Alcune dinamiche della sicurezza informatica vanno ripensate, ponendo al centro le persone. La Social Engineering, o meglio e più in generale, lo sfruttamento ai fini dell’attacco alle organizzazioni degli errori dell’elemento umano, è infatti da tempo la migliore strategia a disposizione dei cybercriminali.
Ripensare la cybersecurity mettendo le persone al centro: come farlo bene
Occorre quindi introdurre una nuova dimensione della sicurezza informatica, che a differenza di quella classica, che si occupa dei sistemi tecnologici, si concentri sull’elemento umano. Per farlo occorre però riformulare una serie di attività perché l’ipotesi alla base è radicalmente differente: il soggetto dei sistemi di difesa sono le persone e non le macchine. Le persone non sono tutte uguali, non sono sistemi informatici, il loro comportamento cambia nel tempo e le scienze coinvolte sono quelle umanistiche e non quelle informatiche o elettroniche. La fonte del rischio cyber non è un sistema informatico, ma una persona o un gruppo di persone in carne ed ossa.
Cos’è il training
Occorre ripensare quindi la sicurezza partendo dall’elemento umano. Questa riflessione passa per 7 temi, secondo la vision del Cefriel. Ora è il momento di guardare al training, pensandolo come uno strumento di difesa e riduzione del rischio. Il training rappresenta il punto centrale di una strategia di mitigazione delle minacce cyber rappresentate dagli errori umani, perché è tramite la formazione che si svolge l’awareness, il training e il learning. Tre concetti differenti, come spiegato in un mio recente articolo, tutti sperabilmente volti a influire positivamente sul comportamento delle persone e la conseguente riduzione del rischio cyber. Per evitare di complicare userò il generico termine Training per riferirmi a tutti e tre.
Training come strumento di difesa e riduzione del rischio
Come ogni sistema vulnerabile anche per le persone occorre poter testare la sicurezza effettiva, allo scopo di identificare le vulnerabilità presenti e porvi rimedio. Ne ho parlato nell’articolo dedicato alle attività di VA/PT dell’elemento umano. Per certi versi ho affrontato già il tema parlando dei cybersecurity advocates, ma in questo articolo volevo porre l’attenzione al legame che la formazione ha nelle logiche di riduzione del rischio cyber e nella valutazione del ROTI (Return on Training Investments), a partire da un recente whitepaper pubblicato dal Cefriel.
In generale è abbastanza assodato, da numerose ricerche (come questa), che, nel contesto della formazione per la cybersecurity, i programmi di formazione hanno una bassa fidelizzazione, ed in generale un impatto impredicibile sulla concreta riduzione del rischio cyber rappresentato dalle singole persone.
Alcuni studi (come questo di ProofPoint) riportano che nell’80% delle organizzazioni la formazione ha ridotto la suscettibilità del proprio personale agli attacchi di phishing. Altri studi indipendenti sono invece meno ottimisti. La questione è dibattuta anche perché c’è da considerare che alcuni dei whitepaper in circolazione sono focalizzati alla promozione dei prodotti di formazione offerti. Fra le cause più comuni di inefficacia viene in generale riportata la incapacità di coinvolgere gli astanti, la scarsa qualità dei contenuti, l’inadeguatezza del linguaggio alla platea (es. la mancata applicazione di principi pedagogici adeguati come la andragogia), e la difficile convivenza con le necessità lavorative (tema peraltro affrontato dal Cefriel nel progetto europeo CYRUS, di recente avvio).
Nel tempo sono stati proposti numerosi metodi di formazione (gamification, nudging, etc) con risultati non sempre trasferibili al contesto della cybersecurity. La sicurezza informatica rappresenta una sfida unica proprio perché comporta un cambiamento profondo ed istintivo nel comportamento delle persone. La formazione deve interporre un filtro che moderi il comportamento a fronte ad attacchi (i.e. social engineering) che fanno leva su alcuni elementi istintivi (come, ad esempio, il senso di urgenza, la paura, i propri desideri o la naturale tendenza delle persone a fidarsi degli altri e dei sistemi informatici). Andare a influenzare i comportamenti profondi delle persone non è una missione facile. Non è solo un problema di upskilling or reskilling. Gli attuali metodi di sensibilizzazione si sono dimostrati insufficienti per incentivare la formazione. Inoltre, non sempre i nuovi metodi (ad esempio la gamification) funzionano come previsto, in diverse situazioni quelli più classici (volantini stampati, corsi, infografiche, video, podcast) funzionano meglio.
La piramide dei Learning Analytics
Con Learning Analytics si intende l’analisi dei dati dell’apprendimento volta a delineare il profilo degli studenti; un processo di raccolta e analisi dei dettagli delle interazioni individuali degli studenti nelle attività di apprendimento online. I macro-obiettivi dei Learning Analytics sono:
- costruire pedagogie migliori
- potenziare l’apprendimento attivo
- raggiungere gli studenti a rischio
- valutare i fattori che influenzano il completamento e il successo degli studenti.
La Figura 1 riporta la piramide dei Learning Analytics, la cui punta è rappresentata dal ROTI, un termine di particolare importanza nel contesto del training utilizzato come strumento di riduzione del rischio cyber. Nel mondo dell’eLearning il ROTI rappresenta il “Return on Training Investments” ed è una forma specializzata del più noto “Return on Investment” (ROI). Analogamente al ROI, il valore del ROTI può essere calcolato in differenti modi. Il senso della misura è però sempre quello di confrontare i benefici finanziari (o nel caso della cybersecurity la riduzione del rischio cyber), che si ottengono con un programma di training, in rapporto ai suoi costi, per capire la qualità dell’investimento.
La piramide riporta le macrofasi necessarie per poter valutare efficacemente il ROTI. Queste informazioni sono raggruppate in due macro-categorie:
- Integrazione in un’unica interfaccia dei diversi dati raccolti sulle persone, con visualizzazioni differenziate per i diversi interlocutori
- Correlazione dei dati di training con i dati sulle prestazioni (di cybersecurity)
Questo concetto è alla base della cosiddetta People Analytics sulla quale il Cefriel sta sviluppando alcuni progetti di ricerca.
Figura 1 – La piramide della Learning Analytics
Il concetto di People Analytics applicata alla cybersecurity.
La People Analytics (PA) è un approccio che permette di ottimizzare il bisogno formativo individuale, collegandolo ai profili di rischio delle singole persone, nel pieno rispetto della vigente normativa GDPR e privacy. Attraverso l’analisi dei dati HR si creano dei profili di rischio individuale collegando il “valore” delle risorse gestite, le esperienze di formazione passate ed altre informazioni, con la erogazione di piani individuali di formazione e la conseguente riduzione del rischio cyber aziendale. Quanto descritto viene svolto da due macro-fasi: People Analytics e Learning Analytics.
L’applicazione nel contesto cybersecurity della People Analytics, e quindi la valutazione del ROTI in termini di riduzione del rischio cyber e non solo di ritorno economico, comporta l’aggiunta della fase di “Learning analytics per la cybersecurity”. Si veda la Figura 2.
Figura 2 – Pianificare attività di formazione con un approccio data-driven per ridurre le minacce legate all’uomo e gestire il corrispondente rischio informatico.
La PA era in origine un approccio analitico alle risorse umane (HR) per la gestione delle persone sul lavoro, che è stato utilizzato con successo in molti contesti diversi per migliorare i processi della forza lavoro e promuovere le competenze dei dipendenti. Secondo Cefriel, la People Analytics può essere efficacemente adattata nel contesto della sicurezza informatica, per aumentare la resilienza delle persone ai rischi cyber. Questo avviene correlando le stime di rischio individuali (calcolate con frequenza adeguata, con una logica di continuous security, sulla base ad esempio dei risultati delle simulazioni di phishing, delle stime di rischio del portfolio gestito, della preparazione valutata anche tramite questionari, o dello specifico ruolo aziendale) con i programmi formativi migliori (cioè cosa insegnare, a chi e come). Il training, in questo modo, diventa uno strumento per ridurre i rischi informatici legati all’uomo.
I casi di applicazione nel contesto delle risorse umane, per la pianificazione di attività formative data-driven, sono numerosi. Tuttavia, la metodologia è nata come applicazione alla richiesta delle Risorse Umane di sfruttare i dati e ottimizzare la preparazione della forza lavoro.
Human Resources (HR) analytics, People Analytics e workforce analytics differiscono tra loro. Questi termini si sono spesso sovrapposti, ma non sono la stessa cosa. L’HR analytics cattura e misura il funzionamento del team HR, ad esempio analizzando KPI come il turnover dei dipendenti e il tempo di assunzione. Tali analisi sono rilevanti solo per il team HR. La People Analytics, invece, misura e analizza queste informazioni e incrocia i risultati con le performance della formazione.
Conclusioni
Anche i processi legati alla formazione, specialmente in ambito cyber, possono essere svolti con differenti gradi di maturità e sostenibilità aziendale, come tutti i processi aziendali legati alla sicurezza informatica. Si parte dal livello minimo, nel quale le organizzazioni non sono consapevoli della necessità di percorsi di apprendimento della sicurezza informatica ignorando qualsiasi minaccia e non pianificando alcuna attività per ridurre il rischio informatico. Il livello massimo è quello in cui viene data particolare attenzione ai diversi contesti aziendali, implementando una strategia educativa globale sulla cybersecurity, distribuendo percorsi di consapevolezza e apprendimento adattati alle singole persone e alle esigenze dell’organizzazione, misurando continuamente i risultati di queste attività rispetto ai KRI della sicurezza aziendale. A questo livello di maturità, l’azienda è in grado di prevedere i cambiamenti nelle necessità di formazione, anche in funzione del cambio di esposizione al rischio aziendale.
Riassumendo le competenze sono un asset vulnerabile al cybercrime; come qualsiasi altro asset occorre un processo di asset management. La formazione è il processo tramite il quale si mantiene in “salute” questo asset. Normalmente viene demandata a fornitori esterni e scarsamente connessa alle logiche della sicurezza informatica. Le organizzazioni devono però avere il controllo dei processi di formazione.
La People Analytics è considerata un’area emergente della gestione delle risorse umane nonostante esista da oltre 20 anni. L’obiettivo principale è quello di alimentare una cultura della (cyber)sicurezza, sfruttando i dati disponibili per trovare la corrispondenza tra le esigenze dei discenti, la riduzione del rischio informatico e le soluzioni di sensibilizzazione, consentendo al contempo alle organizzazioni di implementare programmi di sensibilizzazione sulla sicurezza informatica con un approccio efficiente in termini di costi.
L’approccio di Cefriel si concentra sulla riduzione del rischio di sicurezza informatica derivante dal fattore umano (cioè le minacce umane alla sicurezza informatica), sulla base dei dati aziendali disponibili, secondo due modelli: uno che identifica i cluster naturali delle persone con caratteristiche comuni, che hanno bisogno di migliorare le proprie competenze in cyber security, e un altro che valuta l’impatto del percorso di cultura digitale delle persone coinvolte nei rispettivi cluster. La soluzione viene pensata per organizzazioni che non hanno flussi di dati pre-esistenti.
L’estensione alla sicurezza informatica proposta da Cefriel aggiunge indicatori di rischio informatico, profili di personalità ecc. per migliorare il processo decisionale in materia di sicurezza informatica e la riduzione del rischio informatico associato all’elemento umano.
