Creare una diffusa consapevolezza della cybersecurity è ancora molto difficile per una serie di motivi, mancanza di coinvolgimento nelle politiche di sicurezza, limitata comprensione di ciò che è necessario per proteggersi dalle minacce, distanza percettiva. Per molte persone termini come cybersecurity appaiono ancora naif. Tuttavia è chiaro che non si può prorogare ulteriormente la capillare diffusione di una cultura consapevole e cyber igienica. Una sfida complessa, piena di ostacoli non solo legati alle complessità della tecnologia, ma anche al dover navigare nelle complessità della mente umana. Un buon risultato è già quello di aver visto un crescente accordo nell’applicare un approccio olistico alla cybersecurity, considerando tutti gli aspetti del sistema, compresi quelli tecnici, organizzativi e umani. Ciò significa non solo affrontare le vulnerabilità tecniche e implementare misure di sicurezza, ma anche comprendere i fattori organizzativi e umani che possono influenzare la sicurezza, come addestrare i dipendenti sulle pratiche sicure online e implementare politiche e procedure per ridurre il rischio di errori umani. Per anni professionisti come me si sono sentiti dire ma no, basta una buona struttura informatica. Invece oggi sappiamo che l’approccio non tecnocentrico alla cybersecurity riconosce che la tecnologia è solo un aspetto del quadro più ampio della sicurezza. Serve una prospettiva più ampia, che include la costruzione di una cultura che integri il comportamento e la consapevolezza umana, la conformità legale e normativa e la gestione del rischio. Questa cultura fa riferimento alle condivise valutazioni, credenze, atteggiamenti e comportamenti di individui e organizzazioni in merito alla cybersecurity. Comprende la conoscenza e la consapevolezza dei rischi della cybersecurity e delle migliori pratiche, nonché le azioni e le politiche adottate per proteggersi dalle minacce online.
Il concetto di igiene cibernetica si basa sull’idea che proprio come le pratiche di igiene personale possono aiutare a prevenire la diffusione delle malattie, le buone pratiche di igiene cibernetica possono contribuire a prevenire minacce e attacchi informatici. L’igiene cibernetica si riferisce a un insieme di migliori pratiche e comportamenti che individui e organizzazioni possono adottare per mantenere una buona cybersecurity e proteggersi dalle minacce online.
Dal momento che diversi studi mostrano che la sola formazione non è efficace, potrebbe essere importante esplorare i meccanismi comportamentali coinvolti. Come vengono raggiunte tali posture comportamentali? Non possiamo ignorare i meccanismi specifici legati al comportamento umano, al condizionamento, all’equilibrio tra bisogni e influenza sociale.
La persuasione e l’influenza sociale possono essere elementi centrali nella costruzione della consapevolezza della cybersecurity (cyberawareness) poiché possono aiutare a incoraggiare individui e organizzazioni a compiere i passi necessari per proteggersi dalle minacce.
La persuasione si riferisce al processo di cambiare intenzionalmente le attitudini, le credenze o i comportamenti di qualcuno; l’influenza si riferisce al processo di influenzare i pensieri, i sentimenti o le azioni di qualcuno attraverso vari mezzi, tra cui la persuasione, la coercizione, la pressione sociale o l’autorità.
La motivazione si riferisce ai fattori interni che spingono una persona a compiere una determinata azione, che può essere influenzata da fattori esterni, come ricompense o punizioni. Il condizionamento si riferisce al processo di associare uno stimolo particolare a una risposta desiderata, che può essere utilizzato per influenzare il comportamento nel tempo.
La persuasione etica deve sempre rispettare la libertà di scelta e l’autonomia dell’individuo. Le persone hanno il diritto di prendere le proprie decisioni, anche se queste scelte potrebbero non allinearsi con le migliori pratiche di cybersecurity. Tuttavia, la persuasione può essere utilizzata per aiutare le persone a prendere decisioni informate fornendo loro informazioni accurate, spiegando i rischi e i benefici delle diverse opzioni ed emancipandoli ad agire. È chiaro che l’ignoranza può essere un ostacolo significativo alla consapevolezza della cybersecurity. Molte persone semplicemente non sono consapevoli dei rischi che corrono online e potrebbero non sapere come proteggersi. L’istruzione e le campagne di sensibilizzazione possono essere efficaci nel contrastare l’ignoranza e aiutare le persone a comprendere l’importanza delle migliori pratiche di cybersecurity.
I ricercatori hanno esplorato diverse modelli;
il Modello di Elaborazione della Probabilità (ELM) è un modello di persuasione che sottolinea l’importanza di coinvolgere l’interesse e la motivazione del pubblico per aumentare la probabilità di cambio di atteggiamento. Nel contesto della cybersecurity, ciò potrebbe comportare la presentazione delle informazioni in modo rilevante e significativo per il pubblico e l’uso di linguaggio chiaro e convincente per spiegare i rischi e i benefici delle diverse pratiche di cybersecurity.
Il Modello delle Credenze sulla Salute (HBM) è un modello che spiega e predice il comportamento correlato alla salute concentrandosi sulle credenze delle persone riguardo alle minacce per la salute e ai benefici delle azioni protettive. Nel contesto della cybersecurity, l’HBM potrebbe essere utilizzato per spiegare i rischi e le conseguenze delle minacce cibernetiche e per fornire consigli pratici e orientamenti su come proteggersi.
Il Modello Transteorico (TTM) è un modello di cambiamento comportamentale che coinvolge diverse fasi, tra cui pre-contemplazione, contemplazione, preparazione, azione e mantenimento. Nel contesto della cybersecurity, il TTM potrebbe essere utilizzato per adattare le campagne di sensibilizzazione e le misure di intervento alle diverse fasi di prontezza al cambiamento del comportamento.
Anche le influenze sociali giocano un ruolo importante nella formazione della consapevolezza della cybersecurity e del comportamento informatico.
Il Modello di Influenza Sociale sottolinea il ruolo di molteplici fonti di influenza, tra cui pari, figure di autorità e media. Quindi, un programma di sensibilizzazione più completo dovrebbe incorporare diverse fonti di influenza, come le reti tra pari, il supporto della leadership, la formazione e l’istruzione.
Le norme sociali, le regole non scritte e le aspettative che governano il comportamento all’interno di una società o di un gruppo sono conosciute come norme sociali. La consapevolezza e il comportamento della cybersecurity possono essere influenzati dalle norme sociali stabilendo aspettative su ciò che è considerato accettabile e desiderabile in termini di pratiche di cybersecurity. È meno probabile che i dipendenti prendano sul serio la cybersecurity se percepiscono che i loro colleghi e supervisor non lo fanno. Anche la prova sociale può essere un potente motivatore affinché gli individui adottino le migliori pratiche di cybersecurity, questa si riferisce alla tendenza a conformarsi al comportamento degli altri in una situazione simile. Quando i dipendenti vedono i loro colleghi utilizzare l’autenticazione a due fattori o aggiornare regolarmente le loro password, potrebbero essere più inclini a fare lo stesso. La Teoria dell’Apprendimento Sociale, infatti, sottolinea l’importanza dell’osservazione e dell’imitazione nel plasmare il comportamento: gli individui sono più inclini ad adottare buone pratiche di cybersecurity se vedono gli altri modellare tali comportamenti.
L’identità di gruppo plasma il senso di appartenenza e l’identificazione con un gruppo o una comunità particolare e può quindi influenzare la consapevolezza della sicurezza e il comportamento creando un senso di responsabilità collettiva per la cybersecurity. I dipendenti di un’azienda potrebbero sentirsi più motivati a proteggere i beni e la reputazione della loro organizzazione se si sentono fortemente identificati e leali ad essa. Non da ultimo, c’è il ruolo e l’impatto del supporto sociale: quando un individuo riceve assistenza emotiva, informativa o strumentale e incoraggiamento, ad esempio fornendo formazione sistematica, aumenta la fiducia nel poter proteggere sé stessi e la propria organizzazione.
Gli individui sono più propensi a seguire le regole se percepiscono che la minaccia è reale e potente e se hanno fiducia nelle proprie capacità per rimanere al sicuro. Una campagna di sensibilizzazione efficace sulla sicurezza dovrebbe fornire dati chiari e convincenti sui rischi, nonché istruzioni pratiche e formazione su come prevenirli.
Costruire una cultura di consapevolezza cibernetica comporta anche creare un ambiente che supporti pratiche digitali sicure, un risultato che può essere ottenuto non solo attraverso la presenza di politiche idonee e lungimiranti, il rispetto delle procedure e la conoscenza, ma soprattutto attraverso il cambiamento delle menti e quindi dei comportamenti.
Paola Giannetakis
