Mimecast Logo
Richiedi un preventivo
    Approfondimenti sulla Cyber Resilience
    Tutti gli argomenti
    Email and Collaboration Threat Protection
    Insider Risk Management
    Security Awareness Training
    Data Compliance and Governance
    Threat Intelligence
    Security Awareness Training

    4 motivi per cui la formazione sulla sicurezza basata sui ruoli non è più un'unica misura per tutti

    La sicurezza di ogni organizzazione è forte quanto il suo anello umano più debole. Eppure, per anni, la formazione sulla consapevolezza della sicurezza ha operato sulla base di un presupposto fondamentalmente errato: che tutti i dipendenti presentino lo stesso livello di rischio e possano essere protetti attraverso programmi di formazione identici. Questo approccio unico non è solo inefficace, ma ostacola attivamente la postura di sicurezza della sua organizzazione.

    by Andrew Williams

    Key Points

    • La formazione tradizionale sulla sicurezza non affronta la natura concentrata del rischio umano, dove una piccola percentuale di utenti è responsabile della maggior parte degli incidenti di sicurezza.
    • La formazione basata sui ruoli allinea gli sforzi di prevenzione ai modelli di rischio reali, migliorando sia l'efficienza che l'efficacia.
    • L'evoluzione del panorama delle minacce richiede interventi mirati che si adattino al comportamento individuale degli utenti e all'esposizione agli attacchi.

    Il passaggio alla formazione sulla sicurezza basata sui ruoli rappresenta un'evoluzione fondamentale nel modo in cui le organizzazioni affrontano il rischio umano. Questo approccio riconosce che il rischio umano è altamente concentrato, gli attacchi sono sempre più personalizzati e la prevenzione efficace richiede interventi su misura che corrispondano alle minacce specifiche che ogni ruolo deve affrontare.

    La formazione sulla sicurezza basata sui ruoli è il nuovo standard

    Il panorama della cybersecurity ha subito una drammatica trasformazione. Se un tempo le organizzazioni si affidavano a difese perimetrali e a moduli di formazione generici, oggi l'ambiente delle minacce richiede un approccio più sofisticato. I dati dimostrano costantemente che il rischio umano non è distribuito in modo uniforme in un'organizzazione, ma è concentrato in gruppi di utenti specifici che presentano modelli di rischio prevedibili.

    La formazione tradizionale di sensibilizzazione alla sicurezza tratta tutti i dipendenti in modo identico, indipendentemente dai loro livelli di accesso, dai modelli comportamentali o dall'esposizione alle minacce. I moderni attori delle minacce capiscono questa complessità e la sfruttano, realizzando attacchi specificamente personalizzati per sfruttare le vulnerabilità uniche dei diversi ruoli all'interno di un'organizzazione.

    La formazione sulla sicurezza basata sui ruoli allinea gli sforzi di prevenzione al rischio effettivo, creando interventi mirati che affrontano le minacce specifiche che ogni ruolo incontra. Questo approccio non si limita a migliorare i risultati della sicurezza, ma aumenta l'efficacia complessiva degli investimenti in formazione, concentrando le risorse dove possono avere il massimo impatto.

    Individuate i vostri utenti più a rischio utilizzando dati reali sul phishing e intuizioni guidate dall'AI, quindi offrite interventi mirati e tempestivi per modificare il comportamento prima che avvengano le violazioni. 

    Provi il nostro corso di formazione sulla consapevolezza della sicurezza →

     

    I. Limitazioni intrinseche della formazione tradizionale

    I programmi generici di formazione sulla sicurezza soffrono di diversi difetti fondamentali che ne limitano l'efficacia. La limitazione più significativa è l'attenzione ai risultati piuttosto che agli esiti. I programmi tradizionali misurano il successo attraverso metriche come i tassi di completamento, i punteggi dei quiz e i tassi di clic di phishing simulato. Tuttavia, queste metriche hanno spesso una scarsa correlazione con il comportamento effettivo della sicurezza negli scenari reali.

    I test di phishing simulati, pur essendo preziosi, spesso presentano scenari più impegnativi degli attacchi reali che i dipendenti subiscono. Questo crea un falso senso di sicurezza quando i dipendenti riescono a identificare con successo le e-mail palesemente sospette, pur rimanendo vulnerabili ad attacchi più sottili e specifici per il loro ruolo.

    Un'altra limitazione critica è la mancanza di un contesto comportamentale. La formazione generica tratta tutti i comportamenti rischiosi allo stesso modo, non tenendo conto del fatto che azioni diverse comportano livelli di rischio diversi a seconda del ruolo dell'utente e della sensibilità delle informazioni che gestisce.

    I programmi di sensibilizzazione alla sicurezza spesso esistono in modo isolato rispetto a strategie di sicurezza più ampie. Operano indipendentemente dalle funzioni di risposta agli incidenti, di intelligence sulle minacce e di gestione del rischio, creando dei silos che impediscono alle organizzazioni di sviluppare profili di rischio completi per i diversi utenti e gruppi.

    II. Natura sproporzionata del Human Risk

    Una delle intuizioni più significative che spingono verso la formazione basata sul ruolo è il riconoscimento che il rischio umano segue uno schema altamente concentrato. La ricerca rivela che circa 8% utenti sono responsabili dell'80% di tutti gli incidenti di sicurezza all'interno di un'organizzazione, e 4% causano l'80% degli incidenti di phishing. La cosa forse più sorprendente è che solo il 3% degli utenti è responsabile del 92% degli eventi di malware.

    Gli utenti che si impegnano costantemente in comportamenti a rischio spesso condividono caratteristiche comuni. Possono essere obiettivi di alto valore a causa del loro accesso a informazioni sensibili, devono affrontare un'elevata esposizione alle minacce a causa del loro ruolo di contatto con il pubblico, o presentare modelli comportamentali che li rendono più suscettibili agli attacchi di social engineering.

    Nel frattempo, la maggior parte dei dipendenti dimostra un'esposizione al rischio limitata. Questi utenti raramente cliccano su link sospetti, raramente scaricano software non autorizzato e generalmente seguono i protocolli di sicurezza stabiliti. Sebbene richiedano ancora una consapevolezza di base della sicurezza, non hanno bisogno dello stesso livello di intervento intensivo e mirato o di politiche adattive per i gruppi di dipendenti degli utenti ad alto rischio.

    Questa concentrazione consente alle organizzazioni di allocare le risorse di formazione in modo più efficace. Piuttosto che distribuire gli sforzi in modo uniforme su tutti i dipendenti, la formazione basata sui ruoli concentra gli interventi intensivi sugli utenti ad alto rischio, fornendo al contempo una formazione di base appropriata per le popolazioni a basso rischio.

    III. Paesaggio delle minacce in evoluzione & Superficie di attacco ampliata

    Il panorama delle minacce moderne presenta sfide che i programmi di formazione generici non possono affrontare in modo efficace. Gli attori delle minacce si sono evoluti al di là di semplici attacchi distribuiti in massa, fino ad arrivare a campagne sofisticate e altamente mirate che sfruttano le vulnerabilità specifiche di diversi ruoli organizzativi.

    L'intelligenza artificiale ha rivoluzionato il panorama delle minacce, consentendo agli aggressori di creare campagne di phishing personalizzate su scala. Gli attacchi generati dall'AI possono imitare gli stili di scrittura, fare riferimento a progetti specifici e incorporare dettagli contestuali che li rendono praticamente indistinguibili dalle comunicazioni legittime.

    Gli strumenti di collaborazione che consentono il lavoro moderno, Microsoft Teams, Slack, Zoom, SharePoint e OneDrive, hanno ampliato notevolmente la superficie di attacco. Se da un lato queste piattaforme aumentano la produttività, dall'altro creano nuovi vettori di attacchi che i programmi di formazione tradizionali non riescono ad affrontare adeguatamente. Ogni piattaforma ha considerazioni di sicurezza uniche che variano a seconda di come i diversi ruoli le utilizzano.

    I controlli di sicurezza integrati in queste piattaforme di collaborazione sono spesso in ritardo rispetto alle loro funzionalità, creando lacune che gli aggressori sfruttano attivamente. La cosa più preoccupante è la frequenza con cui i dati sensibili vengono condivisi, modificati o cancellati all'interno di questi ambienti. A differenza dei sistemi di posta elettronica tradizionali, le moderne piattaforme di collaborazione consentono una condivisione in tempo reale che può aggirare i controlli di sicurezza.

    Le organizzazioni che continuano ad affidarsi a programmi di formazione generici si trovano nell'impossibilità di affrontare efficacemente questi rischi specifici della piattaforma e basati sul ruolo.

    IV. Necessità di interventi mirati e adattivi

    La consapevolezza che il rischio varia notevolmente in base al ruolo, al livello di accesso e all'esposizione agli attacchi ha spinto lo sviluppo di approcci più sofisticati alla formazione sulla sicurezza. I dirigenti, i manager e i team di vendita sono costantemente esposti a livelli più elevati di targeted attack, a causa del loro accesso a informazioni sensibili e della loro visibilità all'interno dell'organizzazione. Questi utenti necessitano di una formazione specializzata che affronti le tecniche avanzate di social engineering e gli schemi di compromissione delle business email.

    Le ricerche dimostrano che la posizione dell'utente influenza in modo significativo la suscettibilità a diversi tipi di attacchi. I dipendenti di lunga data possono essere più inclini a cadere vittime di attacchi di phishing che sfruttano la loro familiarità con i processi organizzativi. I nuovi assunti possono essere ingannati più facilmente a causa della loro limitata comprensione delle norme organizzative e dei protocolli di sicurezza.

    Diversi reparti affrontano profili di rischio distinti che richiedono interventi specializzati. I team di ricerca e sviluppo riscontrano tassi più elevati di incidenti di malware, mentre i reparti di assistenza clienti affrontano rischi elevati di phishing a causa della loro regolare interazione con soggetti esterni.

    L'accesso ai dati sensibili cambia radicalmente l'equazione del rischio. Gli utenti che gestiscono regolarmente informazioni riservate, dati finanziari o proprietà intellettuale hanno bisogno di una formazione che affronti le minacce specifiche che devono affrontare e le potenziali conseguenze di un incidente di sicurezza.

    La Gestione del Human Risk (HRM) rappresenta l'evoluzione della formazione sulla sicurezza da attività incentrata sulla conformità a capacità strategica di sicurezza. L'HRM combina la scienza comportamentale, la tecnologia e il pensiero strategico per trasformare le vulnerabilità umane in punti di forza della sicurezza. Questo approccio riconosce che per migliorare la sicurezza in modo sostenibile è necessario capire perché le persone si comportano nel modo in cui si comportano e creare interventi che affrontino le motivazioni sottostanti.

    L'obiettivo dell'HRM non è eliminare il rischio umano, ma comprenderlo, misurarlo e gestirlo in modo efficace. Ciò richiede una visibilità profonda del comportamento degli utenti, una telemetria delle minacce reali e la capacità di correlare le azioni individuali con risultati più ampi in termini di sicurezza.

    Esempi del mondo reale: Come le minacce si rivolgono a ruoli specifici

    Capire come gli attori delle minacce personalizzano gli attacchi per le diverse posizioni dimostra perché la formazione sulla sicurezza basata sui ruoli è diventata essenziale. Il contrasto tra il modo in cui vengono presi di mira i dirigenti e i dipendenti in prima linea rivela la natura sofisticata delle minacce moderne e l'inadeguatezza degli approcci formativi generici.

    Minacce di livello esecutivo: Compromissione delle Business Email

    Consideriamo un amministratore delegato che riceve un'e-mail apparentemente urgente dal suo direttore finanziario, che chiede l'approvazione di un bonifico bancario per un'acquisizione riservata. Il messaggio fa riferimento a un progetto interno reale, utilizza un branding aziendale realistico e imita lo stile di scrittura del CFO grazie alla generazione assistita dall'AI. Questo sofisticato attacco di compromissione delle business email sfrutta l'autorità del dirigente, l'accesso ai controlli finanziari e le relazioni di fiducia inerenti alla leadership senior.

    I CEO rappresentano obiettivi di alto valore proprio per la loro elevata visibilità e autorità decisionale. Gli attori delle minacce investono risorse significative nella ricerca dei modelli di comunicazione dei dirigenti, delle iniziative aziendali in corso e delle gerarchie organizzative per creare attacchi di impersonificazione convincenti. Questi attacchi aggirano i tradizionali controlli di sicurezza delle e-mail sfruttando la psicologia umana piuttosto che le vulnerabilità tecniche.

    Minacce per i dipendenti in prima linea: Raccolta di credenziali

    Un addetto alle vendite riceve quella che sembra essere una notifica di routine che la sua sessione CRM è scaduta, completa di marchio aziendale e di elementi di interfaccia familiari. Il link incorporato conduce a una replica convincente del loro portale di accesso quotidiano, progettato appositamente per catturare le loro credenziali. Questo tipo di attacco ha successo perché sfrutta la frequente interazione del rappresentante con più piattaforme e la pressione temporale insita nei ruoli di vendita.

    I rappresentanti di vendita corrono rischi unici a causa della loro visibilità pubblica, dell'uso frequente di strumenti di terze parti e dell'interazione regolare con contatti esterni. Gli aggressori sanno che questi dipendenti spesso si spostano rapidamente da una piattaforma all'altra e potrebbero non esaminare le notifiche di routine del sistema con la stessa attenzione di altri gruppi di utenti.

    Il gap formativo

    Mentre il dirigente affronta un sofisticato social engineering progettato per sfruttare l'autorità finanziaria, l'addetto alle vendite si imbatte in tentativi di furto di credenziali che sfruttano la familiarità operativa. I programmi di formazione tradizionali, che si concentrano su indicatori di phishing generici, non riescono ad affrontare questi vettori di attacco specifici per il ruolo. Il dirigente ha bisogno di formazione sui protocolli di verifica delle transazioni finanziarie e sulle tattiche di impersonificazione dei dirigenti, mentre l'addetto alle vendite ha bisogno di formazione sugli schemi di phishing specifici della piattaforma e sulla protezione delle credenziali.

    Questa differenza nei modelli di minaccia sottolinea perché le organizzazioni non possono più fare affidamento su approcci di formazione uniformi. Ogni ruolo affronta rischi distinti che richiedono un'educazione mirata, modifiche comportamentali specifiche e protocolli di risposta adeguati al ruolo.

    Il percorso da seguire: Implementare la formazione sulla sicurezza basata sui ruoli

    Il passaggio da una formazione sulla sicurezza generica a una basata sui ruoli rappresenta più di un cambiamento tattico, è un'evoluzione fondamentale nel modo in cui le organizzazioni affrontano il rischio umano. Le organizzazioni che iniziano questa transizione dovrebbero iniziare ad analizzare i dati degli incidenti di sicurezza esistenti per identificare i modelli di concentrazione del rischio. Quali utenti appaiono costantemente nei rapporti sugli incidenti? Quali tipi di incidenti si verificano più frequentemente nei diversi reparti?

    Questa analisi fornisce le basi per sviluppare interventi mirati che affrontano fattori di rischio specifici piuttosto che minacce generiche. L'infrastruttura tecnologica che supporta la formazione basata sui ruoli deve essere in grado di fornire contenuti personalizzati, tracciare i cambiamenti comportamentali e misurare i risultati reali della sicurezza.

    Soprattutto, la formazione basata sui ruoli deve essere vista come un processo continuo, piuttosto che come un evento periodico. Man mano che le minacce si evolvono e i comportamenti degli utenti cambiano, i programmi di formazione devono adattarsi di conseguenza. Ciò richiede un monitoraggio continuo, una valutazione regolare e la flessibilità di modificare gli interventi in base ai dati emergenti.

    Le organizzazioni che implementano con successo la formazione sulla sicurezza basata sui ruoli si troveranno meglio preparate ad affrontare il complesso panorama delle minacce del futuro. Riconoscendo che il rischio umano è concentrato e gestibile, possono trasformare la loro maggiore vulnerabilità in un vantaggio competitivo.

     

    È pronto a trasformare la sua formazione sulla sicurezza da generica a mirata? Scopra come le soluzioni di sensibilizzazione e formazione sulla sicurezza di Mimecast possono aiutarla a implementare interventi basati sui ruoli, che affrontano i modelli di rischio specifici della sua organizzazione.

     

    roundup-Blog.jpg
    Up Next
    Security Awareness Training |
    Rischio umano: una campagna di Salesforce e un panino di Rapper Bot: Una campagna di Salesforce e un sandwich di Bot Rapper

    Related Articles

    Security Awareness Training
    Come misurare l'Human Risk: 7 metriche chiave
    Security Awareness Training
    Semplificare le strategie di cybersecurity: Il ruolo dell'Human Risk Management
    Security Awareness Training
    Riassunto dei rischi per gli esseri umani: Bombe via e-mail, attacchi basati sul browser e aziende di droni

    Si abboni a Cyber Resilience Insights per altri articoli come questi.

    Riceva tutte le ultime notizie e le analisi del settore della cybersecurity direttamente nella sua casella di posta elettronica.

    Iscriviti con successo

    Grazie per essersi iscritto per ricevere gli aggiornamenti del nostro blog

    Ci terremo in contatto!

    Back to Top