Tra sicurezza e psicologia, per aumentare la resilienza

Security Mind è un percorso di Cyber Security Awareness che nasce con l’obiettivo di trasformare concretamente gli atteggiamenti e i comportamenti degli utenti di fronte alle crescenti minacce Cyber, al fine di aumentare la resilienza professionale e personale.

L’aspetto innovativo e distintivo di Security Mind è che da un lato descrive le varie tecniche di attacco utilizzate dagli hacker e dall’altro evidenzia altri due fattori che sono determinanti per il raggiungimento del risultato di aumentare la resilienza di un’organizzazione: 

• Descrive il Mindset degli attaccanti e i Comportamenti degli esseri umani che vengono utilizzati dagli hacker per colpirci; oltre a descrivere gli aspetti tecnici della cyber security, è di fondamentale importanza evidenziare le dinamiche che intercorrono tra l’attaccante e la vittima, evidenziare quindi sia il modo di pensare della vittima sia quello di operare dell’attaccante, perché come dice Sun Tzu se conosci il nemico e te stesso non dovrai temere il risultato di cento battaglie.

• I contenuti delle formazioni sono costruiti utilizzando tecniche di comunicazioni efficaci, oltre a porre attenzione al contenuto è importante la modalità̀ utilizzata per comunicarlo.  Da qui la scelta di utilizzare una comunicazione efficace e un linguaggio divulgativo comprensibile anche da persone inesperte in sicurezza informatica, è importante che il partecipante comprenda il beneficio del percorso formativo e che di conseguenza possa applicarlo sia all’interno del suo network personale che aziendale. 

La Piattaforma è stata pensata per coinvolgere tutta l’organizzazione in un percorso di apprendimento stimolante e dinamico, con l’obiettivo di trasformare i comportamenti delle persone ed evitare che diventino dei complici inconsapevoli di un atto malevolo.

Si parla spesso di fattore umano nel modo della cyber security, in che modo si può gestire questo aspetto attraverso l’awareness?

I programmi di cyber security awareness evoluti dovranno essere in grado di trasformare concretamente gli atteggiamenti e i comportamenti degli utenti di fronte alle crescenti minacce Cyber, quindi oltre a descrivere le varie tecniche usate dagli hacker, dovranno porre particolare attenzione alla modalità con la quale vengono comunicate, usando un linguaggio divulgativo che sia comprensibile anche a persone inesperte in sicurezza informatica.

Occorre quindi adottare processi formativi avanzati basati su una metodologia di formazione continua che da un lato stimolino delle caratteristiche difensive umane tra cui la prontezza, la reattività e l’attenzione e dall’altro accrescano l’attitudine dell’utente, consentendo di conseguenza a tutti gli utenti di fare un uso sempre più consapevole delle tecnologie digitali, degli strumenti social e delle risorse presenti nel web.

Come la psicologia può aiutare a migliorare la sicurezza informatica?

Ci sono delle caratteristiche psicologiche che è importate inserire in un percorso di formazione perché sono alla base del comportamento umano e vengono utilizzate dai cyber criminali.

Ritengo che rendere consapevole l’utente finale dell’esistenza di queste dinamiche e del loro impiego da parte dei cyber crime sia fondamentale. Analizzare un argomento di cyber security dal punto di vista psicologico significa comprendere ad esempio che gli hacker, sfruttando le nostre emozioni, ci spingono ad agire d’istinto, senza utilizzare quella parte più razionale e logica del nostro cervello.

Quali sono i focus di Security Mind e come vengono suddivisi gli argomenti all’interno delle soluzioni?

I focus di Security Mind sono da un lato descrivere gli argomenti di cyber security usando un linguaggio comprensibile anche a persone inesperte in sicurezza informatica, sottolineando anche il fattore umano e di come attraverso gli stati emotivi e fattori cognitivi, gli hacker influenzano i comportamenti degli individui rendendoli vulnerabili nel cyber spazio, dall’altro accompagniamo ogni utente dalla Conoscenza alla Pratica, offrendo un'esperienza di formazione potenziante tramite un programma di allenamento che simula le stesse tecniche che utilizzano gli hacker.

Gli argomenti all’interno della Piattaforma sono 12, dal phishing, alle fake news, all’uso consapevole dei social netwkork all’utilizzo della navigazione internet, al tema del mobile e alla privacy e GDPR. I moduli sono auto-consistenti, costituiti da video di breve durata, pochi minuti a settimana da fare nei momenti ritenuti più opportuni. 

Ogni modulo a sua volta è composto da 4 sessioni, una Tecnica, una Psicologica, una Cassetta degli Attrezzi e l’Infografica.

La scelta di una formazione continua, risponde anche ad una caratteristica dell’essere umano: un’azione affinchè diventi un’abitudine consolidata necessita del tempo e una ripetizione costante.

La formazione è efficace?

Le aziende già da tempo hanno attivato programmi di awareness, nella maggior parte dei casi con l’obiettivo di garantire una conformità alle diverse normative, ponendo meno attenzione alla reale efficacia dei percorsi formativi.

Possono essere individuate 2 principali caratteristiche che hanno contribuito in alcuni casi a rendere meno efficace il percorso di formazione:

• OBIETTIVO: un programma di Security Awareness dovrebbe porsi l’obbiettivo di accrescere la sensibilità degli utenti nei confronti dei pericoli informatici, una persona consapevole dei rischi, modificherà di conseguenze il proprio comportamento.
• FREQUENZA DI EROGAZIONE INADEGUATA: Costruire una forte cybersecurity culture che deve necessariamente passare attraverso un cambiamento dei comportamenti, richiede una progettualità a lungo termine e una maggior frequenza di programmi di formazione nell’arco dell’anno.

Quali sono le minacce che fanno leva sull’aspetto psicologico della vittima?

Un esempio è la persuasione. Robert Cialdini, docente dell’Arizona State University, ha formulato i principi universali che sono alla base della comunicazione persuasiva, alcuni che vengono maggiormente utilizzati dagli hacker sono:

• Autorevolezza: il principio di autorevolezza si basa sul fatto che tendiamo ad ascoltare di più un esperto o una figura che percepiamo più autorevole in determinati contesti.
• Simpatia: Preferiamo accettare richieste dalle persone che ci piacciono, o che hanno atteggiamenti simili ai nostri.
• Reciprocità: la reciprocità fa leva sul bisogno inconscio di ricambiare un favore ricevuto, si fonda sulla teoria del dono. Il dono può essere un oggetto, consiglio, o un aiuto, quindi quando una persona ha fatto qualcosa per noi abbiamo la tendenza a restituire e ricambiare.
• Scarsità: tutto ci appare più desiderabile quando sta per terminare o quando la disponibilità è limitata. Siamo più motivati ad agire dal timore di una perdita che dalla speranza di un guadagno.

Portando un esempio, questo meccanismo s’innesca ad esempio quando riceviamo un’email, poiché entrano in gioco le emozioni che ci fanno fare un’azione rispetto ad un’altra e se viene a mancare la razionalità, siamo più propensi a commettere dei gravi errori mettendo in atto dei comportamenti dettati solamente dall’impulsività e dalle emozioni.

Come vedi il futuro della formazione? E della sicurezza informatica?

Vedo la formazione caratterizzata da una crescita esponenziale e con un focus sempre più multidisciplinare, poiché siamo in un mondo dove gli esseri umani e le tecnologie sono sempre più interconnessi, oltre a investire in tecnologia è sempre più evidente la necessità di investire sull’anello debole, l’essere umano.

Per quanto riguarda la sicurezza informatica, è un settore con ottime potenzialità di crescita, la digitalizzazione e l’innovazione implicano cambiamenti strutturali sul modo in cui le organizzazioni operano e sul come devono essere organizzate. L’impiego del cloud, Iot e dei Big Data causano una rapida evoluzione dei modelli di business, dell’infrastruttura e delle modalità lavorative. Tuttavia, come in ogni cambiamento, anche questa trasformazione condurrà a nuovi rischi come gli attacchi informatici alle infrastrutture e le violazioni della sicurezza delle informazioni.