Oltre il 90% degli attacchi informatici richiedono un’interazione umana, il che significa che semplici azioni degli utenti, come clic casuali e password non utilizzate correttamente, possono avere gravi conseguenze. Con una posta in gioco così alta, è fondamentale non sottovalutare la necessità di sradicare questi comportamenti.
Per entrare nel vivo della questione, Andy Rose, resident CISO per l’area EMEA di Proofpoint, ha recentemente incontrato il Dr. BJ Fogg, Ph.D., scienziato comportamentale presso l'Università di Stanford, per discutere della scienza alla base dei comportamenti e di come le abitudini possono essere adottate e interrotte. Il Dr. Fogg è anche autore di best-seller e creatore del Fogg Behavior Model (Modello comportamentale di Fogg).
Di seguito alcuni punti salienti della conversazione:
Andy Rose: Vorrei iniziare chiedendole di spiegare il Fogg Behavior Model e i concetti alla base.
Dr. Fogg: Certamente. Si tratta di un modello universale che si applica a tutti i tipi di comportamento, a tutte le età e culture. Dimostra che una persona mette in atto un comportamento nel momento in cui convergono tre fattori: la motivazione (Motivation), la capacità (Ability) e la sollecitazione (Prompt).
Illustrazione del Fogg Behavior Model. Fonte: behaviormodel.org.
Supponiamo che vogliate che qualcuno faccia una donazione alla Croce Rossa. Se la persona è molto motivata e la donazione è facile da fare, è molto probabile che la faccia quando riceve una sollecitazione. Immaginiamo ora che una persona non ami la Croce Rossa e che sia complesso fare una donazione. In questo caso, è improbabile che lo faccia quando sollecitato.
Tra gli assi della motivazione e della capacità c'è una soglia denominata linea d'azione. Se una persona si trova al di sotto di questa soglia, non adotterà il comportamento al momento della sollecitazione. Se si trova al di sopra, lo adotterà. Questo in sintesi, è il Fogg Behavior Model.
Tutti i comportamenti umani dipendono da tre elementi: motivazione, capacità e sollecitazione. Se manca uno di questi, il comportamento desiderato non si verificherà. Con questo modello è possibile analizzare e determinare quale elemento.
Lei ha anche scritto un libro sullo stesso tema, Il metodo Tiny Habits. La rivoluzione a piccoli passi con l’obiettivo di aiutare le persone a cambiare il proprio comportamento. Ma cosa devono fare di diverso i professionisti della sicurezza informatica per applicare questo modello su larga scala?
L’applicazione del modello su larga scala richiede un approccio diverso, ma dipende comunque dal comportamento specifico che vogliamo far adottare alle persone. Che dire della motivazione, capacità e sollecitazione, e cosa manca per far sì che le persone adottino, o meno, questi comportamenti?
Si può procedere in entrambe le direzioni. Si può aggiungere una sollecitazione o aumentare la motivazione, ma si può anche eliminare una sollecitazione e o complicare un’azione. In ogni caso, la specificità modifica il comportamento.
Quindi, piuttosto che dare agli utenti consigli generici, siate il più possibile specifici: quando vedi questo tipo di cose in questo tipo di email, adotta questo comportamento specifico. È necessario spiegare in modo estremamente dettagliato.
Il comportamento si compone di tre elementi essenziali.
Se dovessi scegliere una cosa su cui concentrarmi dopo la specificità, mi chiederei: “Come possiamo modificare la difficoltà di questo comportamento per incoraggiare o scoraggiare determinate azioni?”. A volte è molto difficile cambiare la motivazione in modo molto affidabile. Ma possiamo semplificare o complicare le azioni, e possiamo farlo su larga scala.
Parliamo ora della motivazione. Diciamo sempre alle persone cosa fare, come farlo e cosa cercare. Ma oggi la formazione tende a trascurare le conseguenze di un comportamento. Come possiamo inserire motivazione e conseguenze in un programma di sensibilizzazione alla sicurezza informatica senza insistere troppo sulle sanzioni e abbassare il morale dei collaboratori?
È necessario associare un comportamento richiesto a qualcosa che l'utente già desidera: un elemento motivante. Potrebbe trattarsi di una promozione, di uno status, dell’ammirazione dei figli e così via. È una situazione molto comune. Ad esempio, le persone non vogliono necessariamente camminare su un tapis roulant, ma vogliono avere più energia e una salute migliore.
Il segreto è quindi trovare qualcosa che già desiderano e allineare di conseguenza il comportamento desiderato. Quando questo non è possibile, bisogna regolare la capacità o la sollecitazione e usare queste leve. Ma se potete, e questa è la cosa più importante secondo me, aiutate le persone a fare ciò che già vogliono fare.
Questo si ricollega alla popolarità della gamification? Esiste un modo per suscitare il desiderio di fare qualcosa?
Sì. È possibile motivare gli utenti. Questo concetto, spesso denominato “gamification”, può essere applicato correttamente o in modo inefficace.
Per esempio, non sono un fan delle classifiche: a quante persone una classifica pubblica trasmette un senso di realizzazione? Una, forse due. La stragrande maggioranza prova un senso di fallimento. Per questo motivo bisogna fare attenzione alle tecniche che si utilizzano per aumentare la motivazione e assicurarsi che generino interesse presso un pubblico ampio.
Parliamo di sollecitazioni. Quali suggerimenti può darci per creare sollecitazioni efficaci e durature con cui le persone continueranno a interagire?
Difficile a dirsi, non esiste una soluzione magica. Se si sollecita una persona in continuazione, può diventare rapidamente insensibile a tali sollecitazioni, quindi devono essere presentate al momento opportuno. Non volete convincere qualcuno a fare qualcosa quando non è in grado di farlo. Se una persona è molto motivata a seguire un modulo di formazione, ma non può farlo nel momento in cui ricevono la sollecitazione, può essere frustrante. L'ideale sarebbe quindi sollecitare una persona quando è sia motivata che in grado di farlo.
Con un numero elevato di persone, le cose si complicano. Dovete fare del vostro meglio con le informazioni di cui disponete e agire di conseguenza. Supponiamo che si verifichi un incidente di sicurezza informatica in un'altra azienda e che non si parli d'altro. Sicuramente le persone saranno più motivate del solito. E se chiedete loro di dedicare un po’ di tempo alla formazione, le possibilità che lo facciano sono più elevate.
Tornando ai contenuti, molti professionisti della sicurezza creano contenuti per comunicare sollecitazioni e messaggi di sensibilizzazione. Come possono creare contenuti che i destinatari vorranno consultare più volte?
Cominciamo con ciò che non si deve fare, che io chiamo l’“illusione dell'informazione-azione”: Se ci limitiamo a fornire informazioni alle persone, il loro atteggiamento cambierà e questo porterà a un cambiamento nel loro comportamento.
Sembra logico. Ma non è quello che funziona nel lungo periodo. Perché? Perché le persone credono a ciò che vogliono credere. Le informazioni non cambiano in modo affidabile gli atteggiamenti. E anche se lo fanno, non portano a reali cambiamenti del comportamento.
Quindi è meglio associare un comportamento richiesto a quello che le persone già vogliono fare. In questo modo, non è necessario cambiare prima gli atteggiamenti per cambiare i comportamenti. Per rispondere alla sua domanda, quando le persone adottano un comportamento e si sentono vincenti, cambia la loro percezione che hanno di loro stesse.
Questo è il motivo per cui è importante avere un ciclo di riscontri. Se qualcuno segnala un’email di phishing al centro delle operazioni di sicurezza, o compie l’azione corretta, è bene che gli venga riconosciuto il più rapidamente possibile, non è vero?
Sì, la tempistica di tale riscontro è molto importante. Non si possono aspettare 30 giorni e poi offrire un piccolo encomio o un ringraziamento. È un incentivo, ma non un rinforzo. La sensazione di successo deve essere percepita molto rapidamente.
Parliamo di misurazioni. Se si sta cercando di creare una cultura della sicurezza, come creare una dashboard o una metrica che possa essere comunicata al consiglio di amministrazione per dimostrare il proprio successo?
Alcune misurazioni quantitative possono essere effettuate con i sistemi digitali. Ma non sono un esperto in materia. Da un punto di vista psicologico, vi resta l'autovalutazione.
Ecco come misurerei un cambiamento di identità. Da oltre 10 anni utilizzo la seguente affermazione nel programma Tiny Habits: “Sono il tipo di persona che...”. Lascio quindi che siano i miei interlocutori a finire la frase. Questo è un buon metodo per misurare la fiducia in sé stessi l’auto-efficacia degli utenti nel tempo.
Grazie mille per questa chiacchierata. Per concludere, ha qualche consiglio per i professionisti della formazione di sensibilizzazione alla sicurezza informatica che ci leggono?
Sì. La buona notizia è che c'è un sistema dietro il comportamento umano. Non è necessario tirare a indovinare. Potete analizzare e progettare in modo sistematico, nonché testare, iterare e migliorare. I sistemi danno fiducia in ciò che state facendo. Non dovete chiedervi se siete sulla strada giusta. Basta che impariate il sistema e lo applichiate.
Scopri altri consigli del Dr. Fogg nel suo nuovo libro Tiny Habits.
Scopri il numero di New Perimeters - Proteggi i tuoi collaboratori. Difendi i tuoi dati
Vuoi leggere articoli simili a questo? Mantieniti aggiornato sulle ultime novità in materia di sicurezza informatica con la nostra rivista esclusiva, New Perimeters. Puoi consultare la nostra rivista online, scaricarla per leggerla in un altro momento o ricevere una copia cartacea al tuo indirizzo.
Scarica gratuitamente New Perimeters, l’esclusiva rivista di Proofpoint, qui.