Tra le principali sfide della digitalizzazione che le aziende devono oggi affrontare c’è quella di creare una cultura cyber-aware, una sensibilità e una consapevolezza diffusa nell’organizzazione su quelle che sono le possibili conseguenze di un attacco di cybersecurity. Abbiamo affrontato il tema di come strutturare un programma efficace di Security Awareness con Alessio Setaro, Cyber Security Leader presso Leroy Merlin Italia.
TIG. Cosa serve per far crescere e consolidare una cultura di Security Awareness in azienda?
Alessio Setaro. Bisogna lavorare con costanza e con continuità, perché l’awareness è un’onda lunga i cui risultati si vedono nel lungo periodo. Dal momento in cui inizi a lavorare con costanza su tematiche di awareness, i primi risultati sostanziali arrivano dopo i 12/18 mesi. La conoscenza e la capacità delle persone di rispondere in modo appropriato a una minaccia cyber è un parametro intangibile, difficile da misurare a meno di esercitazioni pratiche e periodiche (che dovrebbero essere anche esse parte della strategia di awareness).
Quello che è certo è che le attività di formazione vanno fatte nel modo corretto e con diverse forme e livelli di linguaggio in modo da essere percepite correttamente da tutta la platea verso cui sono indirizzate le campagne. Occorre inoltre utilizzare una semantica utilizzata nel linguaggio aziendale in modo che l’attenzione degli utenti venga attivata nel modo corretto. Realizzare i corsi richiede poi un mix di competenze, oltre a quelle sul dominio specifico della cybersecurity, anche su aspetti di divulgazione, comunicazione e aspetti psicologici legati alla modalità di apprendimento ed ai “trigger” necessari per sfruttarla al meglio.
TIG. Come realizzare contenuti formativi efficaci?
Alessio Setaro. Per far apprendere una nozione, bisogna essere in grado di attivare punti di attenzione peculiari per ogni fascia della popolazione aziendale che si vuole raggiungere. Noi abbiamo verificato che con alcune modalità nuove di training (basate su giochi, quiz, momenti interattivi, ecc.) arrivano più feedback e aumenta il livello di attenzione sulle minacce reali, con un riscontro diretto sulle segnalazioni aperte dagli utenti nei confronti dell’IT e dei team di cybersecurity.
Nel nostro caso, ogni pillola formativa ha una durata non superiore ai 4 minuti ed inizia sempre con uno scenario che, sotto forma di cartone animato, riporta una situazione di negozio con elementi specifici (divisa, logo, storytelling) che inducono l’utente a riconoscersi nei personaggi della storia. Partendo quindi da un caso molto vicino alla realtà (“si è lasciato il POS abbandonato, si è aperto una mail di phishing”) viene in seguito analizzata la situazione e sono indicati i rischi e i correttivi da mettere in atto per respingere determinate tipologie di minacce.
TIG. Come verificare che le persone siano state correttamente informate e addestrate a rispondere ai rischi cyber?
Alessio Setaro. Anche i test sui livelli raggiunti per l’apprendimento devono essere continuativi. Fondamentali sono le esercitazioni di Ethical Phishing unite a giornate divulgative e formative fatte direttamente negli store, a contatto con i colleghi e con le situazioni e le eventuali difficoltà operative che quotidianamente vivono.
Periodicamente (circa ogni 18 mesi) viene poi effettuata una survey su tutta la popolazione aziendale per verificare quanto è cambiata la sensibilità rispetto alle tematiche su cui si è fatta la formazione. Andando infine a verificare sul campo la presenza di eventuali situazioni di rischio e l’effettiva possibilità di sfruttamento (tramite red team specifici o semplici controlli interni) si riesce a fare un bilancio su quello che ha funzionato e va consolidato e sui punti deboli ancora presenti che vanno ripresi magari in forme e linguaggi diversi.
TIG. Una tua raccomandazione finale?
Alessio Setaro. Bisogna sicuramente fare alleanze e sinergie con le divisioni aziendali che si occupano di HR e sviluppo competenze, in modo da avere dei canali già rodati per veicolare informazioni e messaggi. Vanno ascoltati gli utenti finali per capire il loro feeling e per rimuovere eventuali punti irritanti rispetto alle modalità utilizzate per formarli, in modo che tutto sia visto come un gioco di squadra e non come un’imposizione fine a sé stessa. Infine, il punto più è dare il buon esempio. Se ho comportamenti scorretti (ad esempio, un help desk che chiede la password agli utenti) rischio di vanificare tutti gli investimenti. La divisione IT deve essere compatta, perché basta poco per bruciare un anno di lavoro: l’integrità dei comportamenti nell’organizzazione è necessaria per raggiungere uno standing elevato.
A cura di:
Elena Vaciago, @evaciago
