Formazione di sensibilizzazione sulla sicurezza delle informazioni

Che cos'è la formazione sulla sicurezza informatica?

La formazione di sensibilizzazione alla sicurezza informatica fornisce informazioni sulle numerose minacce che i dipendenti possono incontrare sul posto di lavoro e sulle azioni che possono intraprendere per mitigare le minacce o consentire di danneggiarle. I corsi di sensibilizzazione alla sicurezza mostrano ai dipendenti come si presentano le minacce, come funzionano e come evitarle o fermarle al meglio. 

L'importanza della formazione sulla sicurezza informatica per le aziende

Quando si tratta dei suoi dipendenti, la promozione della consapevolezza della sicurezza informatica è fondamentale per l'azienda, per un semplice motivo: oltre il 90% delle violazioni della sicurezza sono dovute ad un errore umano. Ciò significa che i suoi beni più importanti - le sue persone - sono anche uno dei suoi maggiori rischi per la sicurezza.

Gli attacchi ransomware e di phishing sono sempre più sofisticati. Ci vuole un occhio esperto per sapere cosa cercare in un'e-mail sospetta, e molte persone non sanno quello che non sanno sulla sicurezza informatica. È indispensabile fornire loro una forma di formazione.

Molte organizzazioni hanno investito molto denaro nella formazione di sensibilizzazione alla sicurezza, nel tentativo di instillare una maggiore consapevolezza della sicurezza informatica tra gli utenti. Purtroppo, il ROI di questi sforzi è solitamente deludente. La maggior parte dei corsi di formazione sulla sicurezza per i dipendenti non riesce a modificare il comportamento, e non è difficile capire perché: la formazione è solitamente noiosa. Spesso è racchiuso in lunghe e noiose sessioni che i dipendenti temono - o peggio, evitano - e una volta terminate, le best practice vengono presto dimenticate.

Ecco perché Mimecast ha deciso di dare una svolta alla formazione sulla sicurezza informatica. Piuttosto che corsi di sensibilizzazione alla sicurezza di routine che si leggono come una presentazione in PowerPoint, abbiamo sviluppato una formazione massiccia e coinvolgente, basata su video che utilizzano uno degli strumenti più potenti della formazione: l'umorismo. In poche parole, le nostre cose sono esilaranti. Con l'aiuto dei migliori talenti dell'industria dell'intrattenimento, abbiamo messo insieme una serie di mini sitcom che mescolano un po' di apprendimento con molte risate. I dipendenti non solo apprezzano i nostri corsi di sensibilizzazione sulla sicurezza informatica, ma li amano e ne chiedono altri.

Per evitare il sovraccarico di informazioni, offriamo corsi di sensibilizzazione sulla sicurezza informatica in moduli da 3 a 5 minuti, che i dipendenti frequentano all'incirca una volta al mese. In questo modo, l'apprendimento rimane fresco e si assicura che la consapevolezza della sicurezza informatica sia sempre presente nel loro radar.

Elementi della formazione di sensibilizzazione alle informazioni di Mimecast

Il Mimecast Awareness Training è stato sviluppato da leader della cybersecurity provenienti dalle forze armate, dalle forze dell'ordine e dalla comunità dell'intelligence. Il programma instilla la consapevolezza della sicurezza informatica concentrandosi su quattro aspetti.

• Contenuti coinvolgenti. Le persone non imparano nulla se non sono coinvolte nel contenuto, ed è per questo che la maggior parte dei corsi di sensibilizzazione sulla sicurezza informatica fallisce. I contenuti video di Mimecast, brevi e molto divertenti, mantengono i dipendenti coinvolti nella loro formazione sulla sicurezza: imparano continuamente senza nemmeno rendersene conto.
• Test costanti. Il test del sentimento condotto prima dell'erogazione della formazione stabilisce una linea di base su quanto ogni dipendente prenda sul serio le minacce alla sicurezza e si senta preparato ad affrontarle. Il test dopo ogni modulo di formazione rafforza i concetti chiave e traccia la ritenzione e il cambiamento comportamentale. E i test di phishing - completi di modelli reali di e-mail di phishing - mettono alla prova l'apprendimento dei suoi dipendenti e la aiutano a identificare i punti deboli.
• Punteggi di rischio personalizzati. Con la formazione di sensibilizzazione alla sicurezza informatica di Mimecast, tutti, dal C-suite ai dipendenti in prima linea, ricevono un punteggio di rischio personalizzato basato sui dati della formazione, sui sondaggi di opinione e sui dati aggiuntivi della griglia Mimecast. I punteggi di rischio la aiutano a capire quali utenti rappresentano il rischio maggiore per la sua azienda, quali dipendenti o reparti stanno evitando la formazione e chi potrebbe essere il bersaglio più probabile degli aggressori.
• Apprendimento mirato. Grazie all'intelligenza ricavata dal punteggio di rischio personalizzato, può personalizzare la formazione in base ai suoi dipendenti più a rischio. Ciò può significare fornire un coaching individuale, offrire una formazione aggiuntiva o più frequente, o modificare i permessi del sistema per coloro che non rispondono bene alla formazione.

Sta facendo bene la formazione sulla consapevolezza della sicurezza delle informazioni?

La formazione sulla consapevolezza della sicurezza informatica è progettata per affrontare l'anello di sicurezza più debole di un'organizzazione: gli esseri umani. Gli studi dimostrano che l'errore umano è coinvolto in oltre il 90% delle principali violazioni di dati. Con una violazione media che costa più di 4 milioni di dollari per essere risolta, ha senso che le organizzazioni di tutte le dimensioni abbiano investito molto nella formazione sulla sicurezza informatica.

Il problema è che la maggior parte dei programmi di formazione alla consapevolezza semplicemente non funziona, per diversi motivi chiave:

• Sono lunghi, secchi e noiosi, rendendo difficile per i dipendenti prestare attenzione.
• Vengono consegnati troppo di rado, rendendo difficile ricordare le migliori pratiche.
• Sono punitivi, e i dipendenti si sentono presi di mira piuttosto che sostenuti.

Quando i dipendenti non sono impegnati - o peggio, quando sono resistenti - semplicemente non imparano. Ecco perché Mimecast ha realizzato un programma di formazione sulla sicurezza informatica che presenta l'arma segreta dell'educatore: l'umorismo.

Avvolgere la formazione sulla consapevolezza della sicurezza delle informazioni con l'umorismo

I corsi di formazione sulla sicurezza informatica di Mimecast sono diversi da qualsiasi cosa abbia mai visto. Per cominciare, sono divertenti. Non è divertente come una battuta di scherno, ma è veramente esilarante. Sono creati da veri autori di commedie e professionisti dell'industria dell'intrattenimento e presentati come mini sitcom che i dipendenti non vedono l'ora di guardare.

 Abbiamo preferito il divertimento alla noia perché - sorpresa, sorpresa - il divertimento funziona meglio. Le persone prestano attenzione, vengono investite e, nel processo, imparano. Qualsiasi educatore può dirle che l'umorismo funziona con gli studenti di tutte le età, favorendo la conservazione della memoria a lungo termine e risultati di apprendimento più elevati.

Un'altra differenza radicale nella formazione sulla sicurezza informatica di Mimecast: moduli di formazione brevi. Ogni sessione copre un single argomento e non dura più di cinque minuti, consentendo ai dipendenti di assorbire facilmente le migliori pratiche di sicurezza critiche. E invece di costringere i dipendenti a seguire ore di formazione alla volta, forniamo brevi dosi ogni mese per mantenere l'apprendimento fresco e la sicurezza al primo posto. I dipendenti più impegnati possono completare la loro formazione mensile in pochi minuti, rendendola una pausa gradita piuttosto che un evento temuto che dura ore. 

Come funziona la formazione di sensibilizzazione alle informazioni di Mimecast

Oltre ai moduli di formazione massicciamente divertenti, basati su video, la formazione sulla sicurezza dei dipendenti Mimecast include:

• Capacità di test di phishing. I test e le esercitazioni di formazione sul phishing di Mimecast, facili da usare, sono completamente integrati nella piattaforma Mimecast Awareness Training. Questi test basati su modelli utilizzano esempi di vita reale - dalle promozioni fasulle al tracciamento dei pacchi, dalla reimpostazione delle password alle fake news - per verificare la consapevolezza dei suoi dipendenti sulle tecniche di phishing e la loro gestione delle e-mail di phishing.
• Test del sentimento e dei progressi. Verifichiamo il sentimento o l'atteggiamento di ciascun dipendente prima dell'inizio di qualsiasi test, e verifichiamo nuovamente le stesse metriche ogni sei mesi. Eseguiamo anche dei test subito dopo ogni modulo di formazione per misurare i progressi nella comprensione delle best practice da parte dei dipendenti.
• Punteggio di rischio predittivo. Piuttosto che trattare tutti i suoi dipendenti allo stesso modo, Mimecast capisce che alcuni dipendenti sono molto più rischiosi di altri. Assegniamo punteggi di rischio informatico personalizzati a ogni persona in base ai dati dei test, alla partecipazione o all'evitamento dei test e ai dati anonimizzati provenienti da diversi settori, clienti e dalla rete Mimecast.
• Formazione personalizzata e mirata. Conoscere il punteggio di rischio di ogni dipendente le consente di indirizzare le risorse di formazione alle persone che ne hanno più bisogno. Ciò può significare richiedere una formazione supplementare per alcuni o un coaching individuale per altri. E quando persiste un punteggio di rischio più elevato, può modificare le autorizzazioni del sistema per proteggere meglio la sua organizzazione.

Perché Mimecast dovrebbe essere il suo partner per la consapevolezza della sicurezza IT

Oltre a fornire risultati chiari e misurabili, ci sono molte ragioni per scegliere Mimecast per la formazione sulla sicurezza informatica.

• I migliori contenuti - punto. I nostri corsi di formazione sulla consapevolezza della sicurezza sono assolutamente divertenti: i dipendenti non vedono l'ora di vedere il prossimo episodio. I nostri corsi offrono un'esperienza sviluppata da menti di spicco della cybersecurity, tra cui un ex direttore dell'FBI e un ex CSO di AT&T. I nostri contenuti formativi sono completi e coprono tutto, dalla consapevolezza della sicurezza delle password e delle e-mail alle minacce mirate come il phishing e il ransomware, fino agli argomenti di conformità su PCI, GDPR e HIPAA.
• Campagne mirate. Mimecast le consente di individuare le persone e i gruppi che rappresentano i maggiori rischi per la sua organizzazione. Piuttosto che un approccio "spray and pray", può sfruttare al meglio le sue risorse limitate, consentendo alla formazione sulla consapevolezza della sicurezza informatica di avere un impatto maggiore rispetto al passato.
• Consegna online. I corsi di sensibilizzazione alla sicurezza informatica di Mimecast vengono erogati tramite un browser web, consentendole di gestire la formazione di sensibilizzazione per una forza lavoro globale con pochi clic.
• Soluzioni integrate e complete di cybersecurity. La formazione di sensibilizzazione Mimecast può essere perfettamente integrata con la suite di soluzioni Mimecast per la sicurezza e-mail, la web security, l'archiviazione delle informazioni e la continuità aziendale, fornendo una single soluzione basata sul cloud che risponde a tutte le sue esigenze di cybersecurity.