Timp de două decenii, majoritatea bugetelor de securitate au mers către controale tehnice: firewall-uri, agenți de endpoint, segmentare, patching. Aceste controale rămân importante. Dar modul dominant de a intra într-o organizație modernă nu mai este un server nepatch-uit — este un om. Când un angajat dă click pe un link bine construit, aprobă o factură frauduloasă sau reutilizează o parolă, cel mai scump perimetru din lume este ocolit în câteva secunde.
Pentru un CISO sau un manager IT care operează sub NIS 2, asta schimbă unde trebuie să meargă atenția — și dovezile.
Cifrele sunt greu de ignorat
Datele din industrie arată de ani de zile în aceeași direcție. Aproximativ 82% dintre breșe implică un element uman — un click, o trimitere greșită, o credențială furată sau o manipulare prin inginerie socială. În același timp, în jur de 70% dintre adulții care lucrează recunosc că au făcut, în mod conștient, acțiuni riscante care ocolesc politica de securitate, de obicei ca să-și termine treaba mai repede.
Concluzia e incomodă, dar clară. Așa cum a rezumat Gartner:
„Conștientizarea nu este problema, comportamentul uman este."
Oamenii, în general, știu că nu ar trebui să dea click sau să sară peste politică. O fac oricum, sub presiune, în context, împotriva unor atacatori care folosesc acum AI generativ pentru a produce momeli impecabile și localizate, la scară.
De ce nu e suficient training-ul clasic de conștientizare
Majoritatea organizațiilor „fac" deja training de conștientizare. Atunci de ce rămâne deschisă poarta umană? Pentru că modelul obișnuit e construit ca să mulțumească un audit, nu ca să schimbe comportamentul:
- Module generice, anuale, pe care fiecare angajat le parcurge o dată și le uită.
- Conținut universal, care ignoră rolul, departamentul și riscul individual.
- Teste de phishing rulate ocazional, care rareori se întorc în coaching țintit.
- Raportare făcută să dovedească finalizarea unui curs, nu scăderea riscului.
Cunoștințele fără reîntărire se erodează. Un contabil care procesează plăți către furnizori are alt profil de amenințare decât un dezvoltator cu acces în producție, însă amândoi primesc, de regulă, același set de slide-uri.
Ce cere de fapt NIS 2
NIS 2 ridică ștacheta în două privințe relevante aici. Întâi, Articolul 21 listează igiena cibernetică de bază și training-ul de conștientizare ca măsuri explicite de management al riscului — nu ca opțiuni. Apoi, face conducerea responsabilă pentru aprobarea și supravegherea acestor măsuri, cu consecințe reale în caz de eșec.
În practică, asta înseamnă că un program NIS 2 are nevoie de mai mult decât un certificat de finalizare. Are nevoie de dovezi continue că factorul uman este măsurat, că grupurile cu risc ridicat sunt identificate și că expunerea scade în timp.
De la conștientizare la schimbare comportamentală măsurabilă
Mutarea se face de la „au participat oamenii la training" la „scade efectiv comportamentul riscant". O abordare modernă se sprijină pe câteva principii:
- Scoring de risc. Cuantifică riscul uman pe utilizator, echipă și departament, ca să-ți direcționezi efortul acolo unde expunerea e cea mai mare.
- Simulare adaptivă și realistă. Rulează exerciții de phishing și inginerie socială care reflectă tehnicile actuale — inclusiv Quishing (QR), atașamente și momeli localizate — cu dificultate ajustată individului.
- Microlearning în momentul potrivit. Când cineva pică o simulare, livrează imediat coaching scurt și relevant, cât lecția e concretă.
- Personalizare cu date. Folosește datele comportamentale ca să adaptezi conținutul la rol și nivel de risc și să urmărești dacă reziliența chiar crește.
Astfel, stratul uman devine ceva ce un CISO poate gestiona ca pe orice alt control: cu o referință, o țintă și o linie de trend.
Argumentul de business
Tratarea serioasă a riscului uman nu e doar un exercițiu de conformitate; economia o susține. Training-ul de conștientizare a fost asociat cu o reducere de aproximativ 70% a riscurilor de securitate, iar programele eficiente sunt legate de economii medii de ordinul a 177.708 $ per organizație, prin reducerea breșelor care încep cu eroarea umană. Raportat la costul unui singur incident evitat, randamentul este evident.
Cum abordăm noi
La ClickSecure.AI tratăm stratul uman ca pe un control de primă importanță. Prin parteneriatul cu Awakeness.ai — o platformă SaaS pentru training de conștientizare și simulări, augmentată cu AI și data science — combinăm scoring de risc uman, simulare adaptivă de phishing și microlearning, astfel încât expunerea să fie măsurată și redusă continuu, cu raportare pregatită pentru audit pentru NIS 2, DORA, GDPR, ISO 27001 și cadre similare.
Scopul nu este încă un curs anual. Este o reducere măsurabilă și de apărat a celei mai mari surse de breșe: oamenii sub presiune.
Dacă factorul uman este cel mai mare risc negestionat al tău, merită aceeași rigoare ca restul programului de securitate. Află mai multe despre abordarea noastră de Risc Uman, Conștientizare & Simulare Phishing.
Surse: Gartner — cercetare privind comportamentele angajaților; Aruba (HPE) Digital Workplace Report; Keepnet Labs — statistici training de conștientizare 2024.