Il fattore umano e l’importanza della Cyber Security Awareness 

Il fattore umano e l’importanza della Cyber Security Awareness 

Ultra-Wide Band: the mini trench
9 Giugno 2020
The human factor and the importance of Cyber Security Awareness
10 Giugno 2020

Se si spende un po’ di tempo nell’analisi dei numeri che hanno come tema la rete internet si vede immediatamente che il suffisso miliardo caratterizza ogni numero o argomento ad essa relatouno scenario che cambierà tutto nel nostro approccio tradizionale e nella cultura digitale.  

Il numero che ha catturato la mia attenzione è quello che ci svela gli utenti Internet nel mondo, stimato a 3,8 miliardi su una popolazione mondiale di 7,5 miliardi. Un numero che sta crescendo ogni anno ed è connesso all’aumento della mobilità e al numero di abbonamenti alla rete dati, principalmente, LTEDando un’occhiata all‘ultimo report mobile di Ericsson, possiamo notare che c’è un forte incremento di nuove utenze mobile e leggendo tra le righe del report è anche evidente che la banda larga mobile spinge la crescita degli abbonamenti in tutte le regioni in cui i nuovi consumatori, spesso, stanno acquisendo la loro prima esperienza su Internet attraverso smartphone. I numeri nel report ci dicono chiaramente che i dispositivi mobili costituiranno la nuova piattaforma di accesso alla rete e che l’aumento di utenti Internet è strettamente collegato a questa crescita.  

Ritornando al numero della popolazione internet stimata in 3,8 miliardi possiamo spingerci in una affermazione pò più forte ora! Avremo un numero crescente di vulnerabilità, qualcosa come 3,8 miliardi? Osservando tutti i principali incidenti sembra, ormai, sempre più evidente la correlazione con gli errori umani e l’uso improprio della tecnologia digitale. Forse la mancanza di conoscenza? Quando il lavoro o i sistemi diventano più complessi aumenta la possibilità di errore umano. Quindi, non ci si può stupire che l’errore umano sia responsabile di oltre un terzo delle violazioni dei dati. 

 

Trasformazione Digitale e Metamorfosi Digitale 

Nel suo ultimo libro, Alec Ross, ex consigliere di Obama e Hillary Clinton, parla di come la tecnologia digitale possa avere un effetto di spinta nell’economia di un Paese. Il digitale trasformando ogni aspetto della nostra vita cambierà drasticamente l’economia, cosa che Ross riassume così: “La terra era la materia prima per il mondo basato sull’agricoltura, le risorse minerarie per quello industriale, così i big data sono la materia prima su cui si basa e su cui sarà sempre più basata l’economia mondiale“. La trasformazione digitale promette di cambiare il volto delle nostre aziende e di tutti i settori industriali, ma essere digitali richiede grandi cambiamenti per cui semplicemente investire nelle ultime tecnologie non basta. Le organizzazioni devono cercare di progettare nuovi scenari di business, rivedere i modelli operativi, attrarre e promuovere talenti digitali. 

Siamo pronti a questo cambiamento? Siamo in grado di misurare la conoscenza del digitale nella nostra organizzazione? Pensiamo che sia un compito difficile da attuare? 

Nel caso avessimo qualche dubbio su questa rivoluzione tanto profetizzata, non potremmo ignorare il fatto che tutte le aziende che hanno pienamente attuato questo processo abbiano avuto successo migliorando la redditività, la produttività competendo e vincendo anche contro i colleghi nativi digitali.  

Un cambiamento che richiede persone e conoscenze, non è solo questione di implementazioni di Intelligenza Artificiale o di Big Data. Infatti, ormai si parla sempre di più di metamorfosi digitale, ovvero di tutti quei cambiamenti che non sono solo tecnologici, ma investono trasformazioni nel nostro comportamento, nelle nostre abitudini e nel set di conoscenze necessarie per poter avere un ruolo determinante in questi processi. In questo ambito rientrano anche le competenze non cognitive che assumo una rilevanza determinate nel nuovo mercato del lavoro. 

 

Il Cyber Theater 

Nella terra promessa del digitale dobbiamo tenere a mente che lo scenario sta diventando sempre più complesso. Entro il 2020 Cisco stima che il 99% dei dispositivi sarà connesso, stiamo parlando più o meno di 50 miliardi di dispositivi, e questo significa che ci troveremo in uno scenario dove anche i nodi periferici avranno capacità computazionali e dati. Tutti contesti dove parlare ancora dperimetro, in cui organizzare la difesa è storia antica, i nuovi confini sono rappresentati dai dati. 

Proviamo, ad esempio, a fare un esercizio sull’impatto che ha avuto la direttiva PSD2 nel mondo finanziarioPSD2 sta per Payments Services Directive, la Direttiva UE sui servizi di pagamento che, in poche parole, afferma che le banche non hanno la proprietà delle informazioni dei loro clienti, ma è il cliente stesso a possederle. 

Risultato? Le banche stanno fornendo l’accesso, tramite API, a terze parti. Il cliente p decidere se fornire l’accesso ad agenti di borsa, contabili, gestori di finanze o App la banca deve consentirne l’accesso. Parlando di App, significa che presto saremo in grado di utilizzare una terza parte per gestire e controllare il nostro conto bancario, trasferire denaro e pagare. Le banche stanno cercando di studiare strategie e modelli di business per mantenere il loro mercato, ma ancora una volta ci serve una riflessione sugli utenti. Siamo pienamente preparati per questo cambiamento? Siamo assolutamente sicuri che tutti gli utenti conoscano l’impatto reale in termini di sicurezza? Il numero di App scaricate da market non ufficiali è significativo insieme al numero di smartphone jailbreakati1 o rootati2. 

Siamo completamente certi che i consumatori abbiano una reale comprensione dell’impatto che tale comportamento provochi nello scenario descritto in precedenza? Di certo le banche stanno applicando misure di sicurezza più forti e la PSD2 provvede un framework di sicurezza che incrementa le misure di sicurezza, ma ancora il comportamento umano e la conoscenza degli strumenti digitali sono fondamentali per prevenire frodi e danni.  

Scenario che ci metterà poco a diventare più sofisticato, perché in futuro le macchine entreranno nel processo digitale di pagamentoI processi Machine to Machine (M2M) saranno la naturale evoluzione di questo percorso che, semplificando e automatizzando i processi, richiederà all’utente una specie di codifica della fiducia Ci fideremo delle cifre visualizzate dal sul display del nostro cellulare quanto ci fidiamo dei soldi che abbiamo nel nostro portafogli oggi? Questo perché i nuovi contesti digitali porteranno sempre di più verso una valuta di 0 e 1, non più banconote in tasca.  

Questa evoluzione di scenari e trasformazione di processi richiede un cambiamento culturale, una mentalità digitale che le organizzazioni e il governo devono affrontare, un divario culturale che dobbiamo recuperare tanto velocemente quanto i passi della tecnologia in questi anni. Naturalmente, nel futuro teatro digitale ci aspetteranno molti scenari complessi, come veicoli autonomi, robot e molto altro ancora in un mondo sempre connesso. Tornando al presente possiamo vedere già cambiamenti introdotti tramite social network e mobile. Nelle organizzazioni, ci troviamo di fronte a un fenomeno crescente di BYOD (bring your own device) che spesso viene sottovalutato riguardo al problema della sicurezza. Questi dispositivi sono accessi a banda larga presenti nelle nostre organizzazioni, con dispositivi in cui le persone condividono informazioni aziendali e personali senza, a volte, una chiara comprensione del potenziale rischio. 

Quanti utenti condividono la loro posizione perché hanno una reale necessità di farlo? Quanti dispositivi di tracciamento inviano dati sensibili e posizioni nelle nostre organizzazioni? Quanti manager sanno che un telefono cellulare in una riunione strategica potrebbe essere pericoloso? E potremmo continuare con il cloud e l’utilizzo che stiamo facendo di software che, forse, stanno condividendo i nostri dati con il nostro permesso, permesso che spesso molti utenti ignorano vista la semplicità con le quali si accettano le clausole di installazione. 

 

Il comportamento umano nel digitale 

Una lettura interessante in questa area è il libro “Psychology of the Digital Age: Humans Become Electric” di John Suler. Suler è Professore di Psicologia presso la Rider University, riconosciuto a livello internazionale come esperto nel settore emergente della cyberpsicologia 

Nel libro, Suler spiega che le persone tendono a pensare al cyberspazio come un luogo immaginario senza vere frontiere, uno luogo da non prendere troppo sul serio. Leggendo il libro potreste realizzare qualcosa che i laboratori hanno già evidenziato, le persone agiscono nel cyberspazio in un modo completamente diverso da quello che usano di solito nel mondo fisico. Si rilassano, si sentono più disinibiti, si esprimono più apertamente e la stessa differenza di comportamento riguarda i temi della sicurezza. 

I ricercatori hanno definito questo comportamento “effetto disinibizione“. Abitudine pericolosa che può causare problemi. In questo contesto le persone tendono a condividere cose molto personali, rivelano emozioni segrete, paure, desideri e abbiamo visto, in alcuni attacchi di ingegneria sociale, anche una password e informazioni riservate 

Diversi studi sugli utenti dimostrano la diversa percezione del rischio da parte degli utenti nello spazio digitale. I laboratori Felt e Wagner, ad esempio, hanno esaminato il comportamento degli utenti con alcune app che prendono decisioni sull’accesso al dispositivo e i propri dati 

Il risultato è stato che quando le azioni richieste riguardavano perdite finanziarie erano più attentimentre quando l’azione era reversibile il livello di difesa si abbassava. Differenze sostanziali anche nel comportamento tra uomodonna e fasce di etài cinquantenni, ad esempiosono classificati più a rischio rispetto alle persone sotto i 30 anni. 

 

Security know how 

Come descritto, siamo in uno scenario più complesso dominato da nuove tecnologie in cui la sicurezza deve essere più che una semplice riflessione. Capiamo chiaramente che dobbiamo spostare l’attenzione sul difendere e mettere in sicurezza il dato ovunque sia presente, dai dispositivi sino al cloud. Ma che dire del sapere delle persone sulla cultura della sicurezza. Come abbiamo scritto sopra, diversi studi dimostrano che il comportamento umano e la percezione della sicurezza nello spazio informatico sono diversi e spesso rischiosi. Comportamenti rischiosi che ci causano problemi e aumentano l’esposizione delle organizzazioni. A causa della complessità e al fine di aumentare le capacità di cybersecurity abbiamo bisogno di un piano per migliorare la consapevolezza su questo tema.  

Un piano di formazione che deve coinvolgere scuole, consumatori e dipendenti delle organizzazioni. Educare i giovani nelle scuole sul rischio e sull’uso responsabile degli strumenti digitali nel cyber spazio aiuterà una nazione a prepararsi per il futuro, con l’ovvio di creare una pipeline di talenti, poiché sappiamo che la carenza di competenze per le organizzazioni è ancora uno dei problemi aperti. 

Uno di questi programmi sui ragazzi è stato avviato in Inghilterra dove verranno offerte lezioni di sicurezza informatica a ragazzi di 14 anni e più, un progetto sperimentale che offre formazione di quattro ore a settimana su questo argomento. Un uso responsabile e sicuro degli strumenti digitali e dei dispositivi di rete è un must per qualsiasi utente, e dato che l’approccio tecnologico è sempre più precoce, è bene iniziare il percorso educativo verso la consapevolezza a partire dalla scuola. 

La formazione e gli strumenti devono essere adattati in base all’età e alle esigenze dei destinatari, è possibile sviluppare progetti e programmi volti a promuovere un’adeguata conoscenza del mondo digitale con cui i bambini e i giovani interagiscono; un altro ottimo esempio è disponibile on-line con l’iniziativa code.org, organizzazione no profit americana. 

Le organizzazioni dovrebbero condurre campagne di sensibilizzazione che coinvolgano dipendenti e clienti, questi programmi dovrebbero concentrarsi sull’incoraggiare una modifica del comportamento digitale sia in ufficio che a casa. L’obiettivo è che le persone siano in grado di comprendere e seguire le policy provenienti dall’organizzazione, prevenire e segnalare incidenti e contribuire alla condivisione delle informazioni. 

 

Conclusioni 

La trasformazione digitale richiede un ecosistema sicuro per offrirci il massimo vantaggio. Ma dobbiamo anche colmare il divario culturale creato da questi strumenti 

L’aumento delle misure di sicurezza e la realizzazione di un’architettura digitale sicura e resiliente devono essere priorità per tutti i paesi e devono essere priorità nelle agende dei governi. Oltre a questo, abbiamo bisogno di un piano di formazione e sensibilizzazione a partire dalla scuola: l’innovazione è un percorso che deve essere preparato per formare il DNA digitale della nuova generazione. 

Condividi su:

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.

EnglishFrenchGermanItalianRussianSpanish