La formazione per sensibilizzare gli impiegati alla sicurezza informatica sta avendo un effetto. Le case di sistema possono partecipare al business e impostare i servizi gestiti per abbinare le soluzioni dei produttori. Ma l'impegno dei clienti finali potrebbe essere maggiore.
La tecnologia non è tutto. A cosa serve la soluzione di sicurezza più costosa se l'utente è negligente con i dati e l'accesso davanti al PC? Secondo il produttore G Data, che attualmente sta espandendo notevolmente la sua formazione sulla consapevolezza della sicurezza, le e-mail sono ancora la via di attacco numero uno nei sistemi IT. Dopo tutto, molti attacchi di phishing non avrebbero successo se gli impiegati a tutti i livelli dell'azienda non ci cascassero.
"Specialmente nell'attuale situazione di home office, una buona consapevolezza della sicurezza è più importante che mai. Inoltre, i dipendenti sono particolarmente sotto pressione a causa della pandemia, dell'homeschooling e della solitudine. In queste situazioni, sono più suscettibili all'ingegneria sociale", sostiene Nikolas Schran, Product Owner Cyber Defense Academy di G Data.
Per sensibilizzare i dipendenti ai rischi informatici, produttori come G Data, Kaspersky e KnowBe4 offrono piattaforme di apprendimento che distribuiscono tramite i loro partner. Questi inviano automaticamente notifiche ai dipendenti per ricordare loro le unità di apprendimento che sono ancora aperte. Soluzioni particolarmente creative sono anche offerte, per esempio, dal distributore Also con un Escape Game e KnowBe4 con una serie sulla consapevolezza della sicurezza.
Che sia uno studente lavoratore o un manager: i produttori cercano di raccogliere gli utenti con contenuti personalizzati dove si trovano al momento e includono una precedente conoscenza della sicurezza informatica o un particolare livello di rischio dovuto a elevate autorizzazioni di accesso o azioni avventate.
I partner possono diventare attivi qui realizzando i corsi di formazione e gli allenamenti insieme ai produttori, che idealmente hanno luogo regolarmente. Attraverso il whitelabelling, i partner possono offrire le piattaforme di consapevolezza della sicurezza come servizi gestiti. "I prodotti e i servizi sono sempre più spesso raggruppati in pacchetti in cui la formazione sulla consapevolezza della sicurezza gioca un ruolo immensamente importante. Non solo la soluzione di sicurezza è gestita dal partner, ma anche la formazione. Questo crea un intreccio tra gli ingranaggi della protezione tecnica e il firewall umano", dice Schran.
Quindi i mezzi ci sono, ma l'entusiasmo tra le aziende potrebbe essere maggiore. Perché invece di interrogazioni regolari sulla conoscenza e corsi di formazione ricorrenti, le aziende più piccole in particolare fanno colazione sulla consapevolezza della sicurezza con eventi una tantum. In alternativa, di tanto in tanto vengono inviate solo e-mail sulle minacce attuali o viene messo a disposizione materiale informativo tramite intranet. Thomas Firnkorn, managing partner della casa di sistemi Firnkorn und Stortz, riporta le sue esperienze: "La crescita della sicurezza informatica dovrebbe essere enormemente superiore a quella che è. La sicurezza è ancora vista come un fattore di spesa. 'Non ci succede niente' è ancora diffuso."
E' chiaro che un workshop una tantum è più economico dell'acquisizione di una piattaforma di e-learning. Ma le aziende non possono ottenere una maggiore consapevolezza della sicurezza e un cambiamento sostenibile del comportamento con essa. Per calcolare il costo opportunità della formazione di consapevolezza, dovrebbero confrontare il costo di diversi giorni di fermo aziendale a causa di un incidente informatico con l'investimento in consapevolezza. Per non parlare dei possibili danni alla reputazione e delle violazioni della protezione dei dati.
È un fatto che le misure funzionano. Nell'autunno 2020, il 78% dei partecipanti a uno studio di G Data ha dichiarato di aver aumentato la propria sicurezza informatica come risultato delle misure. È tempo che le aziende accettino le diverse offerte dei produttori e dei partner, invece di implementare solo a metà la consapevolezza della sicurezza.
I partner dovrebbero anche fare più pressione sui clienti finali per stabilire la consapevolezza della sicurezza. In cambio di modelli di licenze software flessibili e dei più alti margini possibili, tuttavia, i fornitori si aspettano lealtà, fedeltà e impegno dai loro partner. I rivenditori e gli MSP dovrebbero essere disposti a usare nuove tecnologie e a farsi coinvolgere in nuove industrie. Per esempio, i clienti del settore sanitario, del settore dell'istruzione e delle autorità pubbliche sono gruppi target promettenti - e non solo in termini di consapevolezza della sicurezza.