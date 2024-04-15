I recenti risultati del report IBM X-Force Threat Intelligence Index evidenziano un cambiamento nelle tattiche degli autori degli attacchi. Invece di utilizzare i metodi di hacking tradizionali, si è registrato un aumento significativo del 71% negli attacchi in cui i criminali utilizzano credenziali valide per infiltrarsi nei sistemi. I ladri di informazioni hanno visto uno sconcertante aumento di 266% nel loro utilizzo, il che sottolinea il loro ruolo nell'acquisizione di queste credenziali. Il loro obiettivo è semplice: utilizzare il percorso con meno resistenza, spesso attraverso dipendenti ignari, per ottenere credenziali valide.
Le organizzazioni hanno speso milioni per sviluppare e implementare tecnologie all'avanguardia per rafforzare le loro difese contro tali minacce, e molte hanno già campagne di consapevolezza sulla sicurezza, quindi perché non stiamo fermando questi attacchi?
La maggior parte dei programmi di sensibilizzazione sulla sicurezza di oggi fornisce ai dipendenti le informazioni necessarie sulla gestione dei dati, le regole del GDPR e le minacce comuni, come il phishing.
Tuttavia, questo approccio presenta una debolezza importante: i programmi non prendono in considerazione il comportamento umano. Solitamente seguono un approccio unico per tutti, in cui i dipendenti completano una formazione annuale generica basata sul computer, con qualche animazione accattivante e un breve quiz.
Sebbene ciò fornisca le informazioni necessarie, la natura frettolosa della formazione e la mancanza di rilevanza personale spesso fanno sì che i dipendenti dimentichino le informazioni nel giro di soli 4-6 mesi. Ciò può essere spiegato dalla teoria di Daniel Kahneman sulla cognizione umana. Secondo la teoria, ogni individuo ha un processo di pensiero rapido, automatico e intuitivo, chiamato Sistema 1. Le persone hanno anche un processo di pensiero lento, ponderato e analitico, chiamato Sistema 2.
I programmi di sensibilizzazione sulla sicurezza tradizionali si rivolgono principalmente al Sistema 2, poiché le informazioni devono essere elaborate in modo razionale. Tuttavia, senza sufficiente motivazione, ripetizione e significato personale, di solito le informazioni entrano da un orecchio ed escono dall'altro.
Quasi il 95% del pensiero e delle decisioni umane è controllato dal Sistema 1, che è il nostro modo abituale di pensare. Gli esseri umani si trovano ad affrontare migliaia di attività e stimoli al giorno, e gran parte della nostra elaborazione avviene automaticamente e inconsciamente attraverso pregiudizi ed euristiche. Il dipendente medio lavora in modalità automatica e, per garantire che le problematiche e i rischi di cybersecurity siano radicati nelle sue decisioni quotidiane, dobbiamo progettare e sviluppare programmi che comprendano davvero il suo modo intuitivo di lavorare.
Per comprendere il comportamento umano e come cambiarlo, ci sono alcuni fattori che dobbiamo valutare e misurare, supportati dalla COM-B Behavior Change Wheel.
Una volta compresi e valutati questi tre ambiti, possiamo individuare le aree di cambiamento comportamentale e progettare interventi che mirino ai comportamenti intuitivi dei dipendenti. In definitiva, questo approccio aiuta le organizzazioni a promuovere una prima linea di difesa attraverso lo sviluppo di una forza lavoro più consapevole della sicurezza informatica.
Una volta identificate le cause principali dei problemi comportamentali, l'attenzione si sposta naturalmente verso lo sviluppo di una cultura della sicurezza. Oggi la sfida prevalente nella cultura della cybersecurity è il suo fondamento nel timore dell'errore e dell'illecito. Questa mentalità spesso favorisce una percezione negativa della cybersecurity, con conseguente bassi tassi di completamento della formazione e una responsabilità minima. Questo approccio richiede un cambiamento, ma come possiamo realizzarlo?
Prima di tutto, dobbiamo riconsiderare il nostro approccio alle iniziative, allontanandoci da un modello esclusivamente focalizzato sulla consapevolezza e sulla conformità. Sebbene la formazione sulla consapevolezza della sicurezza rimanga fondamentale e non debba essere trascurata, dobbiamo diversificare i nostri metodi formativi per promuovere una cultura più positiva. Accanto a un'ampia formazione organizzativa, dovremmo adottare programmi specifici per ruoli che incorporino apprendimento esperienziale e gamification, come le coinvolgenti cyber range facilitate da IBM X-Force. Inoltre, le campagne a livello di organizzazione possono rafforzare la nozione di una cultura positiva, con attività come la creazione di una rete di cybersecurity o l'organizzazione di mesi di sensibilizzazione con eventi diversi.
Una volta selezionate e implementate queste iniziative per coltivare una cultura della cybersecurity positiva e solida, è fondamentale che ricevano supporto da tutti i livelli dell'organizzazione, dalla leadership senior ai professionisti di livello iniziale. Solo quando c'è un messaggio unificato e affermativo possiamo davvero trasformare la cultura all'interno delle organizzazioni.
Ora che abbiamo identificato le sfide comportamentali e implementato un programma volto a favorire una cultura positiva, il prossimo passo è stabilire metriche e parametri per il successo. Per valutare l'efficacia del nostro programma, dobbiamo affrontare una domanda fondamentale: in che misura abbiamo ridotto il rischio di un incidente di cybersecurity derivante da un errore umano? È fondamentale stabilire un insieme completo di metriche capaci di misurare la riduzione del rischio e il successo complessivo del programma.
Tradizionalmente, le organizzazioni si affidavano a metodi come le campagne di phishing e i test di competenza, con risultati contrastanti. Un approccio moderno è la quantificazione del rischio, un metodo che assegna un valore finanziario al rischio umano associato a uno scenario specifico. Integrare tali metriche nel nostro programma di cultura della sicurezza ci permette di valutarne il successo e di migliorarlo continuamente nel tempo.
Il mutevole panorama della cybersecurity richiede un approccio completo che affronti il fattore umano critico. Le organizzazioni devono coltivare una cultura positiva della cybersecurity supportata dal coinvolgimento della leadership e da iniziative innovative. Questo deve essere accompagnato da metriche efficaci per misurare i progressi e dimostrarne il valore.
IBM offre una gamma di servizi per aiutare i suoi clienti a orientare i loro programmi di sensibilizzazione per focalizzarli sul comportamento umano. Possiamo aiutarti a valutare e adattare gli interventi dell'organizzazione alle motivazioni e alle abitudini dei tuoi dipendenti, oltre ad aiutarti a promuovere una resiliente prima linea di difesa contro le minacce emergenti, permettendo a ogni individuo di essere un guardiano proattivo della cybersecurity.
