La funzione Virtual Risk Officer (VRO) fornisce dati e metriche che permettono di comprendere meglio i punti di forza e i punti deboli dell’organizzazione in termini di sicurezza. Puoi usare il VRO per sapere quali sono gli utenti più vulnerabili agli attacchi di phishing e per verificare l’efficacia del programma sulla consapevolezza della sicurezza.
Il VRO assegna agli utenti, ai gruppi e all’organizzazione dei punteggi di rischio dinamici. Questi punteggi di rischio possono essere usati come base per prendere delle decisioni relative alla sicurezza dell’organizzazione.
Per ulteriori informazioni sul VRO, fai clic sui link in basso e guarda il video Virtual Risk Officer (VRO).
Cos’è il punteggio di rischio?
KnowBe4 calcola un punteggio di rischio unico per ciascun utente e ciascun gruppo e un punteggio per l’intera organizzazione. Il punteggio di rischio dei singoli utenti viene detto punteggio di rischio personale. Questi punteggi di rischio personali vengono utilizzati per calcolare il punteggio di rischio dei gruppi e dell’organizzazione.
Questi punteggi sono riportati in diverse parti della console all’interno di alcuni rapporti, elenchi di utenti ed elenchi di gruppi.
Come si determina il punteggio di rischio personale?
Il punteggio di rischio personale è il punteggio di rischio di un singolo utente. Il punteggio di rischio personale viene calcolato utilizzando una rete neurale di apprendimento profondo che unisce diversi fattori. La tabella seguente riporta alcuni di questi fattori:
| Fattori di rischio | Descrizione |
|---|---|
| Percentuale Phish-prone | Probabilità di un utente di essere vittima di un attacco di phishing. Questa percentuale si basa sui risultati di un Phishing Security Test. |
| Stato della formazione sulla consapevolezza della sicurezza | Tipologia dei moduli di formazione completati e tempo dedicato alla formazione dall’utente. |
| Dati sulle violazioni | Fattore calcolato tramite lo strumento Email Exposure Check (EEC Pro), che indica se i dati dell’utente sono stati coinvolti in una o più violazioni di dati. Le informazioni relative alla violazione saranno riportate sulla linea temporale dell’utente. |
| Funzione professionale |
Il titolo professionale di un utente può influire sul suo punteggio di rischio personale. Agli utenti privi di titolo professionale verrà applicato un fattore di rischio legato alla funzione professionale medio; questo fattore verrà aggiunto al punteggio di rischio dell’utente. Per ulteriori informazioni, leggi l’articolo In che modo il titolo professionale influisce sul punteggio di rischio?. |
| Risk Booster dell’utente | Lo strumento Risk Booster consente di aumentare manualmente il punteggio di rischio personale di un utente. Ti consigliamo di utilizzare il Risk Booster per gli utenti ad alto rischio. Per ulteriori informazioni, consulta la Guida ai Risk booster. |
| Risk Booster di gruppo |
Se aggiungi un utente a un gruppo, il Risk Booster del gruppo potrebbe modificare il punteggio di rischio personale dell’utente. Se il Risk Booster dell’utente è inferiore al Risk Booster del gruppo, verrà infatti applicato il Risk Booster del gruppo. Quando viene applicato il Risk Booster del gruppo, il punteggio di rischio personale dell’utente cambia. Se un utente è stato aggiunto a più gruppi, verrà applicato il Risk Booster di gruppo il cui valore è più alto. Gli utenti il cui punteggio Rischio molto basso non saranno influenzati dal Risk Booster di gruppo. Per maggiori informazioni sui Risk Booster, consulta la Guida ai Risk Booster. |
Questi fattori influenzano i punteggi di rischio personali degli utenti. Ad esempio, gli utenti del reparto Contabilità potrebbero avere punteggi di rischio personali più alti rispetto agli utenti del reparto Grafica. Gli utenti del reparto Contabilità, infatti, hanno accesso a informazioni finanziarie sensibili ed è pertanto più probabile che vengano presi di mira da attacchi di phishing o ingegneria sociale.
Allo stesso modo, un CEO avrà un punteggio di rischio personale più alto di un direttore responsabile del marketing. I dirigenti possono infatti accedere a informazioni riservate sull’organizzazione e sono quindi maggiormente esposti al rischio di attacchi di ingegneria sociale.
Tutti i punteggi di rischio personali vengono aggiornati una volta al giorno. I punteggi registrati nei giorni precedenti alla data corrente non possono essere modificati.
Il punteggio di rischio personale di un utente viene visualizzato in diverse aree della console, tra cui l’elenco utenti nella scheda Utenti, i profili dei singoli utenti e le schede report utenti disponibili nel Centro rapporti KSAT.
Cartelle e grafici del punteggio di rischio personale
La scheda Utenti della console KSAT, riporta tre diversi grafici con il punteggio di rischio personale di un utente. Per visualizzare questi grafici per ogni utente, vai su Utenti e fai clic sul nome dell’utente.
Per ulteriori informazioni su ciascun grafico, fai clic sulle schede seguenti:
La Scala del punteggio di rischio fornisce una rappresentazione visiva del punteggio di rischio personale calcolato per l’utente. Questa scala va da 0 a 100. La tabella in basso riporta gli intervalli di punteggio di rischio espressi dai diversi colori della scala.
| Scala del punteggio di rischio | Colore | Punteggio di rischio |
|---|---|---|
 |
Verde | 0 - 20 |
| Giallo | 20,1 - 40 | |
| Giallo scuro | 40,1 - 60 | |
| Arancione | 60,1 - 80 | |
| Rosso | 80,1 - 100 |
Il grafico radar Fattori di rischio indica quali fattori hanno il maggiore impatto sul punteggio di rischio personale di un utente.
I dati di questo grafico riguardano esclusivamente i fattori di rischio dell’utente. Questi dati non riguardano i fattori di rischio di tutti gli utenti dell’organizzazione. La tabella in basso descrive ciascun fattore di rischio rappresentato nel grafico.
Descrizione| Fattore | |
|---|---|
|
Eventi personalizzati |
L’utente è stato incluso in almeno un evento personalizzato importato nella console tramite la User Event API. L’impatto del fattore di rischio Eventi personalizzati varia a seconda del livello di rischio assegnato a ciascun evento personalizzato. |
| Booster |
Rappresenta un Risk Booster applicato manualmente all’utente. Questo Fattore di rischio include Risk Booster individuali e Risk Booster di gruppo. Gli admin possono modificare il Risk Booster di utenti e gruppi. Il grafico può indicare se all’utente è stato applicato un Risk Booster, che potrebbe anche essere di tipo Rischio normale. Se desideri modificare questa impostazione, puoi applicare un Risk Booster Rischio molto basso all’utente o al gruppo. |
| Esposizione |
I dati dell’utente sono stati coinvolti in una o più violazioni di dati. Se i dati dell’utente sono presenti in una violazione dei dati, è più probabile che l’utente subisca attacchi di phishing o di ingegneria sociale. Questo punteggio diminuisce man mano che il tempo trascorso dalla violazione aumenta. Le violazioni di dati recenti avranno un impatto maggiore sul fattore di rischio Esposizione dell’utente. Per sapere se i dati di un utente sono coinvolti in una violazione di dati, vai sulla linea temporale dell’utente oppure sulla Scheda report utenti. |
| Funzione professionale | Gli utenti possono avere un punteggio di rischio più alto in base al loro titolo professionale. Per ulteriori informazioni, leggi l’articolo In che modo il titolo professionale influisce sul punteggio di rischio?. |
| Comportamento | Questo fattore indica se l’utente non ha superato i test di phishing simulato. Se l’utente supererà i futuri test di phishing, il valore del fattore di rischio Comportamento diminuirà. |
| Formazione | Questo fattore indica se l’utente non ha completato la formazione o se vi ha dedicato poco tempo. Il fattore sarà alto se l’utente non ha completato la formazione, mentre sarà più basso se l’ha completata. |
Il grafico a linee Storia del rischio rappresenta la variazione del punteggio di rischio personale dell’utente negli ultimi sei mesi. Passando con il cursore su un punto del grafico puoi visualizzare il punteggio di rischio personale dell’utente corrispondente a una determinata data.
Punteggi di rischio di gruppo
Il punteggio di rischio di un gruppo è determinato dai punteggi di rischio personali degli utenti del gruppo e calcolato tramite la misurazione dell’errore quadratico medio o MSE. Il punteggio di rischio del gruppo, pertanto, potrebbe non essere una media esatta dei punteggi di rischio personali degli utenti. Ad esempio, se all’interno del gruppo c’è un utente con un punteggio di rischio personale insolitamente alto rispetto al resto del gruppo, il calcolo MSE impedisce che questo punteggio influenzi eccessivamente il punteggio di rischio del gruppo.
Questo punteggio di rischio cambia se vengono aggiunti o rimossi degli utenti dal gruppo e se i punteggi di rischio personali degli utenti cambiano. Se vengono rilevate delle modifiche, il punteggio di rischio del gruppo viene aggiornato nelle ore notturne. I punteggi di rischio registrati in passato non possono essere modificati.
Se lo desideri, puoi applicare un Risk Booster a un gruppo. Per ulteriori informazioni su come applicare un Risk Booster a un gruppo, consulta la Guida ai Risk Booster.
Il punteggio di rischio del gruppo è riportato in diverse aree della console, tra cui la pagina di panoramica del gruppo, i profili dei singoli gruppi e le Schede rapporto gruppi.
Punteggi di rischio dell’organizzazione
Il punteggio di rischio dell’organizzazione è determinato dalla combinazione dei punteggi di rischio personali di tutti gli utenti.
Per calcolare il punteggio di rischio dell’organizzazione, KnowBe4 utilizza la misurazione dell’errore quadratico medio o MSE. Se un utente ha un punteggio di rischio personale anomalo, il calcolo MSE impedisce al punteggio di quell’utente di influenzare il punteggio di rischio dell’organizzazione. Ad esempio, un utente con un punteggio di rischio personale insolitamente alto avrà un basso impatto sul punteggio di rischio dell’organizzazione. Di conseguenza, il punteggio di rischio dell’organizzazione non è una media esatta dei punteggi di rischio personali di tutti gli utenti.
Puoi visualizzare il punteggio di rischio della tua organizzazione nella scheda Dashboard della console KnowBe4. La sezione Punteggio di rischio dell’organizzazione riporta il grafico Cronologia del punteggio di rischio e la scala del punteggio di rischio dell’organizzazione. Il grafico Cronologia del punteggio di rischio mostra il punteggio di rischio dell’organizzazione negli ultimi sei mesi. Ogni punto del grafico rappresenta il punteggio di rischio dell’organizzazione in un momento specifico.
Dashboard: Rischio dell’organizzazione
Il punteggio di rischio dell’organizzazione cambia quando cambiano i punteggi di rischio personali degli utenti. Se vengono rilevate delle modifiche, il punteggio di rischio viene aggiornato nelle ore notturne.
Se il punteggio di rischio dell’organizzazione non cambia, verranno comunque aggiunti al grafico almeno due punti dati ogni mese. In assenza di cambiamenti, questi due punti vengono aggiunti per mostrare che il punteggio di rischio è rimasto invariato nel corso del mese. Se il punteggio di rischio dell’organizzazione cambia, viene aggiunto un punto dati nelle ore notturne. I punteggi di rischio registrati nel grafico non possono essere modificati manualmente.
Inoltre, non è possibile applicare un Risk Booster manuale al punteggio di rischio dell’organizzazione.
Come abbassare il punteggio di rischio
I punteggi di rischio personali, di gruppo e dell’organizzazione possono essere abbassati. Per informazioni su come abbassarli, leggi le sezioni in basso.
Come abbassare i punteggi di rischio personali
A causa del loro titolo professionale o di altri fattori, alcuni utenti avranno sempre un punteggio di rischio personale elevato. Ciononostante, possono effettuare alcune azioni per abbassare il proprio punteggio di rischio personale, come ad esempio completare la formazione sulla consapevolezza della sicurezza ed evitare di fare clic sui link delle e‑mail di phishing.
Quando un utente completa le attività di formazione sulla consapevolezza della sicurezza, il suo punteggio di rischio personale diminuisce. Ti consigliamo di assegnare moduli di formazione riguardanti diversi aspetti della consapevolezza della sicurezza, come ad esempio il modulo di formazione sulla consapevolezza della sicurezza di KnowBe4. Per ulteriori informazioni sulla creazione di una campagna di formazione, leggi l’articolo Creare e gestire le campagne di formazione.
Il punteggio di rischio personale di un utente diminuisce anche quando non fa clic sui link di phishing o non apre gli allegati alle e‑mail di phishing. Quando gli utenti non fanno clic sui link di phishing simulato, infatti, la loro percentuale Phish-prone diminuisce. La riduzione della percentuale Phish-prone, causa una diminuzione del punteggio di rischio personale.
Come abbassare i punteggi di rischio dei gruppi e dell’organizzazione
I punteggi di rischio dei gruppi e dell’organizzazione si riducono quando diminuiscono i punteggi di rischio personali degli utenti che ne fanno parte. Per fare in modo che il punteggio di rischio dell’organizzazione diminuisca nel tempo, ti consigliamo programmare simulazioni di phishing e attività sulla consapevolezza della sicurezza.
Per ottenere risultati ottimali, ti consigliamo di seguire un Programma automatizzato di consapevolezza della sicurezza (ASAP). Questo programma sarà personalizzato per soddisfare le esigenze della tua organizzazione e ti aiuterà a rispettare il tuo piano di sicurezza.
Per ulteriori informazioni, consulta la Guida alle buone prassi: come integrare efficacemente KnowBe4 nell’organizzazione. Per ulteriore assistenza, contatta il tuo Account Manager o il tuo Customer Success Manager.
Domande frequenti (FAQ)
Se elimino una campagna di formazione o una campagna di phishing, il punteggio di rischio degli utenti cambia?
I punteggi di rischio precedenti non verranno modificati. Tuttavia, se elimini una campagna oggi, i punteggi di rischio degli utenti relativi alla data odierna e alle date future subiranno modifiche.
Le campagne Consigli per la sicurezza e Truffa della settimana influiscono sul punteggio di rischio personale dei miei utenti?
Sì, queste campagne influiscono sul punteggio di rischio personale degli utenti. Queste campagne abbassano il punteggio di rischio personale degli utenti perché non contengono link di phishing su cui fare clic. Per questo motivo, è opportuno nascondere sempre queste campagne dai rapporti. Per ulteriori informazioni, leggi l’articolo Come nascondere una campagna di phishing dai rapporti.
Posso modificare manualmente il punteggio di rischio di un utente o di un gruppo?
Sì, puoi modificare il punteggio di rischio di un utente o di un gruppo. Per ulteriori informazioni, consulta la Guida ai Risk booster.
A che ora vengono aggiornati i punteggi di rischio?
I punteggi di rischio vengono aggiornati intorno alle ore 0:00 (Ora standard orientale - EST). Questo orario può variare leggermente.
Con quale frequenza viene aggiornato il VRO?
Il modello VRO viene aggiornato settimanalmente. Inoltre, aggiorniamo questa funzione in base alle necessità per fornirti informazioni accurate.
Perché il punteggio di rischio della mia organizzazione ha un valore pari a 0?
Il punteggio di rischio della tua organizzazione potrebbe non essere ancora stato calcolato. I valori del punteggio di rischio vengono calcolati intorno alle ore 0:00 (Ora standard orientale - EST)