La realizzazione di un efficace programma di awareness sulla sicurezza ICT non può prescindere dalla conoscenza del contesto in cui viene svolto, dalla sponsorizzazione del top management, dall’adozione di una strategia di comunicazione adeguata e dal monitoraggio dei risultati
Le statistiche evidenziano che circa il 90% dei programmi malware si installa a causa di errori umani effettuati da utenti “inconsapevoli”. Per tale ragione, un fattore chiave per avere un sistema di sicurezza aziendale efficace è la realizzazione di un programma di awareness in grado di coinvolgere tutti gli utilizzatori del sistema informativo. Un programma di awareness sulla sicurezza informatica non è solo “formazione”, ma un circolo virtuoso che partendo dalla “comprensione” dei rischi connessi all’utilizzo del sistema informativo, porti i suoi fruitori ad adottare comportamenti adeguati (consapevolezza) durante le attività lavorative quotidiane.
Il primo fattore chiave per realizzare un efficace programma di awareness è la comprensione del contesto nel quale esso sarà realizzato, in particolare, le caratteristiche dell’audience (età, titolo di studio, ruolo in azienda, …), e il livello di “consapevolezza” sulla sicurezza. Sul primo punto, i dati sono disponibili in azienda presso la funzione HR, mentre sul secondo si può predisporre un questionario on line che tutti i dipendenti devono compilare. Un mezzo più efficace è la simulazione di attacchi di phishing verso i componenti dell’audience del programma al fine di valutare il numero di vittime che vi cadono. Le informazioni raccolte permettono di suddividere l’audience del programma in gruppi target omogenei per mansioni, competenze e “necessità” rispetto alla sicurezza informatica. Ultimo aspetto da considerare in questa fase è la disponibilità di un impianto documentale sulla sicurezza completo, esaustivo e non ambiguo soprattutto per la parte inerente le “norme comportamentali”. Queste rappresentano l’oggetto principale sulle quali deve essere raggiunta la massima conoscenza e consapevolezza.Altro fattore chiave per il successo di un programma di awareness è la fase di progettazione che deve necessariamente partire dalla sponsorizzazione del top management.
Un buon strumento per ottenere tale sponsorizzazione potrebbe essere la preparazione di un “Business Case” sul programma di awareness con la valutazione del ROSI (Return of Security Investment) associato a esso. Per poter calcolare il ROSI è necessario disporre di dati storici sulle violazioni/incidenti di sicurezza e stimare di quanto il programma potrebbe ridurne il numero agendo sul comportamento dei dipendenti. Altro fattore chiave per il successo di un programma di awareness è la strategia di comunicazione che viene adottata. Per catturare l’attenzione dell’audience è necessario diversificare i mezzi di comunicazione in modo da raggiungere il maggior numero di persone e, nel contempo, cercare di visualizzare i concetti per renderli più facilmente comprensibili dai discenti. Le forme di comunicazione dovranno combinare mezzi di comunicazione tradizionali (formazione in aula, newsletter, poster…), a metodi più moderni (e-learning, news via email, pop-up sui terminali e così via) e innovativi (seminari interattivi di sicurezza, simulazioni di incidenti, giochi a premi).
Il programma deve identificare un “logo” e un “motto” che colleghi insieme tutte le diverse iniziative. Questa tecnica, molto utilizzata nel marketing, rafforza l’obiettivo del programma e permette di creare una cultura della sicurezza in grado di raggiungere tutta l’audience del programma radicandosi velocemente nell’azienda. Ultimo fattore chiave per il successo del programma è il monitoraggio dei risultati raggiunti al fine di “giustificare” gli investimenti effettuati e identificare le azioni di miglioramento. I principali elementi da misurare sono la diffusione del programma, la diffusione del messaggio e l’efficacia del programma che può essere misurata mediante simulazioni di attacchi (es. phishing), questionari ad hoc, numero di segnalazioni pervenute all’help desk e così via.
Garibaldi Conte membro del Comitato Tecnico Scientifico di CLUSIT
