Create un programma di formazione efficace sulla sicurezza informatica

Nel film Ogni maledetta domenica, Al Pacino fa un discorso memorabile alla sua squadra di football che sta perdendo. Il discorso insiste su una lezione fondamentale per i team: la fiducia in sé stessi e nei propri compagni di squadra è fondamentale per il successo. Proprio come le squadre sportive d’élite dipendono dalla fiducia tra i giocatori per dare il meglio, la sicurezza informatica si basa sulla fiducia nei computer, nelle persone e nelle organizzazioni. Ci fidiamo dei computer per ottenere prestazioni affidabili e costanti, così come ci fidiamo dei nostri compagni di squadra per eccellere nei loro ruoli organizzativi. Come nello sport, la costruzione della fiducia all’interno di un team di cybersecurity è essenziale per il successo. Enfatizzando un comportamento affidabile e ripetibile, gli individui e i team possono sviluppare la fiducia necessaria per operare efficacemente in qualsiasi situazione.

La divisione CERT del Carnegie Mellon’s Software Engineering Institute è specializzata in Cyber Workforce Development. Il nostro lavoro aiuta le organizzazioni ad acquisire le competenze necessarie per combattere le minacce informatiche; per molti versi, i leader aziendali fungono da allenatori, aiutando i dipendenti a sviluppare competenze cruciali per il successo dell’organizzazione. Proprio come le squadre sportive devono allenarsi e fare pratica per costruire fiducia e coesione, le aziende devono fare altrettanto per garantire un’elevata produttività in un ambiente di lavoro in continua evoluzione. Riteniamo che la formazione individuale e le esercitazioni di squadra possano contribuire a creare un chiaro vantaggio aziendale. Attraverso esercitazioni e pratiche ripetitive, i singoli possono diventare esperti di particolari strumenti o tecniche, mentre i team possono rispondere collettivamente nel miglior modo possibile a qualsiasi scenario che potrebbero affrontare. La vostra organizzazione dovrebbe esercitarsi e allenarsi costantemente e con costanza in vista di eventi di cybersecurity, facendosi i muscoli e sviluppando le competenze necessarie per rispondere quando inevitabilmente si verifica un attacco.

Identificate le competenze chiave di cybersecurity per la vostra organizzazione

Proprio come gli allenatori definiscono lo stile di gioco delle loro squadre, lo sviluppo di un programma di formazione efficace in materia di cybersecurity richiede l’identificazione delle competenze e delle conoscenze specifiche necessarie per affrontare le minacce informatiche in modo coerente con gli obiettivi dell’organizzazione. Ci sono diversi modi per farlo.

- Conducete un’analisi del gap di competenze confrontando quelle della vostra forza lavoro con quelle necessarie per affrontare le minacce informatiche. Il NICE Cybersecurity Workforce Framework del National Institute of Standards and Technology (NIST) è una risorsa utile per identificare le competenze e le conoscenze necessarie per un team di cybersecurity efficace. Un altro buon punto di partenza è la revisione delle politiche, delle procedure e dei protocolli di sicurezza.

- Esaminate gli standard di settore con organizzazioni come il NIST e il CISA per assicurarvi che la vostra organizzazione sia allineata con le best practice del vostro settore e incorporate tali pratiche nel vostro programma di formazione sulla cybersecurity. Ad esempio, esistono controlli speciali per le organizzazioni che gestiscono determinati tipi di dati, come quelli sanitari e le informazioni di identificazione personale, per cui alcuni settori devono aderire a normative quali le informazioni di identificazione personale (PII) o l’Health Insurance Portability and Accountability Act (HIPPA).

- Collaborate con i reparti e i leader dell’organizzazione per capire quali sono i loro problemi e le loro sfide specifiche in materia di cybersecurity. Ad esempio, una forza vendita globale deve considerare l’uso dei dati alla luce di leggi come il Regolamento generale sulla protezione dei dati (GDPR) dell’UE e il California Consumer Privacy Act (CCPA). Parlando con i responsabili di ciascun reparto si potranno conoscere le specifiche esigenze di formazione a tutti i livelli organizzativi.

Sviluppate un piano di miglioramento delle prestazioni per soddisfare la vostra strategia

Una volta identificate le competenze e le conoscenze necessarie per combattere le minacce informatiche, il passo successivo è sviluppare un programma completo di formazione ed esercitazione per migliorarle. Ecco i passi da compiere per sviluppare un programma efficace:

- Progettare simulazioni che coprano una serie di scenari, tra cui attacchi di phishing, ransomware e social-engineering.

- Come per gli allenamenti di tiro e passaggio nel calcio, iniziate con scenari semplici che si concentrino sui concetti fondamentali e aumentate gradualmente la complessità degli scenari. Concentratevi sul rafforzamento delle competenze e della fiducia prima di affrontare minacce più difficili.

- Concentrate le simulazioni su scenari reali che i compagni di team possono incontrare nel loro lavoro quotidiano. Questo aiuta a creare fiducia nel rispondere a minacce specifiche e garantisce che i singoli siano preparati ad agire di conseguenza.

Dopo ogni esercitazione, fornite un feedback e discutete di ciò che ha funzionato bene e di ciò che potrebbe essere migliorato. Aiutare i compagni di squadra a imparare dai loro errori e a migliorare le loro risposte è uno dei vantaggi più preziosi di qualsiasi evento di formazione.

Effettuate una campagna continua di allenamenti ed esercitazioni efficaci

I grandi atleti si allenano regolarmente. Allo stesso modo, le aziende devono dare priorità allo sviluppo continuo delle competenze per rimanere competitive, dato che le tecnologie e le minacce informatiche cambiano rapidamente. Ecco alcune considerazioni chiave.

- I budget per la formazione e le esercitazioni non devono essere sacrificati da misure di riduzione dei costi. Investire nello sviluppo dei dipendenti ha un valore enorme e nessuna azienda può permettersi di sottovalutare i costi finanziari a lungo termine di una violazione informatica.

- Pianificare e programmare la formazione e le esercitazioni è fondamentale: consente ai team di valutare le proprie prestazioni. Identificando regolarmente le aree di miglioramento, i team possono pianificare e poi eseguire in modo più efficace in futuro. Inoltre, il tempo dedicato alla revisione e alla valutazione delle prestazioni passate può portare a decisioni più informate su quali scenari esercitare e sugli strumenti da utilizzare nelle sessioni di formazione future.

- Le esercitazioni di team dovrebbero essere svolte regolarmente e con gli stessi strumenti, tecniche e procedure utilizzati nelle operazioni quotidiane per costruire una memoria muscolare utile nelle situazioni reali.

Nel suo discorso, Pacino dice: “Si scopre che la vita è un gioco di centimetri; anche il football lo è”. Anche la cybersicurezza lo è. Ogni centimetro di progresso è importante. Le minacce odierne sono più sofisticate e diffuse di quelle precedenti e non si tratta di sapere se un’organizzazione dovrà affrontare un attacco informatico, ma quando. Ecco perché è fondamentale che i leader aziendali diano priorità alla formazione e all’esercitazione in materia di cybersecurity come componente chiave della loro sicurezza complessiva. Identificando le competenze e le conoscenze specifiche necessarie per combattere efficacemente le minacce, pianificando e programmando la formazione e le esercitazioni e coinvolgendo i principali stakeholder per comprendere le esigenze di formazione specifiche della loro organizzazione, le aziende possono costruire un team più forte e sicuro. Investire nello sviluppo dei dipendenti attraverso programmi formali di formazione ed esercitazioni continue può fornire un enorme valore e aiutare le aziende a rimanere davanti agli avversari in un panorama di cybersecurity in continua evoluzione.

Dustin Updyke è ricercatore senior di sicurezza informatica presso la divisione CERT del Carnegie Mellon Software Engineering Institute. Sviluppa programmi di formazione ed esercitazione realistici per le organizzazioni al fine di migliorare la loro preparazione in materia di sicurezza informatica.