Quando si tratta di awareness e formazione in tema Cybersecurity spesso siamo davanti al baratro dell’indifferenza e del disingaggio rispetto alle modalità con cui la formazione e comunicazione inambito di sicurezza è costruita e distribuita.
Da una ricerca che abbiamo effettuato su oltre 300mila utenti - analizzando gli strumenti tipici di comunicazione - abbiamo registrato CTR e dati di ingaggioche, nella media, non superano il 5%, ovvero più di 9 persone su 10 non sanno letteralmente nulla di quanto gli viene comunicato. Più della metà delle mail sono infatti totalmente ignorate, ovvero non solo non vi è alcun tipodi interazione ma non vengono proprio né aperte né lette. Infine, abbiamo rilevato come quanto maggiore è il numero dei destinatari di una comunicazione(DEM, email) tanto maggiore è la percentuale che la stessa sia ignorata.
Questi dati vengono confermati anche da una recente ricerca di Gartner che evidenzia come nonostante il 90% delle aziende metta in atto dei programmi di awareness inambito cyber, il 69% dei dipendenti li bypassi completamente.
“Security awareness programs are failing at behavior management. Over 90% of cybersecurity functions have an awareness program, yet 69% of employees admit to intentionally bypassing their enterprise’s cybersecurity guidance.”
(Gartner - Security Awareness Efforts Fall Short! Now What? (Survey ResultsAnalysis – Feb 2023)
Davanti, quindi,al rischio di fallimento dei programmi di cyber-awarness se proposti e comunicati attraverso i più tradizionali canali, ecco che oggi la governance della Cybersecurity deve avere un approccio diverso: arrivare a ciascuno in modo personalizzato e le modalità ed i tempi dell’ingaggio diventano due fattori chiave, cosi che se adeguati ed indovinati fanno si che le comunicazioni prima e la formazione poi siano davvero efficaci. Inoltre,secondo Gartner diventa necessario proprio un nuovo paradigma per la formazione in riferimento e al “come” viene effettuata: la creazione di un programma di Cybersecurity Engagemrnt richiede nuove capacità e leve che vanno oltre le comuni (e inefficaci) tattiche di solo formazione o sensibilizzazione. Queste capacità emergenti includono la behavioral science, l'automazione, l'integrazione dei dati, l’orchestrazione di tool e piattaforme e il coinvolgimento personalizzato.
Qualche suggerimento per iniziare da oggi ad attuare concretamente questi temi?
Ci sono tre elementi su cui è possibile lavorare per iniziare a migliorare l’impatto e l’efficacia di formazione e comunicazione in ambito cyber:
1. Deliverability: i messaggi non devono passare inosservati, anzi bisogna attirare l’attenzione e farlo in modo leggero,divertente e personalizzato, raggiungendo ogni dipendente: nessuno deve restare fuori e ai margini quando si parla di comunicazione interna aziendale;
2. Engagement: la cybersecurity può “diventare cool”,sorprendere e coinvolgere le persone magari arrivando al momento migliore, nel posto giusto e avviando una relazione circolare, non più una dinamica unidirezionale di formazione percepita come noiosa e lontana dal proprio quotidiano;
3. Misurazione: non è più solo un tema di singolo CTR,bensì stabilire e valutare obiettivi per orchestrare canali, strumenti e tempi in una dimensione più ampia in cui sia poi possibile capire l’effettivo impatto di un messaggio e decidere come generare collateralità positive.
Per trovare una sintesi oggi la cybersecurity è una sfida che chiede nuova leadership nel ruolo del CISO soprattutto nel come amplificare e rendere esponenziale qualcosa che è ancora lineare: ovvero raggiungere e ingaggiare tutte le persone con le informazioni di cui hanno più bisogno, in modo personalizzato e misurandone poi l’efficacia accompagnandole in piani di formazione nuovi, esperienziali e “in the flow of work”.
Quale può essere allora una soluzione per mettere insieme tutti questi aspetti e concretizzare una strategia di effettiva awareness, engagement e formazione efficace in tema di cybersecurity?
Grazie ad un lavoro profondo di analisi, di monitoraggio e approfondimento delle abitudini e dei comportamenti più diffusi delle persone in relazione a questo specifico bisogno, abbiamo disegnato e declinato una possibile, e interessante, soluzione:si tratta di una piattaforma phygital (SaaS e white-label) che permette in piena autonomia – a livello di creazione dei contenuti e di stile – di raggiungere ogni tuo target “outside the box” (letteralmente non solo fuori dagli schemi ma anche da caselle email o qualsiasi repository) con messaggi contestuali e personalizzati che non solo catturano l’attenzione ma incoraggiano (tramite il nudge-tech) a intraprendere azioni e attività,aprendo un loop di coinvolgimento della persona circolare e completo.
Ad esempio, vuoi favorire l’utilizzo di OneDrive invece di altri tool per l’invio dei file sul web? Sarebbe bello se sullo schermo dei tuoi dipendenti apparisse un messaggio che li aiuta e indirizza ad usare OneDrive proprio mentre stanno per usare un altro metodo.
Non è fantasia o un mondo parallelo, è molto più semplice, accessibile e sostenibile: con hi platform le comunicazioni e le informazioni sulla cybersecurity arrivano direttamente alle persone (senza il bisogno di alcun click o azione in più) nel momento più idoneo e con un tasso di adozione (non devi infatti aprire nulla) e di risposta alle call to action che si attesta ben oltre il 50% (10 volte tanto l’ordinario!).
“Mi piace quando l’innovazione è social, non nel senso più comune del termine, ma inteso come impatto sociale (cioè di relazione) e con cui cambi qualcosa, in meglio,nella vita (lavorativa) delle persone. Per i CISO rendendo finalmente esponenziale la diffusione dei loro sforzi in materia di sicurezza; per i destinatari mettendoli in condizione di fare quel passo in più incontro alla conoscenza e partecipazione ad un mondo di cose belle e ad una azienda piùsicura.” – Francesco Pozzobon, Chief Sales & Marketing @Digital Attitude
Il 2023 sarà un anno di grande espansione per il mercato della Cybersecurity. Infatti, secondo i dati del CLUSIT, nell’ultimo anno il mercato è cresciuto del 18%, con un ritmo mai registrato fino ad ora.
Ciò sicuramente è dovuto alla maggior consapevolezza sul tema all’interno delle grandi organizzazioni ma anche dall’aumento dei sempre più gravi attacchi informatici il cui numero continua a salire in modo esponenziale: secondo le ricerche dell’Osservatorio Cybersecurity & DataProtection del Politecnico di Milano nell’ultimo anno il 67% delle grandi imprese italiane ha rilevato attacchi di cybersecurity e il 14%di esse ha avuto conseguenze importanti sul proprio business.
Come agire quindi? Secondo il CLUSIT i punti su cui ogni azienda dovrebbe organizzare la propria roadmap sono tre:
- Presidio della Cybersecurity: ovvero il consolidamento all’interno dell’azienda di una governance della sicurezza,attraverso la figura del CISO;
- Figure di professionali di supporto al CISO: sono necessari anche degli specialisti dedicati al presidio della cybersecurity: dal cyber risk manager, al data protection manager ma anche sercurity analyst o security developer;
- Formazione nuova e diversa in tema cybersecurity: sono necessarie sempre di più iniziative di sensibilizzazione e formazione adeguata dei dipendenti.
Tra questi punti quello sicuramente più importante è l’attivazione di iniziative di formazione dedicate alla formazione dei dipendenti in ambito cyber. Infatti, dalla ricerca del CLUSIT emerge che gli attacchi cyber che hanno avuto conseguenze tangibili sono stati causati con tecniche di social engineering, il quale va ad agire proprio sulla psicologia e sulla persuasione delle persone. Ecco, dunque, che diventa fondamentale formare i dipendenti in modo mirato, diretto e concreto sulla cybersecurity lavorando sull’anello debole ovvero i comportamenti umani.
“La formazione rappresenta ormai un elemento imprescindibile in una buona strategia di cybersecurity. L’efficacia della formazione dipende però dalla capacità di focalizzarsi sugli impatti diretti e concreti che ciascuno dei dipendenti, nel diverso ruolo ricoperto in azienda, può sperimentare nelle proprie attività quotidiane.”
(Osservatorio Cybersecurity & Data Protection del Politecnico di Milano – Febbraio 2023)
Tuttavia, per trarne i corretti vantaggi la formazione in questo campo deve essere efficace e diretta sulle attività quotidiane dei singoli:dalle password alla condivisone dei file online. Siccome è proprio il fattore umano quello su cui fanno breccia le tecniche di attacco più comuni, le persone in azienda devono essere pronte e allenate a reagire nel day by day.