Mimecast Logo
Richiedi un preventivo
    Approfondimenti sulla Cyber Resilience
    Tutti gli argomenti
    Email and Collaboration Threat Protection
    Insider Risk Management
    Security Awareness Training
    Data Compliance and Governance
    Threat Intelligence
    Email Collaboration Threat Protection

    Perché il phishing simulato da solo non è sufficiente a prevenire l'errore umano

    I test di phishing simulati mancano il 90% dei rischi di errore umano. Scopra perché la formazione tradizionale di sensibilizzazione alla sicurezza fallisce e come si presenta una gestione completa del rischio umano.

    by Andrew Williams

    Key Points

    • La formazione generica sulla cybersecurity si concentra sulle conoscenze piuttosto che sul cambiamento dei comportamenti e non è correlata agli attacchi del mondo reale, lasciando le organizzazioni vulnerabili nonostante gli alti tassi di completamento dei test.
    • Gli attacchi basati sull'AI e le minacce rivolte agli strumenti di collaborazione come Microsoft Teams e Slack richiedono una consapevolezza della sicurezza multicanale che la maggior parte delle simulazioni di phishing non affronta.
    • Il rischio umano si concentra tra le persone ad alto rischio, che hanno bisogno di interventi mirati, non di programmi di formazione unici.
    • I programmi efficaci combinano l'analisi comportamentale, la formazione personalizzata, gli interventi in tempo reale e le misure di sicurezza adattive per ridurre effettivamente il rischio, anziché limitarsi a controllare le caselle di conformità.

    Le organizzazioni si affidano da tempo a campagne di phishing simulate come difesa critica contro i rischi di cybersecurity legati all'uomo. Sebbene queste simulazioni abbiano un ruolo importante, trattarle come una soluzione a sé stante crea pericolose lacune nella postura di sicurezza. Poiché le minacce informatiche diventano sempre più sofisticate e le superfici di attacco si espandono oltre le e-mail, il phishing simulato da solo non può proteggere dall'intero spettro di errori umani che portano a violazioni della sicurezza.

    L'errore umano è responsabile di oltre il 90% delle violazioni della sicurezza, rendendo i dipendenti sia la sua risorsa più grande che la sua vulnerabilità più significativa. Le organizzazioni hanno bisogno di un approccio completo e basato sul comportamento per la gestione del rischio umano, che vada oltre i test periodici di phishing.

    Difetti intrinseci della consapevolezza e della simulazione della sicurezza tradizionale

    I programmi tradizionali di sensibilizzazione alla sicurezza e le simulazioni di phishing soffrono di limiti di progettazione fondamentali che impediscono loro di fornire una riduzione significativa del rischio nelle organizzazioni.

    Mancanza di correlazione con gli attacchi del mondo reale

    Il phishing simulato spesso non riesce a rappresentare accuratamente le minacce del mondo reale. I tassi di clic nelle simulazioni sono spesso più alti dei tassi reali di coinvolgimento negli attacchi, creando false valutazioni di vulnerabilità che portano a un'errata allocazione delle risorse di sicurezza.

    Molte simulazioni utilizzano scenari non realistici che non rispecchiano gli attacchi personalizzati. I dipendenti possono sviluppare il riconoscimento dei modelli per le minacce simulate, pur rimanendo vulnerabili agli attacchi autentici che utilizzano tattiche o tempistiche diverse.

    Questo scollamento significa che le organizzazioni credono di comprendere il loro panorama di rischio umano, quando le simulazioni misurano qualcosa di completamente diverso dall'esposizione reale alle minacce.

    Approccio unico per tutti

    I programmi di formazione generici e le simulazioni uniformi non tengono conto dei diversi ruoli, comportamenti e profili di rischio all'interno delle organizzazioni. Un dirigente finanziario affronta minacce diverse rispetto a un rappresentante del servizio clienti, eppure la maggior parte dei programmi fornisce contenuti identici a tutti i dipendenti.

    Questa mancanza di personalizzazione limita l'efficacia. Quando la formazione non è in linea con l'ambiente di lavoro di un dipendente o con l'esposizione alle minacce, diventa irrilevante piuttosto che una guida alla sicurezza attuabile.

    Una riduzione significativa del rischio richiede di affrontare le sfide di sicurezza uniche e le minacce informatiche uniche che i diversi reparti e ruoli all'interno della forza lavoro devono affrontare. 

    Concentrarsi sulla conoscenza piuttosto che sul comportamento

    Gli approcci tradizionali enfatizzano la conoscenza della cybersecurity piuttosto che il cambiamento del comportamento. I programmi insegnano con successo ai dipendenti le tattiche di phishing e le migliori pratiche di sicurezza, ma spesso non è chiaro se traducono queste conoscenze in un miglioramento dei comportamenti dei dipendenti.

    I dipendenti possono conoscere i rischi e ottenere buoni risultati nei test, ma cadere comunque in queste minacce quando si trovano di fronte a pressioni, scadenze o attacchi convincenti. I programmi tradizionali non riescono a misurare le competenze comportamentali e di intervento necessarie per colmare questo divario di conoscenza-azione.

    Individuate i vostri utenti più a rischio utilizzando dati reali sul phishing e intuizioni guidate dall'AI, quindi offrite interventi mirati e tempestivi per modificare il comportamento prima che avvengano le violazioni. 

    Provi il nostro corso di formazione sulla consapevolezza della sicurezza →

     

    Mancanza di affrontare il panorama delle minacce

    I criminali informatici si stanno concentrando maggiormente sugli attacchi basati sul ruolo, come la compromissione delle business email o l'acquisizione di account. I programmi di phishing simulato faticano a tenere il passo con questi metodi di attacco mirati e sofisticati che le organizzazioni devono affrontare oggi.

    Sofisticatezza degli attacchi in continua evoluzione

    Gli attori delle minacce utilizzano sempre più spesso l'intelligenza artificiale per creare e-mail di phishing convincenti e più sofisticate delle campagne tradizionali. Gli attacchi guidati dall'AI analizzano le informazioni pubbliche sugli obiettivi, imitano gli stili di comunicazione e creano messaggi contestualmente rilevanti, più difficili da rilevare.

    La maggior parte dei programmi di phishing simulati continua a utilizzare modelli statici e schemi prevedibili che non preparano i dipendenti ad affrontare attacchi moderni dinamici e adattivi. Man mano che le minacce alimentate dall'AI diventano più diffuse, il divario tra l'addestramento di simulazione e le minacce del mondo reale continuerà ad aumentare.

    Oltre l'e-mail: Espansione della superficie di attacco

    Mentre le e-mail rimangono uno stile di attacco prominente, i criminali informatici prendono sempre più di mira gli strumenti di collaborazione come Microsoft Teams, Slack, Zoom, SharePoint e OneDrive. La ricerca mostra che il 67% delle organizzazioni riferisce che le funzioni di sicurezza native degli strumenti di collaborazione non sono in grado di proteggere da attacchi sofisticati.

    La maggior parte dei programmi di phishing simulato si concentra su scenari di posta elettronica, lasciando i dipendenti impreparati alle minacce che arrivano attraverso questi altri canali. I dipendenti che riescono a identificare il phishing via e-mail possono essere completamente vulnerabili ad attacchi simili attraverso piattaforme di collaborazione o servizi di condivisione di file.

    Mancanza di una comprensione granulare del Human Risk e di un rimedio mirato.

    Una gestione efficace dei rischi umani richiede una visione dettagliata dei modelli di comportamento individuali e organizzativi, oltre alla capacità di fornire interventi specifici dove sono più necessari. I programmi tradizionali di phishing simulato sono carenti in entrambe le aree.

    Visibilità limitata e approfondimenti praticabili

    La maggior parte delle organizzazioni fatica a stabilire se la formazione di sensibilizzazione alla sicurezza riduca effettivamente il rischio o si limiti a controllare le caselle di conformità. I programmi tradizionali forniscono una visibilità limitata su quali comportamenti guidano gli incidenti di sicurezza e offrono pochi spunti d'azione per migliorare la postura di sicurezza.

    Senza dati granulari sul comportamento degli utenti e sui modelli di rischio, i team di sicurezza operano in modo reattivo. Sanno che la formazione è stata completata e i test sono stati superati, ma non hanno l'intelligenza comportamentale necessaria per prevedere e prevenire gli incidenti futuri.

    Rischio sproporzionato da parte di un gruppo ristretto di utenti

    Gli incidenti di sicurezza non sono distribuiti in modo uniforme tra i dipendenti. La ricerca dimostra che:

    • 8% degli utenti causano l'80% degli incidenti
    • 3% di utenti sono responsabili del 92% degli eventi di malware

    Questa concentrazione significa che i programmi di formazione generici sprecano risorse per i dipendenti a basso rischio, mentre non si occupano delle persone ad alto rischio che rappresentano la minaccia maggiore. Gli approcci tradizionali non possono identificare o porre rimedio in modo efficace a questi fattori di rischio sproporzionati.

    Necessità di politiche proattive e adattive

    Una gestione efficace del rischio umano richiede di andare oltre le simulazioni reattive per passare a misure di sicurezza proattive e adattive, che rispondano ai cambiamenti del comportamento degli utenti e alle minacce emergenti in tempo reale.

    Questo include politiche di sicurezza adattive basate sui profili di rischio dell'utente, interventi che innescano il comportamento e forniscono un feedback immediato, e sistemi di monitoraggio continuo che tengono traccia dei cambiamenti comportamentali. I programmi di formazione su misura, che si adattano agli stili di apprendimento individuali e alle minacce specifiche del ruolo, consentono un'allocazione più intelligente delle risorse e una riduzione più efficace dei rischi.

    Formazione Just-in-Time

    La formazione "just-in-time" offre un'educazione alla sicurezza proprio quando i dipendenti mostrano comportamenti rischiosi o incontrano potenziali minacce, come condividere file pubblicamente o cliccare su link sospetti. Questi interventi consistono in lezioni brevi e mirate, tipicamente di meno di un minuto, che correggono immediatamente le azioni problematiche e guidano gli utenti verso le migliori pratiche di sicurezza.

    Spinte comportamentali

    I nudge comportamentali sono suggerimenti contestuali forniti in tempo reale per guidare i dipendenti verso azioni sicure e prevenire gli errori mentre accadono. Per i recidivi, questi stimoli possono includere meccanismi di attrito come promemoria per il caricamento di file in luoghi non sicuri o il blocco di azioni rischiose come la condivisione non autorizzata nel cloud.

    Questo include politiche di sicurezza adattive basate sui profili di rischio dell'utente, interventi attivati dal comportamento che forniscono un feedback immediato e sistemi di monitoraggio continuo che tengono traccia dei cambiamenti comportamentali. I programmi di formazione su misura che si adattano agli stili di apprendimento individuali e alle minacce specifiche del ruolo consentono un'allocazione delle risorse più intelligente e una riduzione dei rischi più efficace.

    Costruire una strategia completa di gestione dell'Human Risk

    Sebbene il phishing simulato abbia un ruolo nei programmi di sensibilizzazione alla sicurezza - e nella costruzione di una cultura della forza lavoro più consapevole della sicurezza - deve far parte di un approccio più ampio alla gestione del rischio umano. Le organizzazioni hanno bisogno di piattaforme complete che offrano un monitoraggio comportamentale continuo, forniscano una formazione personalizzata in base ai profili di rischio individuali, offrano capacità di intervento in tempo reale, supportino la simulazione di minacce multicanale e generino analisi azionabili che dimostrino la riduzione del rischio.

    La nostra moderna piattaforma di gestione del rischio umano combina analisi avanzate, scienza comportamentale e metodologie di formazione adattiva per creare programmi che cambiano effettivamente il comportamento e riducono il rischio.

    La linea di fondo

    Le campagne di phishing simulate, pur essendo preziose, rappresentano solo una componente della gestione efficace del rischio umano. Le organizzazioni che si affidano esclusivamente ai test periodici di phishing rimangono vulnerabili agli attacchi sofisticati, ai vettori di minaccia in evoluzione e alle complessità comportamentali che portano all'errore umano.

    Il futuro della cybersecurity dipende dalla comprensione e dalla gestione del rischio umano come aspetto dinamico e misurabile della sicurezza organizzativa. Ciò richiede di andare oltre le semplici simulazioni per passare a programmi completi che identifichino le persone ad alto rischio, forniscano interventi mirati e si adattino alle minacce emergenti in tempo reale.

    Riconoscendo i limiti del phishing simulato e investendo in approcci sofisticati di gestione del rischio umano, le organizzazioni possono costruire culture di sicurezza più forti e resilienti, in grado di proteggere dall'intero spettro delle minacce informatiche legate all'uomo.

    È pronto a superare le simulazioni di phishing di base? Per saperne di più sulla nostra piattaforma completa di gestione del rischio umano, scopra come l'analisi avanzata e gli approfondimenti comportamentali possono trasformare il suo programma di sensibilizzazione alla sicurezza.

     

    Domande frequenti

    Il phishing simulato comune ha qualche valore oggi?

    Sì, il phishing simulato ha ancora valore come componente di un programma completo di sensibilizzazione alla sicurezza. Il problema non riguarda le simulazioni di phishing in sé, ma il fatto di trattarle come una soluzione a sé stante. Se combinato con l'analisi comportamentale, la formazione personalizzata e la consapevolezza delle minacce multicanale, il phishing simulato può essere uno strumento efficace per testare e rafforzare la consapevolezza della sicurezza.

    Su cosa dovrebbero concentrarsi le organizzazioni, invece di limitarsi alle simulazioni di phishing?

    Le organizzazioni dovrebbero implementare un approccio completo alla gestione del rischio umano che includa il monitoraggio comportamentale continuo, la formazione personalizzata in base ai profili di rischio individuali, le capacità di intervento in tempo reale e la simulazione delle minacce multicanale oltre alle e-mail. L'obiettivo è passare dai test periodici alla valutazione continua dei rischi e alle misure di sicurezza adattive.

    Perché dovremmo concentrare le risorse solo su 8% utenti, quando tutti hanno bisogno di formazione sulla sicurezza?

    Sebbene la consapevolezza della sicurezza di base sia importante per tutti i dipendenti, i dati mostrano che l'8% degli utenti causa l'80% degli incidenti di sicurezza. Identificando e fornendo interventi mirati per queste persone ad alto rischio, le organizzazioni possono ottenere una riduzione del rischio nettamente migliore con un'allocazione delle risorse più efficiente. Questo non significa ignorare gli altri dipendenti, ma piuttosto garantire che i suoi utenti più a rischio ricevano l'assistenza più intensa.

    Come possiamo misurare se il nostro programma di gestione del rischio umano sta effettivamente riducendo il rischio?

    La misurazione efficace va oltre i tassi di completamento della formazione e i punteggi dei test. Cercate le analisi comportamentali che tracciano gli incidenti di sicurezza del mondo reale, i sistemi di punteggio del rischio che identificano i miglioramenti nel tempo e le metriche che correlano gli interventi di formazione con l'effettiva riduzione del rischio. La chiave è misurare il cambiamento del comportamento, non solo l'acquisizione di conoscenze.

    Qual è il primo passo per costruire una strategia di gestione del rischio umano più completa?

    Iniziare a condurre una valutazione approfondita del suo attuale panorama di rischio umano, identificando i suoi utenti più a rischio e comprendendo dove si verificano effettivamente gli incidenti di sicurezza nella sua organizzazione. Quindi valuti se i suoi strumenti attuali forniscono gli approfondimenti comportamentali e le capacità adattive necessarie per interventi mirati. Questa valutazione la aiuterà a capire le lacune tra gli approcci formativi tradizionali e la strategia completa di cui la sua organizzazione ha bisogno.

    08BLOG_1.jpg
    Up Next
    Email Collaboration Threat Protection |
    Mimecast combatte contro il phishing alimentato dall'intelligenza artificiale

    Related Articles

    Email Collaboration Threat Protection
    Indagine sulla cattiva condotta in Slack e Microsoft Teams: Dos, don't e considerazioni sulla privacy
    Email Collaboration Threat Protection
    Australia Under Siege: The Alarming Scale of Government Impersonation Scams
    Email Collaboration Threat Protection
    Perché Mimecast guida la lotta contro le frodi via e-mail nel 2024

    Si abboni a Cyber Resilience Insights per altri articoli come questi.

    Riceva tutte le ultime notizie e le analisi del settore della cybersecurity direttamente nella sua casella di posta elettronica.

    Iscriviti con successo

    Grazie per essersi iscritto per ricevere gli aggiornamenti del nostro blog

    Ci terremo in contatto!

    Back to Top