Il sistema operativo umano: la psicologia della Cybersecurity
Secondo una pubblicazione di Capterra, all’inizio della quarantena il 47% delle aziende si è trovata impreparata in tema Cybersecurity. Lo studio mette in luce vari problemi di natura tecnica, tra cui la mancanza di antivirus e VPN sicure, ma sono in particolare 3 punti che ci hanno colpito, perché sono indicativi non tanto di una tecnologia non adeguata, ma di problemi molto più riconducibili alla psicologia e i comportamenti delle persone: la gestione delle password, il problema delle mail di phishing e la mancanza di formazione.
La gestione delle password
Senza sorprendere, la maggior parte dei dipendenti delle PMI custodisce le password in un hard disk molto difficile da penetrare: il loro cervello. Solo il 20% si affida a programmi per la gestione delle password, mentre una percentuale pericolosa, il 16%, annota le password sulla carta.
Come sappiamo, il problema delle password non è tanto legato agli strumenti tecnici a disposizione, ma alle abitudini e ai comportamenti delle persone, e qui sta il problema: la memoria, come tutti i sistemi umani, è “imperfetta”, per questo nessuno di noi conosce a memoria le decine di password dei nostri diversi account, affidandosi alla funzione di autocompletamento del browser. Ancora peggio, molte persone utilizzano sempre la stessa password per diversi servizi, per poi scoprire, andando a controllare su https://haveibeenpwned.com/ che i suoi account sono già stati hackerati da tempo.
Non è possibile, per aziende grandi e piccole, lavorare sulla Cybersecurity senza considerare i rischi nel trascurare i limiti dell’attenzione e della memoria quando si parla della gestione delle password. Inoltre, c’è la questione del rischio percepito: quando creiamo una nuova password, spesso ne digitiamo una facile da ricordare, come ad esempio una già utilizzata in passato. Questo perché, sebbene tutti siamo familiari con le regole fondamentali per una password sicura, sottostimiamo il pericolo che qualche malintenzionato possa indovinarla. Il pericolo di essere hackerati, infatti, ci sembra una possibilità molto remota nel futuro, mentre “ora”, al momento della digitazione, quello che occorre è scegliere una password comoda da ricordare, piuttosto che efficace. Il risultato è che se per caso un malintenzionato scopre le nostre credenziali, potrà accedere a tutti i programmi, siti ed app differenti che utilizziamo.
Il riconoscimento del phishing
Il phishing consiste nell’ inviare una e-mail che sembra provenire da un’altra persona o società per indurre il destinatario a rivelare informazioni private, come password, dati bancari o dati aziendali riservati. Il fenomeno è aumentato di molto nelle ultime settimane, fino a raggiungere numeri preoccupanti: il 58% delle aziende ha dichiarato di essere stato bersagliato da mail di phishing durante la quarantena.
L’obiettivo di chi invia una mail maligna è quello di farci cliccare sul link, e il modo più semplice è quello di creare dei contenuti che facciano appello alla parte del nostro cervello che prende le decisioni senza pensare, impulsivamente e d’istinto. Quando decidiamo dove sederci in treno, o quale piatto scegliere da un buffet, infatti, non impieghiamo minuti o ore soppesando i vari vantaggi e svantaggi, ma prendiamo decisioni sulla base di “scorciatoie” che ne accelerano il processo. Queste scorciatoie sono raramente guidate dalla logica, ma necessarie al nostro funzionamento quotidiano, e seguono alcuni principi o regole base che chi invia mail di phishing può sfruttare: ad esempio, tendiamo ad obbedire più velocemente alle figure autoritarie, perciò molte di queste mail fingono di provenire dal governo o dalle banche.
La formazione dei dipendenti è fondamentale, anche perché i filtri antispam possono arrivare solo fino ad un certo punto. È comunque abbastanza facile scoprire se una mail è maligna, e chi ha l’occhio “allenato” può facilmente individuarne una senza particolare fatica, ma da tempo compaiono minacce molto sottili ed elaborate, come finte mail da contatti che conosciamo (ad esempio, clienti).
La formazione dei dipendenti
La formazione dei dipendenti sembra essere una priorità per le PMI, secondo il 79% degli intervistati. L’offerta di formazione non manca, da webinar gratuiti fino a propri veri corsi con certificato. Come abbiamo visto, però, è importante riconoscere il valore non solo dell’aspetto tecnico e informatico, ma anche del “sistema operativo umano”, fatto di scorciatoie, abitudini ed impulsi che rappresentano la prima vera minaccia per le difese dell’azienda e della persona.
È fondamentale chiedersi quali siano le regole che guidano le nostre decisioni, come le variabili che influiscono sulla percezione del rischio o quali siano i limiti cognitivi della memoria e dell’attenzione. E tutto questo è ancora più importante considerando il lavoro a distanza, che può influire pesantemente sul benessere psicologico, e quindi sulla nostra capacità di prendere decisioni. Lavorare da casa, infatti, può comportare stress, mancanza di supporto e difficoltà di comunicazione, intaccando la salute e l’efficacia del nostro “sistema operativo”. Solo una adeguata formazione, quindi, può aiutare le aziende a proteggere sia i dati sensibili, sia il benessere del personale.
Vuoi ricevere tutti i nostri articoli e pillole video? Segui questo Link:
Seguici su Telegram !
