Tutte le piattaforme tecnologiche sono affamate di dati e informazioni, ma anche di comportamenti, emozioni e molto altro. I dati sono la materia prima. Usati per la realizzazione di prodotti algoritmici pensati per analizzare e predire i comportamenti. Google, Facebook, Amazon, ecc. usano i dati per personalizzare l’esperienza online così come le inserzioni e le promozioni pubblicitarie. Anche per sorvegliare, controllare e condizionare in modo predittivo i comportamenti umani.

I comportamenti sono merce ricercata anche sul fronte della sicurezza. Sia da ingegneri e persone preposte a mettere in sicurezza i sistemi informatici sia da psicologi e antropologi. I primi studiano piattaforme, applicazioni e sistemi informativi, i secondi i comportamenti. La sicurezza informatica non può essere limitata alla realtà tecnologica ma analizzare e studiare le percezioni, i sentimenti e le emozioni che determinano e condizionano atteggiamenti, comportamenti e abitudini. La cybercriminalità lo fa già!

Chi in azienda disegna o implementa sistemi di sicurezza deve sempre tenere conto della loro componente umana (the human factor) psicologica e cognitiva. Fondamentale per la messa in sicurezza di asset informativi e operatività aziendali ma anche per monitorare, analizzare e comprendere i comportamenti, le reazioni emotive, i pregiudizi cognitivi delle persone. Attività già svolte con profitto e successo da cybercriminali che sembrano conoscere molto bene la psicologia dell’utente umano e quanto i suoi comportamenti siano condizionati da come ogni singolo individuo percepisce il rischio e l’incertezza. Pregiudizi cognitivi e percezione della realtà determinano il modo con cui vengono gestiti i rischi e la consapevolezza sul tema sicurezza informatica, digitale, virtuale e online.

Vulnerabilità psicologiche

Molti attacchi cybercriminali più che mirare alle vulnerabilità tecnologiche puntano a quelle psicologiche.

Il phishing ad esempio inganna l’errata percezione dell’utente sulla genuinità/validità di un link o sito web per rubare credenziali di accesso e altre informazioni.

L’ingegneria sociale sfrutta i comportamenti umani, anche offline, per fare la stessa cosa.

Gli addetti alla sicurezza possono individuare e bloccare alcune di queste tipologie di attacchi ma nulla possono con persone che fanno scelte irrazionali e abitudinarie, prendono decisioni sbagliate mostrandosi anche poco tecnoconsapevoli.

Non bastano soluzioni tecnologiche

Per essere efficiente ed efficace l’intero apparato preposto alla sicurezza informatica deve essere realizzato per prevenire possibili manipolazioni e l’errata percezione della realtà che caratterizzano molti comportamenti umani. Una formazione psicologica (psicologia individuale e sociale), antropologica e filosofica potrebbe essere un utile complemento a quella puramente tecnica e ingegneristica. Servirebbe ad esempio a migliorare l’usabilità delle applicazioni e dei sistemi informativi, a ridisegnare protocolli, privacy e policy per la sicurezza pensando a come le persone percepiscono, pensano e (re)agiscono al rischio.

Gli studiosi del cervello e dei comportamenti umani sanno che, se c’è da guadagnare o viene offerto qualcosa gratis, la tendenza è a non prestare attenzione agli eventuali rischi o effetti collaterali. La percezione di un potenziale svantaggio fa aumentare l’attenzione al rischio. La realtà però è che nella testa delle persone non esistono modelli di rischio, tantomeno modelli matematici. Le scelte umane seguono vie più sottili, spesso determinate da come il cervello e la mente si sono sviluppati ed evoluti nel tempo. Molte scelte nascono da semplici strategie di sopravvivenza che spingono a preferire piccoli guadagni sicuri rispetto a grandi guadagni non garantiti. Altre dipendono da avidità e/o paura. Si compera qualcosa perché la si vuole o per prevenire ed evitare problemi futuri.

La sicurezza informatica vive sulla paura. L’individuo, l’azienda e l’organizzazione acquistano prodotti per la sicurezza per evitare potenziali danni derivanti da attacchi criminali riusciti. Le aziende che propongono soluzioni per la sicurezza vivono della paura, ma anche dell’incertezza. Su entrambe costruiscono le loro campagne marketing e commerciali, oltre ai loro modelli di business.

Serve una cultura

Chi acquista soluzioni per la sicurezza deve però considerarle insufficienti qualora nell’organizzazione non si disponesse della cultura necessaria a comprendere la percezione, l’esperienza e l’analisi del rischio che motivano le scelte e le decisioni delle persone. Questa cultura permetterebbe di comprendere che l’analisi delle persone non sarà mai sufficiente per affrontare rischi complessi come quelli per la sicurezza e che la loro percezione del rischio sarà sempre condizionata da reazioni o comportamenti irrazionali come: acquistare una polizza assicurativa subito dopo un terremoto o un disastro aereo; avere paura dell’estraneo anche quando il rischio reale viene normalmente dalle persone più vicine; prestare scarsa attenzione a dati e statistiche ma farsi condizionare dalla loro interpretazione e da come viene raccontata; lasciarsi convincere da storie personali piuttosto che da quelle generiche; fare affidamento sulle verità dei media, senza approfondimenti per verificare se e quanto le notizie siano vere o false.

Cultura umanistica: perché no!

Una cultura umanistica e l’analisi dei comportamenti degli individui possono servire ai dipartimenti per la sicurezza informatica in azienda a capire meglio ciò che serve in termini di strumenti per la prevenzione, la conoscenza, la consapevolezza e la formazione (apprendimento).  

A nulla servono le misure di protezione più sicure e più costose se un comportamento dettato dalla stupidità, dalle abitudini, da reazioni emotive e cognitive individuali può rendere possibile un attacco criminale. La consapevolezza, la conoscenza e la cultura della sicurezza informatica, individuale e aziendale, non sono che il punto di partenza per misure preventive e difensive efficienti. Servono a influenzare i comportamenti e a cambiarli, a rendere efficaci strategie e programmi per la sicurezza. Compresi quelli pensati per coinvolgere in modo empatico tutte le persone di un’organizzazione con l’obiettivo di far aumentare l’attenzione e migliorare la capacità di prendere le giuste decisioni.

Gli strumenti per mettersi su questa strada sono numerosi. Esistono numerosi libri (Re-Thinking The Human Factor,  How to hack a Human: Cybersecurity for the Mind, e molti altri) che hanno approfondito l’argomento, molte sono anche le pubblicazioni online e le iniziative. Ciò che però conta sono la predisposizione e la volontà a farsi una cultura umanistica. Unica àncora

 alla trasformazione digitale in atto, una necessità se si vuole mantenere l’individuo al centro dell’attenzione invece dell’algoritmo e continuare a investire su di esso e sulla sua complessità, psicologica, cognitiva e comportamentale.