Security Awareness & Training - Best practices, Future tendenze e Cosa fare ADESSO

1. Security Awareness &
Training
Best Practices, Future
Tendenze, Che Fare ADESSO
Adriana Franca
DigiTree CM.

2. 2
About KnowBe4
• La più popolare piattaforma integrata della nuova
scuola di Security Awareness Training e Phishing
Simulato
• Oltre 11.000 aziende clienti
• Fondata nel 2010
• Missione: rendere le persone in grado di prendere
decisioni più brillanti in termini di sicurezza
3
About KnowBe4

3. 3
Agenda
• Che cosa dovrebbe prendere in
considerazione un’organizzazione
pianificando un programma di security
awareness?
• In che modo un’organizzazione può
efficacemente fare in modo che il suo
personale adotti comportamenti orientati
alla sicurezza e consapevoli del rischio?
• Dove tutto ciò ci porterà nel futuro?

4. 4
Agenda
• Che cosa dovrebbe prendere in
considerazione un’organizzazione
pianificando un programma di security
awareness?
• In che modo un’organizzazione può
efficacemente fare in modo che il suo
personale adotti comportamenti orientati
alla sicurezza e consapevoli del rischio?
• Dove tutto ciò ci porterà nel futuro?

5. 5
Security
Awareness:
perché…
beh, lo sai

6. Companies spend millions of dollars on firewalls,
encryption, and secure access devices and it's money
wasted because none of these measures address the
weakest link in the security chain: the people who use,
administer, operate and account for computer systems
that contain protected information.
Kevin Mitnick, the World’s Most Wanted Hacker

7. Se tenti di andare contro la natura umana,
sei destinato a fallire…
-- una verità su cui riflettere --

8. 8
“Tutti hanno un piano,
finché non ricevono
un pugno in faccia.”
- Mike Tyson
Dobbiamo condizionare la gente ad avere i giusti riflessi

9. 9
Dobbiamo condizionare le persone ad avere i giusti riflessi

10. Visioni del Mondo Comportamento Osservabile dei Dirigenti
Contesto Locale Aspettative Note e Percepite
Gruppi di Pari Consapevolezza o Sensazione di Essere Osservati
Cultura della sua divisione Influenze Subliminali
Precedenti Esperienze Sistemi di Ricompense e Punizioni
Pressioni Familiari Valore Sociale e Pressione Sociale
Pressioni sul Lavoro Ambizioni
Schemi di Abitudini Paure
Pensieri e comportamenti sono influenzati da:
Una Persona in realtà fa parte di un Ecosistema più ampio

11. 11
5 Punti da
Considerare
1. Non puoi e non devi agire da solo
2. Non puoi e non devi educare su tutto
3. Alle persone importano soltanto le cose che
sentono essere rilevanti per loro
4. La tua missione è quella di affiancare il
personale per aiutarlo a fare delle scelte
ponderate
5. Il tuo compito non avrà mai fine

12. 12
Agenda
• Che cosa dovrebbe prendere in
considerazione un’organizzazione
pianificando un programma di security
awareness?
• In che modo un’organizzazione può
efficacemente fare in modo che il suo
personale adotti comportamenti orientati
alla sicurezza e consapevoli del rischio?
• Dove tutto ciò ci porterà nel futuro?

13. 13
Prima di iniziare:
sii estremamente
onesto con te stesso
su quelli che sono i
tuoi obiettivi e su
quello che la cultura
aziendale potrà
tollerare.

14. Il tuo programma di awareness e il suo
contenuto sono la faccia del tuo
dipartimento che mostri al resto
dell’azienda.
-- un’altra verità su cui riflettere --

15. 15
Perché è così difficile ottenere i giusti comportamenti?
Siamo pigri
Siamo animali sociali
Siamo dipendenti dalle abitudini

16. 16
Non puoi educare in modo realmente efficace su tutto…
Se il tuo obiettivo è la modifica del comportamento,
focalizzati su 2 o 3 per volta

17. 17
Un
esperimento
mentale:
La
“Bacchetta
Magica”
Se tu potessi usare una bacchetta
magica e modificare istantaneamente
tre comportamenti legati alla sicurezza
dei tuoi impiegati, quali sceglieresti?

18. 18
Il modello 70:20:10 di Sviluppo e Apprendimento
70%
Esperienza
20%
Informale
10%
Formale
10% FORMALE
Apprendimento Strutturato, Corsi LMS, Giornate di Formazione
70% ESPERIENZA
Al lavoro, sociale, in the workflow, cultura aziendale e di dipartimento
20% INFORMALE
Chiedere agli altri, collaborare, guardare video, leggere

19. 19
Il modello 70:20:10 di Sviluppo e Apprendimento
La maggior parte delle compagnie dedica il 90% dei propri sforzi al 10%.
Crea/trova dei contenuti da poter utilizzare al 100%.
70%
Esperienza
20%
Informale
10%
Formale

20. 20
1. La prima volta
2. Voler Saperne di Più
I 5 momenti del Bisogno
3. Cercare di applicare la
conoscenza e/o ricordarla
4. Quando qualcosa va storto
5. Quando qualcosa cambia
Point in time,
Solo in Caso
Appena in Tempo

21. 21
Dati Osterman Research su un intervallo di 10 anni
Il Phishing rimane ancora il Vettore d’Infezione #1
2007-2017
Data Collected:

22. 22
dei data breach hanno avuto inizio
con un attacco di spear-phishing
91%
I tuoi Impiegati sono la tua
Ultima Linea di Difesa
• 91% dei data breach hanno avuto
inizio con un attacco di spear-
phishing
• Le CEO Fraud (aka Business
Email Compromise) provocano
ogni anno danni per oltre 5.3
miliardi di dollari
• Ransomware: un affare da 1
miliardo di dollari per la criminalità
informatica nel solo 2016, ma in
continuo aumento
Fonte: Trend Micro

23. 23
I 4 Stadi della Competenza
Noel Burch, Gordon Training International, Conscious Competence Ladder – 1970s
So di non sapere
qualcosa
So qualcosa ma
devo pensare a
come si fa
So qualcosa così
bene che non
devo pensarci
sopra
Non so di non
sapere qualcosa

24. 24
I 4 Stadi della Competenza
Noel Burch, Gordon Training International, Conscious Competence Ladder – 1970s

25. 25
Phishing / Automated Social Engineering Testing
Plan like a Marketer. Test like an Attacker.
Tempo
Canale
Executive
Message/Video
LMS Modules
Newsletter
Digital Signage – Theme 1
LMS Modules
Department Manager
Message
Newsletter Newsletter Newsletter
Digital Signage – Theme 2
Security Town Hall
LMS Modules

26. 26
By WissensDürster at German Wikipedia, CC BY-SA 3.0,
https://commons.wikimedia.org/w/index.php?curid=31542169
http://www.abc.net.au/radionatio
nal/programs/allinthemind/recycli
ng-bin-behavioural-
economics/6799128
Spingili nella giusta direzione
Come “spinta gentile” (nudge) può
essere definito un qualuque aspetto
dell’architettura scelta che alteri il
comportamento delle persone in
modo prevedibile, senza impedire
loro alcuna scelta o modificare
significativamente gli incentivi
economici. Per essere considerato
una pura spinta gentile, l’intervento
deve poter essere evitato in modo
semplice ed economico. Le spinte
gentili non costituiscono un ordine.
Mettere della frutta a vista conta
come nudge, proibire di mangiare
schifezze no.
Nudge: Improving Decisions About Health,
Wealth, and Happiness, 2008

27. 27
Spingili nella giusta direzione
Come “spinta gentile” (nudge) può
essere definito un qualuque aspetto
dell’architettura scelta che alteri il
comportamento delle persone in
modo prevedibile, senza impedire
loro alcuna scelta o modificare
significativamente gli incentivi
economici. Per essere considerato
una pura spinta gentile, l’intervento
deve poter essere evitato in modo
semplice ed economico. Le spinte
gentili non costituiscono un ordine.
Mettere della frutta a vista conta
come nudge, proibire di mangiare
schifezze no.
Nudge: Improving Decisions About Health,
Wealth, and Happiness, 2008
Il tuo portale di password reset è un ottimo posto dove
inserire una spinta gentile:
• Misuratori di Forza
• Video su come creare e ricordare password robuste
• Specifici moduli formativi
• Ecc.

28. 28
STEPPS: 6 Fattori di un Messaggio Virale
1. Social Currency
We share things that make us look good
2. Triggers
Top of mind, tip of tongue
3. Emotion
When we care, we share
4. Public
Built to show, built to grow
5. Practical
News you can use
6. Stories
Information travels under the guise of idle chatter

29. 29
Statistiche, Gamification, e altro
Statistiche e report ti aiutano a
“raccontare la tua storia”.
Prendi in considerazione gamification e
incentivi per incoraggiare competizioni
amichevoli tra dipartimenti.
Fa tutto quello che
possa rafforzare i tuoi
obiettivi

30. 30
5 Buone
Pratiche da
Adottare
1. Fissa obiettivi espliciti prima di
cominciare
2. Decidi quali comportamenti modificare
– scegline 2 o 3 e lavora su questi per
12 – 18 mesi
3. Considera il tuo programma come
un’iniziativa di marketing
4. Utilizza frequentemente il phishing
5. Non fare i rompiballe

31. 31
Agenda
• Che cosa dovrebbe prendere in
considerazione un’organizzazione
pianificando un programma di security
awareness?
• In che modo un’organizzazione può
efficacemente fare in modo che il suo
personale adotti comportamenti orientati
alla sicurezza e consapevoli del rischio?
• Dove tutto ciò ci porterà nel futuro?

32. 32
Future tendenze:
• Flessibile e adattivo: maggiore
consapevolezza legata al contesto e
interventi educativi in tempo reale
• Risparmio di tempo: micro-learning,
baseline comportamentale, test, ruoli
e regole dettagliati
• Più smart: maggiore utilizzo di AI e
machine learning
• Plug-able: maggiore integrazione con
gli strumenti tradizionali

33. 33
Future trends:
• “Subdolo”: maggiore utilizzo di esempi
di social engineering automatizzati
• Sensibile: alle caratteristiche dell’utente
e del contesto
• Colorito: maggiore varietà di contenuti,
stili, toni, formati, ecc….
• Assistivo: spingerà in modo naturale
verso una maggiore completezza del
programma

34. Queste figate potranno essere realizzate
in futuro, ma non possiamo concederci il
lusso di aspettare. Possiamo e dobbiamo
costruire ORA un programma serio per la
security awareness.
-- un’altra verità su cui riflettere --

35. 35
5 Key
Takeaways
1. Rendi rilevanti i tuoi messaggi ed i tuoi
insegnamenti
2. Testa frequentemente per costruire dei
comportamenti automatici relativamente alla
sicurezza
3. Usa report e statistiche per rinforzarli e per
“raccontare la tua storia”
4. Il tuo programma di awareness opera
all’interno del più ampio contesto della tua
cultura aziendale
5. Pensa come un venditore, un attaccante, e
un genitore preoccupato

36. 36
BaselineTesting
4 Fasi di un Programma di SA Efficace
Train Your Users
Phish Your UsersSee the Results

37. 37
…e la sua efficacia è provata dai dati

38. 38
Risorse
Free Domain Spoof Test
Scopri subito se gli hacker possono falsificare un indirizzo email del tuo dominio
Free CEO Fraud Prevention Manual
Questo manuale ti offre una panoramica completa sugli attacchi che compromettono gli account dei
dirigenti, come evitarli e su che fare dopo
Free Phishing Security Test
Scopri quale percentuale dei tuoi utenti risulta Phish-prone
Free Ransomware Simulator
RanSim può simulare fino a 10 scenari ransomware e mostrarti se una workstation è vulnerabile alle
infezioni
Free Phish Alert Button
Il tuo personale ora ha un metodo sicuro per segnalare un attacco di phishing con un solo click!
Free Weak Password Test
Vuoi scoprire rapidamente l’effettiva efficacia delle policy sulle password? Ogni fallimento segnala la
necessità di rivederle.
» Scopri di più su www.KnowBe4.com/Resources «

39. Adriana Franca, digiTree CM
Email: adriana.franca@digitree.it
Linkedin: /in/adriana-franca-59779836/
Web: www.digitree.it
Domande?

40. Adriana Franca, digiTree CM
Email: adriana.franca@digitree.it
Linkedin: /in/adriana-franca-59779836/
Web: www.digitree.it
Grazie!