Quali sono i modi più efficaci per diffondere una cultura della sicurezza in azienda? Come impostare i contenuti, rivolgendoli a gruppi di persone con ruoli diversi in azienda? Sviluppare un programma di Security Awareness di successo è un’arte … Ne parliamo in questa intervista con Raoul Brenna, Manager of Cybersecurity by Design, Vulnerability Management & Cybersecurity Awareness di Fastweb.
TIG. Come far crescere e consolidare una cultura di Security Awareness in azienda?
Raoul Brenna. Credo che l’elemento chiave sia sempre quello di trasferire alle persone un valore tangibile in quello che fanno. Ossia, il trasferimento della consapevolezza è più efficace se il destinatario è fortemente consapevole della profonda utilità di quello che sta apprendendo. L’approccio principale che ho utilizzato più volte nelle mie diverse esperienze di costruzione di programmi di formazione è quello “win win”. A volte anche sotto lo slogan “proteggi te stesso per proteggere l’azienda”. In pratica, chiarendo che le nozioni e gli atteggiamenti che si trasmettono sono utili per tutelarsi nella propria vita privata prima ancora che nel contesto lavorativo, (magari per difendersi da furti d’identità e frodi finanziarie che diventano sempre più credibili e personalizzate), le persone sembrano essere maggiormente stimolate a mettere in pratica una sana cultura di sicurezza informatica in tutti i contesti.
Un’altra via (e forse una fondamentale premessa) è quella di chiarire che i temi di sicurezza informatica non sono solo per tecnici. Anzi, che la materia è trasversale e ha delle ricadute in tutti i ruoli. Anche solo nel farsi le domande giuste. Ci saranno sempre aspetti “cyber” da considerare, sia che si stia avviando un progetto tecnologico (“ma è giusto che il sistema acceda a questi dati? E come lo fa?”), che si stia valutando un’iniziativa in generale (“si ha notizia di attacchi sofferti dai sistemi o servizi di questo tipo? O sviluppati dal medesimo fornitore?”) o che si progetti una campagna di comunicazione (“ma se dico che gli utenti riceveranno un’email… Da dove devono aspettarsi di riceverla, per distinguerla dal phishing?”).
Trovo che il modo migliore e con i risultati più efficaci e duraturi sia quando si riesce a trasferire alle persone il fatto che, lavorando con il giusto livello di consapevolezza su questi temi fin dall’inizio o “by design”, si crea maggior valore per il business e si consolidano sistemi più resilienti.
TIG. Come realizzare contenuti formativi efficaci?
Raoul Brenna. Il primo aspetto da considerare è certamente il capire molto bene cosa si vuole ottenere, e a quale target è diretta l’awareness, che è un concetto diverso rispetto alla formazione. Un conto è formare la persona attraverso contenuti di base un altro è trasferire nozioni che abilitano, se non l’adozione di best practice progettuali o tecniche, almeno la comprensione del fatto che ci siano elementi da considerare e incorporare nelle iniziative portate avanti in azienda.
Una volta chiarito il tipo di contenuto, anche il target è assolutamente rilevante. Una awareness generalista, magari rivolta a tutta la popolazione aziendale, ha un impatto diverso rispetto ad una focalizzata su gruppi specifici. Persone e ruoli diversi vanno ingaggiati in modi diversi. Ad esempio, le persone con una estrazione più tecnica potranno gradire la presenza di insight sul funzionamento di specifici attacchi (per comprendere meglio l’entità e la concretezza del rischio cyber attuale).
Richieste o esigenze comuni sono, ad esempio, quelle di cercare di sintetizzare raccomandazioni in checklist, sebbene la natura stessa delle minacce informatiche poco si presti a schematizzazioni, o di proporre un mix di contenuti multimediali e/o interattivi. D’altro canto, non va sottovalutato il valore dei contenuti testuali, in cui si possono cristallizzare elementi su cui è bene che non ci sia ambiguità. Quando si tratta di impostare campagne rivolte a platee allargate, occorre quindi un compromesso tra tutti i fattori.
Sicuramente, nell’awareness, oggi, c’è un tema di velocità di fruizione: le persone sono letteralmente sommerse da contenuti informativi di ogni tipo; quindi, occorre prevedere ingaggi contenuti nel tempo (nell’ordine della decina di minuti) e ripetuti (ad esempio ogni qualche settimana) per tenere alta l’attenzione. Magari costruendo un percorso in cui ogni contenuto si leghi ai precedenti e in cui il fruitore è guidato attraverso un filo logico coerente.
Il tema del legame tra i contenuti si ripropone ancora più marcato quando si parla di formazione. Qui è molto apprezzata l’alternanza tra momenti di didattica frontale e momenti “hands-on”, ma questi ultimi devono essere ben contestualizzati al contenuto trasferito e soprattutto organizzati con una logica di fruizione efficace.
TIG. Come testare il livello di preparazione raggiunto dalle persone?
Raoul Brenna. Ecco, questo è un tema importante. Non credo che l’awareness debba necessariamente richiedere un momento di “verifica formale” della preparazione. Tuttavia, è evidente come sia necessario quantificarne l’efficacia, per affinare progressivamente i contenuti in un’ottica di continuo miglioramento. Tracciare i progressi compiuti in termini di efficacia dell’awareness può certamente essere d’aiuto, senza dimenticare l’importanza di un corretto tracciamento anche in funzione degli obblighi di formazione derivanti dalla normativa di settore.
Sul come farlo, la risposta più immediata è quella dei “quiz”. Introdurre piccoli momenti di ingaggio interattivi, sia durante l’erogazione che a posteriori, è un modo per tenere alta l’attenzione, e per individuare le aree su cui possono sussistere difficoltà. Tuttavia questo strumento non è in grado di restituire sempre e con estrema precisione il livello di preparazione raggiunto: per questo è importante prevedere anche modalità di ingaggio “situazionali”.
L’utente deve essere posto di fronte ad uno scenario in cui si sollecita l’attivazione delle competenze idealmente acquisite, e il modo più immediato per farlo, è la simulazione pratica. Oggi si traduce ad esempio in campagne di phishing simulate, o altri esercizi simili. Questo apre una riflessione: cosa ci aspettiamo da questi momenti di “verifica”? Secondo la mia esperienza sono 3 gli indicatori principali per quanto riguarda l’efficacia dei programmi di awareness di questa tipologia:
- un primo indicatore è che la ripetizione delle simulazioni dovrebbe portare ad una diminuzione graduale nel tempo dei soggetti che falliscono nei test (e conseguentemente di quelli colpiti dagli attacchi);
- un secondo indicatore importante è la tempestività con cui chi identifica il phishing (o in generale l’evento anomalo) lo segnala. Questo è un tema fondamentale: se riesco a sollecitare una segnalazione da parte di un numero di persone statisticamente rilevante in un tempo molto breve, ho avuto successo. Dove “statisticamente rilevante” significa più alto del “rumore medio” delle altre segnalazioni. Nella pratica non pensiamo a numeri enormi: già una decina di segnalazioni concentrate in un periodo di tempo molto breve possono sollevare un alert!
- Infine, l’aumento del tasso di utilizzo dei canali di segnalazione corretti, che aiuta la sicurezza a diminuire la complessità di gestione migliorandone l’efficacia. Mi spiego: se l’azienda mette a disposizione l’oramai classico “bottone” per segnalare email sospette, è importante che le segnalazioni arrivino esattamente (e possibilmente solo) da questo. I contatti personali, le telefonate ecc. aiutano solo fino ad un certo punto.
È importante quindi, dopo ogni campagna, rileggere criticamente gli esiti e veicolare verso l’azienda i punti di forza e le aree di miglioramento riscontrate. Proprio per questo, rimango convinto del fatto che l’approccio basato su simulazioni pratiche (ad esempio il phishing, ma non solo) debba rispettare tempistiche precise. Non credo sia utile spingere eccessivamente su una frequenza di simulazioni molto elevata: non si ha il tempo di far metabolizzare i risultati all’azienda e si rischia, potenzialmente, di sperimentare un incremento di segnalazioni riguardanti eventi non anomali.
In un’ottica di continuo miglioramento, Fastweb sta provando a ricreare situazioni di test realizzate attraverso interazioni con “chatbot”, con l’obiettivo di consentire agli utenti di sviluppare un’interazione quanto più realistica possibile, in modo da poter cogliere con più efficacia i segnali e gli elementi che possono far scattare potenziali comportamenti non sicuri.
TIG. È possibile migliorare progressivamente il programma di Security Awareness nel tempo?
Raoul Brenna. Non solo è possibile, ma aggiungerei anche che è doveroso. Come dicevo, non si può certamente avere la pretesa di trasformare tutti i dipendenti di un’azienda in esperti di sicurezza informatica. Ma il traguardo da porsi credo che sia sempre quello di trasferire quel giusto livello di consapevolezza che permette di far leva sulle persone per colmare i gap della tecnologia. Ovviamente, è fondamentale anche promuovere l’adozione di tecnologie innovative che a loro volta possono svolgere con più efficacia alcuni tipi di controlli.
Questo apre due temi a mio avviso. Il primo è certamente quello di rileggere sempre in modo critico i risultati dell’awareness erogata, ma anche di tenere sott’occhio le nuove minacce e i nuovi metodi con cui l’utente viene ingaggiato dagli attaccanti, così da affinare man mano i contenuti e assicurarsi di veicolare messaggi costantemente aggiornati. Naturalmente avendo sempre presente i destinatari: alcuni messaggi sono per tutti, altri per persone più tecniche, altre per chi fa un certo lavoro, ecc. Ma in ogni caso, con l’obiettivo di far sì che ciascuno possa contribuire a identificare e segnalare “anomalie” che, rispetto al proprio ambito di competenza, possano essere un segnale di un attacco in corso (per i più tecnici, un comportamento errato di un software, per chi più segue processi, un’email “stonata”, ecc.)
Il secondo tema è invece quello della comunicazione: ho menzionato iniziative tecnologiche a supporto dell’utente, ma è importante anche che queste siano correttamente comunicate e spiegate agli utenti, perché ne possano trarre il massimo beneficio e non sollevino invece alert ingiustificati. Se si introduce ad esempio un nuovo controllo all’accesso quando ci si collega in VPN (per citare un tema oggi molto diffuso) è bene che tutti gli utilizzatori sappiano quali nuovi comportamenti del software sono leciti, quali invece anomali. E a proposito di comunicazione, non mi stanco mai di ripeterlo, è altresì importante che a tutti sia ben chiaro a chi segnalare cosa e in che modo. Banalmente: se c’è un “bottone antiphishing”, usiamo quello!
TIG. Cosa ti ha insegnato l’esperienza, una tua raccomandazione finale su questi temi?
Raoul Brenna. Aumentare l’awareness delle persone è un percorso. Peraltro, è un percorso lungo, complesso, che presenta ostacoli e che in realtà non ha una fine, visto che il panorama degli attacchi è in continuo mutamento ed evoluzione anche in termini di sofisticatezza.
In questo contesto un utile suggerimento è quello di essere ricettivi, sia in termini di feedback che di lettura dei risultati delle attività, anche nei confronti delle nuove minacce in arrivo, così da comporre in ogni momento il miglior patchwork di iniziative. In particolare, inoltre, credo sia fondamentale far sentire tutti parte di uno sforzo complessivo, sia in termini di sicurezza dell’ambiente di lavoro che a favore della comunità e del singolo, mettendo le persone al centro. Un impegno che rientra all’interno di “Tu sei Futuro”, la nuova visione strategica di Fastweb per aiutare tutti a costruire il proprio futuro con fiducia.
A cura di:
Elena Vaciago, @evaciago
Precedenti articolo sul tema Security Awareness:
9 maggio 2022 – SECURITY AWARENESS, COME FARLA CRESCERE IN AZIENDA
20 maggio 2022 – A COSA FARE ATTENZIONE PER UNA SECURITY AWARENESS DI SUCCESSO