La crescita del numero di minacce e della loro pericolosità ha spinto le imprese di tutto il mondo ad aumentare il budget per la sicurezza informatica. Gran parte dei fondi per la cybersecurity viene spesa in training specifici per i dipendenti con lo scopo di ridurre il numero di incidenti e di conseguenza i costi di recovery; nonostante gli sforzi, però, gli utenti faticano a recepire gli insegnamenti.
Secondo Kevin Forte, presidente di Uninvention North America, i training di sicurezza non riescono a coinvolgere a sufficienza i dipendenti. Spesso le lezioni entrano troppo nel tecnico, descrivendo scenari o flussi estranei a quelli quotidiani degli utenti. I termini stessi delle lezioni, se troppo specifici, tendono a ostacolare la comprensione, confondendo gli utenti.
Un altro problema è che le lezioni si tengono in maniera discontinua e, tra una e l'altra, i dipendenti vengono lasciati da soli, senza reminder o linee guida sui comportamenti da adottare. Anche se la singola lezione è riuscita a coinvolgere gli utenti, senza il ripasso le competenze si dissipano in breve tempo.
Infine, i training di cybersecurity vengono spesso visti come un modo per "punire" i dipendenti che hanno fallito un test di sicurezza o, nel peggiore dei casi, sono caduti nella trappola di un attaccante. Le imprese sono portate a condannare gli utenti che non rispettano le linee guida con lezioni aggiuntive, facendoli sentire inadeguati e di conseguenza meno disposti a imparare per rimediare ai loro errori.
Comprendere il pubblico per rafforzare la sicurezza
Come per qualsiasi altro tipo di lezione, è importante scegliere le parole più adatte per il pubblico col quale si ha a che fare: se ci si sta rivolgendo a utenti base con poche conoscenze tecniche, è meglio evitare termini specifici sconosciuti ai più.
Oltre alla terminologia bisogna curare la narrativa stessa: esempi e aneddoti sono un ottimo modo per coinvolgere gli utenti e calare gli insegnamenti in un contesto reale; inoltre, basare le lezioni sulle ultime tecnologie e sui nuovi trend stimola l'attenzione e il confronto.
Per migliorare l'efficacia degli insegnamenti è utile portare gli utenti a mettere in pratica ciò che hanno imparato, per esempio attraverso dei contest che premiano chi è riuscito a individuare il maggior numero di email di spam e phishing. Invece di punire chi commette degli errori è meglio spostare il focus sulle esperienze positive che spronano i dipendenti a fare di meglio.
La cybersecurity non deve più essere un motivo di stress per i dipendenti: le lezioni vanno impostate con la consapevolezza che di fronte si hanno delle persone, spesso con molta paura di sbagliare. Ripensare il training di sicurezza significa ridurre visibilmente la possibilità di errori e con essi il costo totale della cybersecurity.