Fattore H, Formazione e Cyber Security
Cosa ho imparato dai miei clienti e dal mondo della cyber securityTempo fa, ho avuto l’opportunità di organizzare un grande evento di formazione esperienziale per una multinazionale Italiana. Si trattava di tutto il dipartimento cyber security dell’azienda – circa 100 persone – che per due giorni si era riunito per lavorare tutti insieme su un ambizioso obiettivo di formazione.
Durante la fase di raccolta informazioni necessaria per progettare l’evento il dirigente mi ha spiegato a grandi linee quali fossero le caratteristiche principali dei professionisti che dovevano garantire la sicurezza informatica dell’azienda.
Da un lato, una grande capacità di reazione ad un’inevitabile intrusione nel sistema: chi lavora nella CS sa che il problema non è “SE”, ma “QUANDO” ci sarà un breach; avere la capacità di intervenire tempestivamente può limitare i danni.
Dall’altro lato, invece, c’è tutto l’aspetto della prevenzione. I sistemi sono disegnati in modo che siano più difficili da bucare e che permettano un rapido intervento nella peggiore delle ipotesi. Mi sono permesso di raccontarvela da profano perché non sono un tecnico e perché, in realtà, il succo del discorso è un altro.
Il fattore H e il social engineering
La cosa più interessante su cui il dirigente ci ha chiesto di lavorare era il fattore H: l’essere umano. Anche con i sistemi più avanzati e una programmazione perfetta, il vero punto debole dei sistemi digitali è l’uomo.
Il singolo dipendente che, in modo un po’ superficiale e inconsapevole, nel dipartimento amministrativo della sede Uruguaiana, non prende tutte le precauzioni che gli sono state raccomandate perché tanto “a me non succede”, o perché “con tutti questi blocchi non riesco a lavorare”, o semplicemente perché apre l’e-mail sbagliata nel momento sbagliato.
Secondo alcune ricerche, il 99% delle minacce richiede un’interazione umana per agire, e questo ha spinto gli hacker a trovare soluzioni più avanzate sul social engineering, che fa leva sul comportamento delle persone più che su aspetti meramente tecnici.
In altre parole, è molto più semplice ed efficace puntare sulle debolezze delle persone piuttosto che su soluzioni tecniche complesse. Quasi tutti i meccanismi di diffusione dei virus informatici sono basati sul comportamento umano per massimizzare i risultati.
Come difendersi?
Lato azienda, anche con il sistema più efficiente, non è possibile tenere sotto controllo preventivo tutte le azioni che potrebbero fare migliaia di dipendenti in giro per il mondo. La richiesta del cliente era lavorare sulla comunicazione interna per favorire la diffusione di pratiche orientate alla sicurezza e di un buon livello di consapevolezza di tutti i dipendenti.
L’obiettivo era quindi trasformare i tecnici in degli ambassador che potessero diffondere una cultura che fino a quel momento era presente solo all’interno del dipartimento CS. Per fare questo abbiamo fatto in modo di individuare quelle figure più trasversali (i cd profili a “T”), che potessero fare da ponte tra la CS e i diversi dipartimenti; inserirne uno o più in ogni sottogruppo; stimolare i tecnici a dare il maggior supporto possibile a questi ambassador, migliorando al contempo le loro capacità di comunicazione.
L’idea era quella di mettersi nei panni degli altri e allenarli a comunicare in modo efficace ed empatico rispetto alla cultura specifica di ogni dipartimento che facesse uso di sistemi digitali; di fatto, TUTTI.
Per fare questo abbiamo creato una minaccia da scongiurare (obiettivo finale delle due giornate), abbiamo stabilito le regole entro le quali potevano muoversi, una storia accattivante che facesse da contesto, e una serie di ostacoli da superare, ognuno dei quali aveva bisogno di diverse competenze trasversali per essere superato.
Hard vs Soft skills
Grazie alla lungimiranza del dirigente che ha commissionato il progetto, è stato possibile costruire un modello focalizzato sullo sviluppo della consapevolezza del team CS, attraverso la stimolazione delle competenze trasversali (soft skills). Nonostante il livello di competenza tecnica dei professionisti all’interno del dipartimento, questo non era comunque sufficiente a far fronte in maniera efficace ai giornalieri attacchi che l’azienda subisce in tutto il mondo. C’era bisogno di una consapevolezza comune e di una capacità di utilizzare gli strumenti di analisi e comunicazione interna in modo da trasformare i tecnici in comunicatori e ambasciatori di pratiche noiose e inutili fino a quando un virus non prende possesso della nostra macchina, modificando in un attimo la nostra prospettiva (e il nostro stato d’animo).
La morale? Che, in sistemi particolarmente complessi come può essere un’azienda, per difendersi dai rischi sempre più rilevanti presenti nel mondo digitale, non basta agire sul software o sulle macchine, ma bisogna lavorare anche e soprattutto sulla capacità degli specialisti di comunicare efficacemente con tutti i reparti aziendali per migliorare la consapevolezza di tutti i diversi lavoratori e professionisti che operano all’interno del sistema.
Mai come nella CS, l’importanza di fare team, a volte anche oltre i confini della propria azienda, può fare la differenza. Basta il classico anello debole della catena per compromettere il lavoro di tutto un sistema. Allenare costantemente i dipendenti dell’azienda attraverso la formazione esperienziale (offline) è un modo efficace, divertente e veloce per raggiungere l’obiettivo di sicurezza informatica (online). Basta questo? Assolutamente no. Ma anche avere dei tecnici bravissimi non basta, se non hanno un impatto all’interno dell’azienda.
