Consapevolezza superficiale e programmi di formazioni da soli non bastano: suggerimenti sul da farsi per cambiare il comportamento delle persone e instillare una vera e propria cultura della sicurezza
All’inizio del 2021, c’è stato un aumento significativo non solo dell’importanza e influenza della cyber-security, ma anche dell’incidenza dell’elemento umano nella sicurezza. Ad esempio, l’errore umano è ora finalmente riconosciuto come un fattore chiave per il profilo di rischio complessivo di un’azienda.Sfortunatamente, in generale come industria della security, c’è ancora lottando per gestire questo rischio.
Sono anni oramai che i CISO svolgono un lavoro straordinario nel formare gli utenti a comprendere i rischi per la sicurezza acquistando soluzioni con ampie librerie di contenuti, funzionalità amministrative e valutazioni che misurino ogni tipo di errore degli utenti. Ma questa attenzione alla creazione di consapevolezza non è all’altezza di cambiare il comportamento duraturo. E i CISO sanno che hanno bisogno di spostare ancora di più l’attenzione sul fattore umano. Molti sono anche profondamente consapevoli del fatto che le aziende con una forte cultura della sicurezza hanno dipendenti istruiti, abilitati ed entusiasti della loro cyber-security personale e di quella del loro datore di lavoro. E’ importante andare oltre !Ecco alcuni suggerimenti:
Creare un programma di sicurezza incentrato sull’uomo.
Andare oltre le tattiche e creare una strategia sostenibile pluriennale attraverso un piano in quattro fasi che include:
1) Identificazione delle parti chiave interessate chiave e delle comunità di minacce;
2) Definizione della linea di base comportamentale e dello stato target;
3) Creare le iniziative che influenzeranno ogni comunità di stakeholder; e
4) Misurare e migliorare continuamente il piano.
Concentrare gli sforzi della cultura ovunque in azienda, dall’altro verso il basso oltre che all’esterno.
Scostarsi dalle attività di coinvolgimento point-in-time costruendo una forte cultura a quattro livelli distinti all’interno dell’organizzazione, adottando un approccio diverso per ciascun componente. Insistere e sostenere a livello esecutivo con l’obiettivo di ottenere visibilità sulla sicurezza; razionalizzare gli investimenti con i leader aziendali per garantire focus sul buy-in in tema di security; comunicare con i dipendenti per creare un livello costantemente elevato di consapevolezza; ed estenderne la portata creando fiducia con le parti interessate esterne.
Progettare iniziative di sensibilizzazione alla sicurezza.
A meno che le persone non si sentano ottimiste riguardo all’argomento della sicurezza, alle capacità del team IT e/o del CISO, CTO come leader, gli stessi faranno fatica a convincerle a comprendere veramente la necessità di sicurezza. Per fare ciò, le loro iniziative devono avere un impatto per entrare in risonanza con il pubblico e influenzare e motivare continuamente il pubblico a comportarsi in modo sicuro. Partiamo migliorando la cyber-security culture al team IT Stesso perché il più grande ostacolo agli sforzi dei leader della sicurezza oggi è l’immagine della sicurezza stessa. Quindi creare un ambiente di sicurezza psicologica per l’azienda. Sopratutto, assumere persone con buone capacità incentrate sull’uomo. Sono ciò che manca disperatamente non solo nelle ma nella nostra professione IT
La sicurezza delle informazioni dovrebbe mettere gli esseri umani al centro. Se sono veramente il “punto debole” della sicurezza, inizia a comprendere le loro vulnerabilità e a gestirle “
Comments