrate i top performer durante un keynote. Le opzioni sono infinite.

La trasparenza è fondamentale. Assicuratevi che voi e il vostro team siate accessibili e che ci siano canali per il resto dell'organizzazione per contattarvi.

5. Misurare, valutare e migliorare

Misurare significa conoscere. Per sapere se le vostre iniziative su security awareness stanno dando i loro frutti, dovrete stabilire alcuni indicatori chiave di prestazione (KPI).

Se utilizzate una soluzione di formazione security awareness come Guardey, potete semplicemente dare un'occhiata al vostro dashboard e vedere le prestazioni del vostro team. Su base settimanale, riceverete nuove informazioni che vi insegneranno quali argomenti il vostro team sta ottenendo buoni risultati e quali invece necessitano di maggiore attenzione. Inoltre, viene mostrato il livello di partecipazione del team. Un alto tasso di partecipazione è fondamentale ed è un indicatore importante del valore della formazione per il team.

Ma un modo sottovalutato di misurare gli effetti dei vostri sforzi su security awareness è quello di osservare i segnali non così ovvi:

  • Le segnalazioni di minacce informatiche sono in aumento?
  • I colleghi si richiamano l'un l'altro su comportamenti indesiderati?
  • Ricevete più domande sulla sicurezza in generale?

Questi sono tutti chiari segnali di un maggiore senso di responsabilità. Il momento in cui le persone all'interno della vostra organizzazione diventano proattive, è quello in cui si può davvero parlare di una cultura security awareness .

Se siete un CISO, non sempre riuscite a cogliere tutti questi segnali, soprattutto nelle grandi organizzazioni. Ecco perché può essere utile un sondaggio regolare per raccogliere feedback.

Una volta raccolte tutte queste informazioni, è importante utilizzarle e migliorare i processi in atto.

I vostri collaboratori potrebbero essere il vostro firewall più forte

Cultura" è una parola vuota che si usa facilmente. È quasi altrettanto facile scrivere un paio di valori fondamentali e chiudere la questione.

Ma promuovere una cultura security awareness è un lavoro difficile. La vostra organizzazione, compreso il team di leadership, potrebbe vedervi come un ostacolo. Potrebbero considerare la sicurezza come un "non problema loro". E cambiare l'interruttore è difficile. Ma quando lo farete, i risultati ne varranno la pena.

Risorse che potrebbero interessarvi

Cyber security
Cyber security quiz per i dipendenti: le 14 migliori opzioni
Cyber security
I 9 migliori quiz e giochi sul cyberbullismo per la prevenzione
Cyber security
Le 10 migliori valutazioni di security awareness per i dipendenti
Centro risorse
Sito web di Anouk CTA Guardey
PROVA GRATUITA DI 14 GIORNI

Provate Guardey oggi stesso.

  • Prova completamente gratuita
  • Assistenza 24/7
Iniziare la prova gratuita di 14 giorni