Nonostante i cospicui investimenti in soluzioni tecnologiche per la cyber security, ogni anno numerose imprese subiscono danni a causa di attacchi informatici. Firewall e tecnologie di sicurezza informatica sono indispensabili per migliorare la protezione digitale ma non proteggono dall'errore umano, presente in quasi 9 data breach su 10 (88% dei casi).
Per le organizzazioni diventa dunque indispensabile sviluppare e mantenere una strategia di sicurezza informatica completa che consideri anche la fallacia del fattore umano.
Il paper ‘Human firewalling’ analizza i cinque passaggi che le organizzazioni dovrebbero adottare per accrescere la consapevolezza dei dipendenti in tema di sicurezza informatica, istruendoli attraverso un approccio olistico e integrato:
- approfittare della scienza alla base delle tecniche di apprendimento degli adulti;
- utilizzare le attività di change management per rafforzare il comportamento;
- rendere la formazione più coinvolgente con tecnologie innovative;
- personalizzare l'esperienza per renderla memorabile;
- organizzarsi attorno a un tema che viene comunicato regolarmente.
La diffusione di pratiche sicure parte dall’alto
I programmi di sensibilizzazione per i dipendenti sulla cyber security devono avere due obiettivi fondamentali: fare della consapevolezza un’abitudine e coinvolgere lo staff a livello emotivo. Le riunioni annuali e i relativi moduli di training di apprendimento non sono più sufficienti: occorre insistere con più frequenza sull’adozione di pratiche sicure. Fondamentale diventa l’esempio quotidiano fornito dai dirigenti più senior.
Fortemente consigliata è anche la condivisione con tutti i membri del team di ciò che accade durante una violazione, delle possibili ricadute sul lavoro nonché delle potenziali conseguenze per l'organizzazione.
Nuovi programmi di apprendimento nella formazione del personale
Programmi efficaci di gestione dei comportamenti richiedono una formazione periodica che tenga informato tutto il personale sulle best practice del settore e sui cambiamenti delle policy.
Tuttavia, le aziende dovrebbero prendere in considerazione l'idea di andare oltre i tradizionali metodi di formazione. La gamification, per esempio, è uno strumento che aumenta la motivazione e il coinvolgimento emotivo dei lavoratori, rafforzando le possibilità di induzione di un cambiamento duraturo.
L’impatto positivo del fattore umano
La comprensione dell’importanza della proprio condotta e dei possibili rischi informatici a cui si espone la propria azienda trasforma la forza lavoro in un'estensione del team di sicurezza informatica. La sensibilizzazione rende più probabile che i dipendenti mettano in atto accorgimenti e comportamenti in linea con le guideline, riducendo al minimo il rischio e anzi portando l’essere umano a diventare un fattore positivo nella protezione.
Un approccio olistico alla protezione informatica da parte di un'organizzazione, quindi, con un investimento nello sviluppo delle conoscenze dei dipendenti, aumenta in modo esponenziale l’efficacia dei sistemi di cyber security.
