Sicurezza informatica e fattore umano
Correlazioni, rischi e interventi di mitigazione, ripartendo dalle persone…
Semplificando al massimo, si può dire che la sicurezza IT indichi la difesa dei sistemi informatici dalle minacce causate dai cyber criminali. I loro bersagli sono, per esempio, la manipolazione dei sistemi, l’estorsione o l’esportazione di dati e l’interruzione o l’alterazione dei servizi. Tuttavia, cosa succede nel caso in cui sotto attacco ci siano le persone invece dei sistemi IT? Posto che gli scopi di un aggressore sono sempre quelli appena menzionati, attaccare una persona implica un processo del tutto diverso che richiede modifiche anche nella tattica di attacco. Questo fatto ben noto implica il coinvolgimento dell’ingegneria sociale e delle scienze umane (per esempio psicologia e scienze comportamentali invece dell’informatica) e le teorie legate alla gestione e alla modellazione degli errori umani.
Quando un sistema è sotto attacco, è importante capire quale sia la fonte primaria del problema, da quale punto ha avuto origine l’intrusione. Ma nel risalire alle cause di un attacco spesso ci si concentra molto più sulla parte tecnologica e meno sulla sfera umana. C’è una motivazione pratica e culturale per tutto questo: in primo luogo, ‘sistemare’ delle macchine è decisamente più facile; in secondo luogo, culturalmente gli addetti alla sicurezza hanno una formazione prettamente tecnica.
Questo pone una domanda importante però: se le persone o, meglio, il loro comportamento, rappresenta una fonte di rischio cyber per le aziende, cosa vuole dire metterle in sicurezza e, di conseguenza, cosa vuole dire testare la sicurezza e valutare il rischio cyber di una persona?
L’obiettivo di questo articolo è capire, dal punto di vista di gestione della sicurezza aziendale, cosa vuol dire avere a che fare con le persone. Cosa implica, per esempio, eseguire test di penetrazione convincenti o una scansione delle vulnerabilità per testare a fondo le debolezze umane? Non si tratta semplicemente di inviare un’e-mail di phishing e aspettare i click. Ma anche, come si può effettuare sui comportamenti delle persone un’analisi tradizionale o un’intelligence delle minacce? Inoltre, come può fare un’azienda a calcolare il rischio cyber rappresentato da una persona e quanti sono i modi efficaci per ridurlo? Mettendo solo le persone, siano dipendenti che operatori della sicurezza IT, al centro della cybersecurity, i temi da affrontare diventano molteplici.
Il costante domani della cybersecurity
Una cosa è chiara, parlando di dinamiche del cybercrime, ossia l’estrema rapidità con la quale cambiano gli scenari operativi e di attacco. Viviamo nell’era d’oro del crimine informatico, per via dell’estrema redditività degli attacchi, dell’elevato numero di organizzazioni esposte e della rapidissima evoluzione di tattiche e tecniche. Di conseguenza, le difese informatiche sono sottoposte a una pressione costante e una crescente necessità di rivedere e aggiornare le proprie strategie difensive. Rimanere indietro può comportare la perdita di asset digitali spesso cruciali per la sopravvivenza stessa dell’azienda. Questo è vero a maggior ragione per le piccole e medie imprese o per le microimprese.
Ci sono due punti di attenzione che concorrono a definire la situazione. Da una parte, è ormai unanimemente riconosciuto che l’Italia è uno dei Paesi con la minore spesa in cybersecurity; dall’altra, gli attacchi informatici tendono, anche grazie all’automazione degli stessi tramite AI, a colpire sempre più le microimprese. Per quanto riguarda questo secondo punto, prima dell’avvento del Covid, il principale obiettivo degli attacchi, parlando per macrocategorie, erano le grandi imprese. Senza entrare nel merito delle ragioni, che sono differenti (per esempio valore degli asset, capacità di monetizzazione consistente con un solo attacco, ecc.), la massima espansione di questa tendenza è stata raggiunta poco prima dell’arrivo della pandemia che ha bloccato il mondo, con gli attacchi a grandi infrastrutture critiche americane e grandi corporatiion.
Con la proliferazione delle modalità di lavoro da casa (work from home) e successivamente da qualsiasi altro posto (work from anywhere) il baricentro degli interessi del cybercrime si è spostato gradualmente sempre più verso le piccole e medie imprese. Questo è avvenuto soprattutto a seguito della moltiplicazione dei target esposti (per esempio i lavoratori connessi da casa), da un giorno all’altro. Per un certo periodo la situazione è risultata talmente esplosiva da aver fatto sorgere il dubbio che le difese cyber fossero sostanzialmente inadeguate. Tanto che il cyber risk report del World Economic Forum nel 2020 riportava, fra i principali rischi tecnologici la ‘information infrastructure breakdown’ e nel 2021, la ‘cybersecurity failure’.
Con l’inizio del conflitto russo-ucraino nel 2022 lo scenario cambia ancora, introducendo le motivazioni geopolitiche, al fianco delle motivazioni economiche. Ma la vera rivoluzione, che ha comportato un ulteriore spostamento del baricentro del cybercrime, è stato l’avvento delle tecniche di attacco tramite intelligenza artificiale. Questo ha permesso di allargare la platea delle entità attaccabili tramite tattiche ad hoc, altamente targettizzate, includendo sempre più frequentemente anche le microimprese.
Lo stesso ransomware ha gradualmente abbandonato i grandi target aziendali (protetti in modo più efficiente, ma soprattutto sempre meno predisposti o vincolati da contesti legali che impediscono di pagare i riscatti) a favore delle piccole realtà aziendali, meno protette, con asset di vitale importanza e molto più frequentemente disposte a pagare piccoli riscatti (in senso assoluto, rispetto ai precedenti riscatti milionari).
Sicurezza informatica ed elemento umano
Nella cybersecurity moderna esiste un ‘bias’ sostanziale che considera gli utenti un problema, l’ennesimo sistema informatico di cui occuparsi e da mettere in sicurezza, alla stregua di terminali mobili, sistemi e dispositivi IoT. Questo è un problema di sostanza perché la premessa è sbagliata. Le persone sono persone e non macchine. Nel momento in cui gli esperti di cybersecurity smetteranno di occuparsi del problema come una filiazione degli aspetti tecnici si inizieranno a vedere dei risultati. Per esempio, la formazione viene meramente vista come uno strumento per il ‘patching’ degli umani o perché ‘va fatta’, in modo generico. Spesso si ‘isolano’ gli esseri umani circondandoli di tool che ne controllino gli errori (per esempio i cosiddetti ‘anti-deception detection system’), cercando di circoscrivere il problema con una logica ‘yet another system to patch’.
Nel concreto, un approccio corretto comporta un ripensamento della cybersecurity mettendo le persone al centro, evitando di colpevolizzarle, facendosi guidare dalle scienze umane e non solo da quelle informatiche, avendo CISO anche con competenze psicologiche. Il discorso è lungo, ma di sicuro gran parte della cybersecurity non l’ha ancora interiorizzato a fondo.
Esiste, per esempio, una folta letteratura sull’errore umano in medicina che nella cybersecurity si applicherebbe alla perfezione, ma che ancora non trova troppi proseliti, se non in alcune timide pubblicazioni sulla behavioural security.
Il nocciolo del problema è comprendere, modellare e ridurre i rischi cyber ‘creati’ dal genere umano vero e proprio, con strumenti, anche culturali, adeguati e, coinvolgendo in prima istanza le scienze umane. A partire dalla psicologia, ma non solo. Sono infatti ugualmente fondamentali le scienze sociali, cognitive e relazionali.
In generale, a fronte di una manchevolezza nel perimetro di sicurezza aziendale, è facile dare la colpa a qualche sconosciuto impiegato, e gli esempi in tal senso si sprecano. Ma a ben vedere, il fatto che una persona possa mandare ‘al tappeto’ un’organizzazione è un problema di mancata progettazione o scarsa maturity aziendale. Spesso si incolpa della violazione un misterioso impiegato che ha fatto click senza pensarci troppo. Pensando in questo modo di evitare il problema nel futuro, i detentori della integrità tecnologica aziendale minimizzano il problema trasferendo la colpa all’anonimo malcapitato di turno. In realtà però in questo modo si ammette indirettamente l’esistenza di grosse aree di rischio cyber non adeguatamente monitorate. A riprova, quasi il 99% dei report di incidenti si concentra sul triage della parte tecnologica e malevola di un attacco e raramente analizza la parte umana del vettore di attacco, parte che è prevista e modellata da pochi framework (come, per esempio, ATT&CK).
Il problema è complesso perché, per sua natura, è multiculturale e richiede diverse competenze non tecniche. Affrontare la questione ‘elemento umano’ della sicurezza è realmente multiculturale e interconnesso.
Inoltre, per quanto riguarda gli esseri umani, occorre considerare questioni etiche e legali e il fatto che le reazioni delle persone possano cambiare durante il giorno (quindi per esempio limitare le attività ‘rischiose’ ai momenti di maggiore attenzione). Sfortunatamente, però, la cybersecurity è spesso carente nelle soft skill necessarie per affrontare un cambio di paradigma di questa portata ed elabora soluzioni e competenze quasi esclusivamente tecniche.
Allo stato attuale gran parte del mercato della sicurezza informatica si concentra sul lato tecnico di un attacco. Spesso meno del 5% del budget di sicurezza informatica è dedicato ai rischi legati agli umani (per esempio investimenti per contrastare il social engineering), rischi che rappresentano quasi il 95% del totale, come dichiarato da un recente studio WEF/IBM.
Un esempio di un recente attacco
Nel novembre dello scorso anno AgID segnalava il ritorno in Italia del malware Emotet. Dopo circa 4 mesi di pausa, si è avuta evidenza di una nuova campagna massiva con target italiani, volta a veicolare tramite e-mail un allegato in formato .zip protetto da password e contenente un file .xls dotato di una macro, malevola. La cosa interessante è che per infettarsi occorre: aprire l’e-mail, aprire lo zip allegato, immettere la password, aprire il file Excel che si trova dentro lo zip, abilitare le macro di Office, superando tutti i warning che Office mostra e, infine, dimenticarsi di aver fatto tutto questo. Tutte cose che vanno fatte a mano da un utente che non ha piena consapevolezza delle sue azioni. Il punto cruciale, in tutta questa serie di azioni, non è però colpevolizzare l’utente, ma ragionare sul perché quella specifica persona non abbia adottato misure protettive o non si sia accorta che qualcosa non fosse corretto. La colpevolizzazione in questo caso non è un metodo efficace, ma un indice della impreparazione del team di sicurezza che non ha saputo ‘governare’ quella specifica fonte di rischio cyber. Questo perché ovviamente anche il capitale umano è parte integrante del rischio informatico al quale un’organizzazione è esposta.
La sicurezza informatica vista dalle persone
Come evidenziato, occorre quindi introdurre una nuova dimensione della sicurezza informatica che, al pari di quella classica che si occupa dei sistemi tecnologici, si concentri sull’elemento umano. Per farlo occorre riformulare una serie di attività perché l’ipotesi alla base è sostanzialmente differente: le persone non sono tutte uguali, non sono sistemi informatici, il loro comportamento cambia nel tempo e le scienze coinvolte sono quelle umanistiche. Dato che la fonte del rischio cyber non è un sistema informatico, le scienze informatiche sono solamente ‘funzionali’.
Ecco quindi, le sette principali sfide che abbiamo individuato in Cefriel per approcciare in questo modo la sicurezza informatica (evidenziate anche in Figura 1 intorno all’Uomo vitruviano).
1. Percorsi formativi dedicati alle singole culture aziendali, per superare i limiti imposti dal contesto operativo.
2. Vulnerability assessment/penetration testing dell’elemento umano da realizzarsi con campagne di phishing o attacchi simulati, con lo scopo di testare la resilienza delle persone.
3. Trainining come strumento di difesa e riduzione del rischio. Percorsi di formazione allineati al quadro europeo delle competenze (e-CF) o al set di competenze minime, ma proporzionati al ruolo aziendale e agli asset gestiti.
4. Threat intelligence dell’elemento umano. Occorre considerare i vincoli etici e legali e il fatto che le persone non sono sistemi informatici.
5. Simulazione di minacce e modelli di attacco legati all’uomo. È necessario poter simulare nel cyber range, per esempio, anche gli attacchi umani. Per esempio, includendo anche gli aspetti umani di un attacco.
6. AI per la mitigazione delle minacce legate all’uomo. L’uso di sistemi di anti-deception e assistenza delle persone con lo scopo di suggerire comportamenti corretti.
7. Stima integrata del rischio cyber, inclusi IT, OT e human risk. Integrazione dei modelli di rischio umani, tecnologici e informatici.
Un problema multiculturale
Considerare correttamente l’elemento umano nella sicurezza richiede un approccio realmente multiculturale e interconnesso. Le opportunità sono davvero tante.
Una delle prime azioni da fare è quella di creare una cultura diffusa della sicurezza, che sia realmente pervasiva e non solamente ‘punitiva’, in grado, cioè, di cambiare realmente il comportamento delle persone ‘dall’interno’. In generale questo è un problema molto complesso e noto: nel tempo numerosi articoli si sono interrogati sull’efficacia dei metodi di formazione utilizzati nel contesto della sicurezza informatica. Il problema è come creare percorsi formativi dedicati alle singole culture aziendali, in grado di superare i limiti imposti dal contesto operativo specifico.
Come si formano le persone
Come si legge nel rapporto McKinsey ‘Enhanced cyber risk reporting: Opening doors to risk-based cybersecurity’ del gennaio 2020, in molti settori è oramai chiaro il pericolo rappresentato dalla criminalità informatica e la necessità di operare secondo schemi di protezione guidati da stime adeguate del rischio cyber.
Parlando di centralità dell’elemento umano, vorrei sottolineare subito una prima differenza, ovvia in un certo senso, ma fondamentale: svolgere un VA/PT (Vulnerability Assessment/Penetration Test) sulle persone è anche un modo per fare training, perché, al contrario delle macchine, le persone possono imparare dai propri errori. A tal proposito cito due proposte Cefriel di vulnerability assessment della componente umana dai due punti di vista:
1. Social Driven Vulnerability Assessment (SDVA). Gli impiegati sono sottoposti a una simulazione avanzata e altamente contestualizzata di ‘spear phishing’ e imparano dai propri errori sperimentando il loro comportamento in una simulazione di attacco.
2. Full Spectrum Vulnerability Assessment (FSVA). Questa volta sono i responsabili della sicurezza informatica a essere sottoposti a una simulazione di un attacco completo, con lo scopo di capire se il team di security incident management è in grado di operare in un contesto di emergenza e sotto pressione. In questo caso si testa la componente umana dei gruppi di security che sta dietro a quella tecnologica.
Ciò suggerisce che la sensibilizzazione e la formazione continua in materia di cybersecurity di tutti i dipendenti, compresi quelli di livello dirigenziale e dei futuri dipendenti sia fondamentale per fornire i mezzi e il know-how per identificare e mitigare le minacce informatiche, aiutandoli così a proteggere se stessi e le proprie aziende dai cyberattacchi. In altre parole, sia training che awareness sono strumenti per la riduzione di una grossa parte del rischio informatico aziendale.
Tuttavia, la formazione in generale è costosa, richiede tempo e non è sempre considerata una priorità. In particolare, le PMI, a causa dei vincoli di bilancio e della mancanza di tempo e conoscenze, si concentrano piuttosto sugli aspetti competitivi e sulla progettazione di nuovi servizi e prodotti con tempi di commercializzazione brevi e minimizzazione dei costi. Ciò rende la capacità di reazione e di recupero delle PMI generalmente bassa.
Quando si parla di grandi aziende, la mancanza di interesse per la formazione sulla cybersecurity rimane, anche se le ragioni sono diverse. Le grandi aziende sono riluttanti a fornire formazione ai propri dipendenti se non è obbligatoria; per esempio perché implicherebbe l’indisponibilità del personale durante i turni.
A tal proposito, recentemente il progetto europeo CYRUS – di cui è partner Cefriel (www.cyrus-project.eu) – ha evidenziato una preoccupante correlazione nei settori trasporti e manufatturiero, ovvero esiste un deficit di competenze di cybersecurity tanto maggiore quanto più la ditta è dipendente dai processi digitali.
I cybersecurity advocate: moltiplicatori di cambiamento nei comportamenti sicuri
A partire dalla relativamente incostante efficacia dei metodi di formazione nella cybersecurity (awareness e training), professionisti e ricercatori si sono impegnati in modo significativo nello sviluppo di prodotti di formazione sulla sicurezza. Tuttavia, questi tentativi sono spesso eccessivamente focalizzati sull’aderenza a standard formativi e mancano completamente l’obiettivo fondamentale di creare un’abitudine profonda e radicata verso la sicurezza. È difficile, infatti, creare una cultura aziendale che potremmo definire ‘security-first’.
Per questo motivo, risulta evidente che ci sia bisogno di professionisti in grado di motivare le persone e le organizzazioni nell’adozione di comportamenti di sicurezza sostenibili e positivi. Coloro che assumono questo ruolo richiedono una combinazione unica di competenze tecniche e interpersonali insieme a una comprensione su come affrontare l’interrelazione degli elementi sociotecnici sottostanti (umano, organizzativo, sociale, economico, e fattori tecnici) che influenzano l’adozione di sicurezza. Chiamiamo i professionisti che svolgono queste funzioni i ‘cybersecurity advocate’. Una figura che deriva dalla teoria degli agenti del cambiamento.
In tal senso Cefriel ha elaborato alcune strategie di formazione che sono altamente contestualizzate e vengono definite tramite un iniziale maturity assessment culturale (il CMM-EP, Cybersecurity Maturity Model for Educational Paths). Lo scopo è individuare le caratteristiche culturali aziendali, cosa ha funzionato e cosa no, collegandolo con la ‘postura’ aziendale sul rischio cyber e la maturità dei processi di difesa informatica. La soluzione di formazione che emerge si basa su tre elementi importanti: consapevolezza della minaccia, influenza dei comportamenti, creazione di abitudini. Questo passa tramite alcune fasi:
1. valutazione iniziale tramite simulazione di attacchi sugli umani (i sopra citati SDVA e FSVA);
2. misurazione dell’esposizione dell’elemento umano dell’impresa al rischio cyber;
3. definizione di piani di formazione personalizzati in modalità mista (per esempio tramite tecniche consolidate come il nudging, i MOOC -Massive Open Online Courses, l’e-learning o corsi e workshop in presenza, ecc.) sia generalisti sia per creare i cybersecurity advocates interni;
4. consulenza one-to-one per definire le azioni concrete di mitigazione e la misurazione del concreto impatto a lungo termite.
In generale, i cybersecurity advocate possono facilitare il passaggio verso la responsabilizzazione degli utenti. Dovrebbero possedere conoscenze e competenze relative all’IT, alle tecnologie di sicurezza e alle minacce alla sicurezza. Gli advocate devono essere in grado di interpretare con precisione e presentare le informazioni agli altri, il che richiede una forte comprensione, a livello di relazioni interpersonali ed empatiche, su come certe azioni portano a risultati di sicurezza positivi o negativi.
La consapevolezza del contesto va di pari passo, in generale, insieme a forti capacità di comunicazione che nello specifico significa soprattutto inquadrare in modo appropriato i messaggi di sicurezza. Quando si lavora con persone meno tecniche, gli advocate devono tradurre informazioni altamente tecniche in un linguaggio semplice. In altre parole, questo ruolo rappresenta l’anello di congiunzione fra le policy o le linee guida aziendali, derivanti da analisi del rischio cyber con le persone e gli stakeholder aziendali. Queste figure devono essere in grado di completare il quadro di creazione di una consapevolezza culturale diffusa e profonda tramite competenze nuove, in particolare anche sociali, di convincimento, comunicative e relazionali. Hanno bisogno di essere esperti nell’uso di tecniche di leadership e pensiero strategico.
Il punto focale è la persuasione. Per esempio, un advocate sulla formazione all’interno dei team di sviluppo deve poter conversare efficacemente e persuadere altri sviluppatori, senza però essere un ‘tecnico hardcore’. I cybersecurity advocate devono avere conoscenze tecniche sufficienti per essere credibili nei confronti del pubblico al quale si rivolgono. Per generare fiducia, costruire relazioni e facilitare il cambiamento del comportamento, gli advocate devono far leva su forti capacità interpersonali, tra cui capacità di ascolto, pazienza e collaborazione.
Ciò implica intelligenza emotiva ed empatia: per esempio nel caso di un problema di ingegneria sociale, parte del lavoro è essere in grado di avere una conversazione e mettersi nei panni della persona con cui si sta lavorando e quindi essere in grado di dare consigli efficaci. Far sapere loro che non sono ‘stupidi’ semplicemente perché non sanno come fare determinate cose.
Le organizzazioni possono produrre quantità di policy e processi interni, ma se non riescono a comunicarle alle persone in una lingua che capiscono, in una lingua che li renda ricettivi al messaggio, allora sono inutili. Per comunicare con un pubblico eterogeneo in modo coinvolgente, gli advocate devono quindi diventare abili nell’uso di analogie, metafore, narrazioni, immagini, utilizzando un po’ di umorismo e facendo riferimenti alla cultura pop. Secondo la mia esperienza, questo comporta anche un certo grado di creatività. Per esempio, se i messaggi di awareness su e-mail di phishing vengono regolarmente ignorati dai dipendenti, magari a causa del sovraccarico di lavoro, potrebbe essere utile sperimentare soluzioni alternative, come cartoline di promemoria con una caramella, lasciate sulla scrivania di ogni dipendente.
Di cosa c’è bisogno in sintesi?
Alcuni standard sottolineano il bisogno di competenze non puramente tecniche per alcuni ruoli legati alla sicurezza informatica. Per esempio, il framework NICE (National Initiative for Cybersecurity Education) introduce alcuni ruoli simili al cybersecurity advocate di cui abbiamo appena parlato, come, per esempio, il cyber instructional curriculum developer. Analogamente il SANS propone il ruolo del security awareness and communications manager con enfasi sulle competenze non tecnologiche come l’importanza di esercitare ‘influenza’ sulle persone.
È essenziale un cambiamento duraturo nei comportamenti individuali sulla sicurezza. Un cambiamento duraturo deve fare leva su motivazioni intrinseche affinché l’igiene informatica diventi un’abitudine. Le soluzioni tecniche da sole non risolveranno la crisi della sicurezza informatica, questo è ormai chiaro da molto tempo. I cybersecurity advocate, grazie a un mix di competenze tecniche, interpersonali e comunicative, possono essere una soluzione efficace.
Training come strumento di difesa e riduzione del rischio
Il training rappresenta il punto centrale di una strategia di mitigazione delle minacce cyber causate dagli errori umani, perché è tramite la formazione che si svolge l’awareness, il training e il learning. Tre concetti differenti sperabilmente volti a influire positivamente sul comportamento delle persone e la conseguente riduzione del rischio cyber. Per evitare confusione, userò il generico termine ‘training’ per riferirmi a tutti e tre questi termini.
Come ogni sistema vulnerabile anche per le persone occorre poter testare la sicurezza effettiva, allo scopo di identificare le vulnerabilità presenti e porvi rimedio. Per certi versi ho affrontato già il tema parlando dei cybersecurity advocate, ma vorrei ora porre l’attenzione al legame che la formazione ha nelle logiche di riduzione del rischio cyber e nella valutazione del ROTI (Return on training investments), a partire da un recente whitepaper pubblicato da Cefriel.
In generale è abbastanza assodato, da numerose ricerche che, nel contesto della formazione per la cybersecurity, i programmi di formazione registrino una bassa fidelizzazione, e in generale un impatto impredicibile sulla concreta riduzione del rischio cyber rappresentato dalle singole persone.
Sul ritorno delle attuali attività di formazione oggi c’è molta confusione, alcuni vendor si spingono a dichiarare che nell’80% delle organizzazioni la formazione ha ridotto la suscettibilità del proprio personale agli attacchi di phishing. Altri studi indipendenti o sponsorizzati da altri operatori del mercato sicurezza sono invece meno ottimisti. La questione è dibattuta anche perché c’è da considerare che alcuni dei whitepaper in circolazione sono focalizzati sulla promozione dei prodotti di formazione offerti.
Fra le cause più comuni di inefficacia viene in generale riportata l’incapacità di coinvolgere gli astanti, la scarsa qualità dei contenuti, l’inadeguatezza del linguaggio alla platea (per esempio la mancata applicazione di principi pedagogici adeguati come la andragogia, modello di apprendimento incentrato sui bisogni e gli interessi di apprendimento degli adulti che sono diversi da quelli dei bambini, ndr), e la difficile convivenza con le necessità lavorative (tema peraltro affrontato dal Cefriel nel già citato progetto europeo CYRUS).
Nel tempo sono stati proposti numerosi metodi di formazione (gamification, nudging, ecc.) con risultati non sempre trasferibili al contesto della cybersecurity. La sicurezza informatica rappresenta una sfida unica proprio perché comporta un cambiamento profondo e istintivo nel comportamento delle persone. La formazione deve interporre un filtro che moderi il comportamento a fronte di attacchi (vale a dire, social engineering) che fanno leva su alcuni elementi istintivi; come, per esempio, il senso di urgenza, la paura, i propri desideri o la naturale tendenza delle persone a fidarsi degli altri e dei sistemi informatici.
Andare a influenzare i comportamenti profondi delle persone non è una missione facile. Non è solo un problema di upskilling o reskilling. Gli attuali metodi di sensibilizzazione si sono dimostrati insufficienti per incentivare la formazione. Inoltre, non sempre i nuovi metodi (per esempio la gamification) funzionano come previsto e in diverse situazioni quelli più classici (volantini stampati, corsi, infografiche, video, podcast) funzionano meglio.
La piramide dei Learning Analytics
Con Learning Analytics si intende l’analisi dei dati dell’apprendimento volta a delineare il profilo degli studenti: un processo di raccolta e analisi dei dettagli delle interazioni individuali degli studenti nelle attività di apprendimento online. I macro-obiettivi dei Learning Analytics sono:
– costruire pedagogie migliori,
– potenziare l’apprendimento attivo,
– raggiungere gli studenti a rischio,
– valutare i fattori che influenzano il completamento e il successo degli studenti.
La Figura 2 riporta la piramide dei Learning Analytics, la cui punta è rappresentata dal ROTI, un termine di particolare importanza nel contesto del training utilizzato come strumento di riduzione del rischio cyber. Nel mondo dell’eLearning il ROTI rappresenta il ‘Return on training investments’ ed è una forma specializzata del più noto ‘Return on investment’ (ROI).
Analogamente al ROI, il valore del ROTI può essere calcolato in differenti modi. Il senso della misura è però sempre quello di confrontare i benefici finanziari (o nel caso della cybersecurity la riduzione del rischio cyber) che si ottengono con un programma di training, in rapporto ai suoi costi, per capire la qualità dell’investimento. Questo concetto è alla base della cosiddetta People Analytics sulla quale Cefriel sta sviluppando alcuni progetti di ricerca (es. SEC-AIRSPACE).
Il concetto di People Analytics applicato alla cybersecurity
La People Analytics (d’ora in poi anche PA, ndr) è un approccio che permette di ottimizzare il bisogno formativo individuale, collegandolo ai profili di rischio delle singole persone, nel pieno rispetto della vigente normativa GDPR e privacy. Attraverso l’analisi dei dati HR si creano dei profili di rischio individuale collegando il ‘valore’ delle risorse gestite, le esperienze di formazione passate e altre informazioni, con l’erogazione di piani individuali di formazione e la conseguente riduzione del rischio cyber aziendale. Quanto descritto viene svolto da due macro-fasi: People Analytics e Learning Analytics.
L’applicazione nel contesto cybersecurity della People Analytics, e quindi la valutazione del ROTI in termini di riduzione del rischio cyber e non solo di ritorno economico, comporta l’aggiunta della fase di ‘Learning analytics per la cybersecurity’.
La PA era in origine un approccio analitico alle risorse umane (HR) per la gestione delle persone sul lavoro, che è stato utilizzato con successo in molti contesti diversi per migliorare i processi della forza lavoro e promuovere le competenze dei dipendenti. Secondo Cefriel, la People Analytics può essere efficacemente adattata nel contesto della sicurezza informatica, per aumentare la resilienza delle persone ai rischi cyber. Questo avviene correlando le stime di rischio individuali (calcolate con frequenza adeguata, con una logica di continuous security, sulla base per esempio dei risultati delle simulazioni di phishing, delle stime di rischio del portfolio gestito, della preparazione valutata anche tramite questionari, o dello specifico ruolo aziendale) con i programmi formativi migliori (cioè cosa insegnare, a chi e come). Il training, in questo modo, diventa uno strumento per ridurre i rischi informatici legati all’uomo.
L’approccio di Cefriel si concentra sulla riduzione del rischio di sicurezza informatica derivante dal fattore umano, sulla base dei dati aziendali disponibili, secondo due modelli: uno che identifica i cluster naturali delle persone con caratteristiche comuni, che hanno bisogno di migliorare le proprie competenze in cyber security (per esempio per ridurre il rischio cyber rappresentato da conoscenze non adeguate), e un altro che valuta l’impatto del percorso di cultura digitale delle persone coinvolte nei rispettivi cluster. La soluzione viene pensata per organizzazioni che non hanno flussi di dati pre-esistenti.
Riassumendo, le competenze sono un asset vulnerabile al cybercrime (per esempio se obsolete o inadeguate); come qualsiasi altro asset occorre un processo di asset management. La formazione è il processo tramite il quale si mantiene in ‘salute’ questo asset. Normalmente viene demandata a fornitori esterni e scarsamente connessa alle logiche della sicurezza informatica aziendale. Le organizzazioni devono però avere il controllo dei processi di formazione.
Conclusioni
La unicità di ognuno di noi, la nostra variabilità e la generale difficoltà per le macchine di capirci rappresentano una sfida per la cybersecurity moderna.
In Cefriel abbiamo iniziato a occuparci del tema nel progetto DOGANA nel quale avevamo sviluppato un modello di calcolo del rischio cyber alimentato dai risultati di una campagna di phishing simulato. L’evoluzione delle tecniche di social engineering con attacchi ad-personam, la crescita della semantic social engineering, coadiuvata dalla recente evoluzione dei sistemi AI hanno reso obsoleto il modello proposto. È diventato evidente che per valutare lo human risk occorre oggi rifocalizzare molti aspetti della cybersecurity intorno alle persone e capire tutte le variabili in gioco. Il problema ha assunto rapidamente connotazioni etiche e giuridiche per via del conflitto fra rendere sicuro un sistema e il fatto che al centro ci siano le persone. Un dilemma di complessa risoluzione, nonostante la ricerca stia proponendo da anni possibili soluzioni, sulla base di studi comportamentali.
