Per garantire un adeguato livello di Cyber Security è sempre più necessario investire nel fattore umano. In special modo nella formazione di dipendenti non esperti in sicurezza, con l’obiettivo di creare una maggiore consapevolezza sui pericoli Cyber.
Questo genere di affermazioni stanno diventando una sorta di mantra che si diffonde nella rete con la stessa velocità con cui si diffondono le notizie che narrano attacchi “clamorosi”, che, per la loro portata, conquistano gli onori della cronaca.
Per evitare però che questo concetto di formazione, conosciuto con il termine di Cyber Security Awareness, non sia altro che uno slogan vuoto di significato, è necessario andare oltre la superficie. Una maggiore attenzione va infatti messa sui contenuti della “formazione”. Questa deve essere realmente in grado di incidere sulla capacità delle organizzazioni nel fare fronte alla crescente quantità e qualità (livello di sofisticazione) degli attacchi.
Chi deve essere coinvolto nel percorso formativo?
Con l’introduzione del regolamento europeo GDPR e la recente Direttiva NIS, relativa alle infrastrutture critiche, la sicurezza Cyber ha assunto maggiore rilevanza sia a livello internazionale sia a livello di sistema paese, investendo in modo definitivo tutte le organizzazioni pubbliche e private. La definizione del concetto di “accountability” (responsabilizzazione delle organizzazioni) e la presenza di un regime sanzionatorio sempre più incisivo, hanno costretto le organizzazioni a sviluppare misure tecniche organizzative adeguate al livello di rischio.
In questo quadro critico, la maggior parte delle organizzazioni hanno fatto soprattutto riferimento allo standard più evoluto in materia, rappresentato dal framework NIST (National Institute of Standards and Technology). Il Framework rappresenta una linea guida per dare una declinazione concreta proprio alla definizione di “misure adeguate”.
Il NIST descrive con chiarezza le esigenze di formazione
“Consapevolezza e formazione (PR-AT): il personale e i partner dell’organizzazione vengono istruiti sulla sensibilizzazione alla sicurezza cyber e sono addestrati a svolgere i propri compiti e responsabilità relativi alla sicurezza informatica coerenti con le politiche, le procedure e gli accordi correlati”.
Con questa definizione risulta chiaro che i dipendenti soggetti alla necessità di essere “istruiti e sensibilizzati rispetto alla Cyber Security” sono tutti i dipendenti, i collaboratori e i partner, cioè tutti coloro che sono utenti delle risorse informatiche delle organizzazioni. Per togliere ogni dubbio, il primo dei sottopunti della specifica PR-AT, ossia il PR-AT-1, recita in modo chiaro: “tutti gli utenti, sono informati e formati”.
In quest’ottica anche i “clienti” che usufruiscono di servizi fruibili online, come ad esempio nel caso di servizi di home-banking, dovrebbero essere oggetto di formazione. Ma questo tema verrà approfondito in un prossimo articolo.
Per adesso fissiamo un punto: tutti i dipendenti di un’organizzazione, indipendentemente dal loro ruolo all’interno dell’organizzazione stessa, solo per il fatto di essere utenti, necessitano di una formazione specifica, e che questa formazione non può che essere obbligatoria.
Quali sono i modelli formativi?
Ma quale tipo di formazione? Su questo punto il NIST è meno chiaro. Rimandando inevitabilmente a un concetto di responsabilità delle organizzazioni affinché la formazione sia adeguata alla natura degli attacchi.
Proviamo quindi a fare qualche considerazione in merito.
Tutte le organizzazioni pubbliche e private vivono oggi la necessità di aumentare la loro “resilienza” agli attacchi. Nessuna organizzazione, nonostante i cospicui investimenti effettuati in tecnologie di Cyber Security, può essere pensata come un’entità chiusa in un fortino così solido da opporre una “resistenza” totale agli attacchi. Questo perché l’evoluzione delle strategie di attacco è costante e gli attaccanti, sul piano tecnologico, sono inevitabilmente un passo avanti ai difensori. Per le organizzazioni è quindi necessario adattarsi a questo scenario, adeguando costantemente i propri atteggiamenti e i propri comportamenti all’evoluzione del Cyber Crime.
Questo significa che anche la formazione dovrà prevedere la stessa dinamicità e adattamento al modificarsi degli scenari di attacco. Se il quadro varia costantemente, nessuna organizzazione può accontentarsi di una formazione statica. Per questa ragione qualsiasi modello di formazione in aula o basato su pubblicazioni negli edifici, come nel caso di poster, risulta inadeguato. Questi modelli possono sicuramente rispondere a criteri di informazione generale, ma non rispondono in alcun modo alla necessità di sensibilizzare e formare, con il fine di aumentare la resilienza agli attacchi.
Per aumentare la resilienza di un’organizzazione rispetto ad uno scenario in continua evoluzione e che si fa ogni giorno più aggressivo, è necessario adottare modelli di sensibilizzazione e formazione continua. Modelli che agiscano su due livelli: il livello cognitivo e il livello istintuale.
Formazione continua del livello cognitivo
Rispetto al livello cognitivo, la formazione deve essere parcellizzata in sessioni brevi ma distribuite costantemente nel tempo, per creare una maggiore consapevolezza rispetto alle minacce e fornire delle semplici linee guida di comportamento. Il linguaggio dovrà essere inevitabilmente divulgativo. Mentre la distribuzione nel tempo degli interventi formativi consentirà di mantenere la formazione aggiornata, e quindi al passo con l’evoluzione del Cyber Crime. Il dipendente potrà aumentare il suo grado di immunizzazione rispetto al rischio Cyber assumendo la sua piccola dose di formazione settimanale .
L’e-learning è sicuramente la piattaforma ideale per una formazione dinamica e distribuita nel tempo. Lo strumento perfetto per sviluppare un programma così specifico e strutturato in sessioni brevi. Le sessioni dovranno necessariamente risultare ingaggianti per poter mantenere il loro appeal con il trascorrere del tempo. Fin dall’inizio dovrà risultare evidente che gli argomenti trattati non servono solo a proteggere il dipendente nella sua dimensione professionale. Ma anche nella sua dimensione privata. Due dimensioni sempre più sovrapposte: proteggi te stesso e di conseguenza la tua organizzazione.
Per saperne di più sulla formazione continua del livello cognitivo con Cyber Guru Awareness
Formazione continua del livello istintuale
La formazione cognitiva non è sufficiente per fare fronte in modo completo a tecniche come il Phishing. Specialmente quando queste sono supportate da strategie di Social Engineering. Queste tecniche tendono a sfruttare le vulnerabilità della psicologia umana, andando oltre la sfera cognitiva. E’ per questa ragione che la formazione deve agire a un livello più istintuale, “allenando” alcune caratteristiche umane come la prontezza e la reattività.
In questo caso la tecnica di formazione consiste proprio in una logica di allenamento, che espone il dipendente ad attacchi simulati, distribuiti nel tempo, secondo criteri e logiche personalizzate. Logiche che tengono conto della propensione o meno del singolo dipendente a cadere vittima di attacchi di Phishing e che risultano imprevedibili. Ogni volta che il dipendente cadrà vittima della simulazione, dovrà seguire un breve contenuto formativo. Una formazione che agirà certamente sulla sua sfera cognitiva, ma che principalmente inciderà sulla sua sfera istintuale secondo un modello di azione e reazione.
Sbagliando si impara
Con un pizzico di ironia potremmo fare riferimento al “valore formativo” delle recinzioni elettrificate a bassa tensione. Una piccola scossa che produce un elevato livello di sensibilizzazione rispetto al pericolo e alla necessità di proteggerci da esso. Un percorso di apprendimento a cui le persone sono sottoposte ogni giorno, quel concetto di “sbagliando si impara” a cui fa riferimento anche la “tradizione popolare”. Nel caso specifico, l’errore verrà indotto da uno strumento di formazione, attraverso simulazioni di attacchi Phishing.
Nel caso della Cyber Security un errore reale da parte di un dipendente potrebbe produrre danni enormi all’organizzazione stessa. Lo stesso errore sotto simulazione, non solo non produce alcun danno all’organizzazione, ma consente di agire attraverso un riscontro formativo basato sull’esperienza.
Il dipendente procederà prima per tentativi ed errori e dagli errori stessi comincerà a catalogare gli elementi di allarme. Un’esposizione graduale, costante e personalizzata saranno gli strumenti vincenti di questo tipo di formazione.
Attraverso queste tecniche di simulazione, il dipendente/utente svilupperà quindi l’attitudine a riconoscere il pericolo e a comportarsi in modo adeguato. Questo indipendentemente dalla tecnica con cui l’attacco viene portato e dal suo livello di sofisticazione.
Per saperne di più sulla formazione continua del livello istintuale con Cyber Guru Phishing