Un program avansat de sensibilizare la securitatea cibernetică ar trebui să analizeze factorul uman în contextul securităţii cibernetice, bazându-se pe contribuţii multidisciplinare, de exemplu, din domeniul ştiinţelor sociale, al psihologiei şi al sociologiei.
Este important să includem anumite caracteristici psihologice într-un curs de formare, deoarece acestea stau la baza comportamentului uman şi sunt folosite de infractorii cibernetici.
Exploatându-ne emoţiile, hackerii ne fac să acţionăm instinctiv, fără să ne folosim partea mai raţională şi mai logică a creierului. Folosind principii din psihologie şi sociologie, aceştia creează mecanisme pentru a ne păcăli creierul să ia decizii.
În plus, hackerii se folosesc de momentele de neatenţie, cum ar fi luni dimineaţa, când un utilizator verifică e-mailurile primite în weekend, sau cinci minute înainte de pauza de masă. De asemenea, acestea pot profita de sfârşitul zilei de lucru, când utilizatorul se pregăteşte să îşi încheie activităţile profesionale.
Să aruncăm o privire asupra principalelor caracteristici pe care trebuie să le aibă un program inovator de conştientizare a securităţii cibernetice pentru a fi eficient şi de succes:
• Concentraţi-vă pe factorul cognitiv şi pe modul în care este transmis conţinutul!
Scopul ingineriei sociale este de a ne face să luăm o decizie fără să ne gândim, dar de ce, atunci când ne aflăm într-un context digital, percepţia noastră de risc scade?
Motivul principal este că în lumea reală am dezvoltat senzori care ne ajută să percepem pericolul. Dacă vedem un tigru pe stradă, nu trebuie să ne gândim prea mult, ci percepem imediat că există un pericol.
Cele cinci simţuri sunt cele care ne ajută să trăim în lumea fizică şi ne protejează.
Când intrăm într-un context digital, scenariul se schimbă, ne lipsesc senzorii pentru a ne deplasa în siguranţă.
• Utilizarea unui limbaj simplu, care poate fi înţeles chiar şi de persoanele fără experienţă în domeniul securităţii cibernetice
Securitatea cibernetică îi priveşte pe toţi angajaţii dintr-o organizaţie, de aceea este esenţial să se comunice într-un mod simplu şi să se depăşească concepţia greşită conform căreia conceptele de securitate prezintă interes şi preocupare doar pentru tehnicienii IT; în schimb, cea mai bună strategie este adoptarea unui limbaj relevant pentru toate echipele din cadrul companiei.
Prin urmare, în viitor ar trebui să mergem dincolo de competenţele tehnice şi să luăm în considerare importanţa combinării acestora cu competenţele de comunicare şi sociale. Mulţi se concentrează pe competenţele tehnice, uitând că o organizaţie este formată din oameni cu niveluri foarte diferite de cunoştinţe şi nevoi. De exemplu, un program de conştientizare a securităţii cibernetice necesită abilităţi de comunicare adecvate.
Această trăsătură permite culturii de siguranţă să integreze modul de gândire şi de comportament al fiecărui angajat, iar apoi să o extindă nu numai în sfera profesională, ci şi în cea personală, evitând astfel limitarea utilizării bunelor practici doar la comportamentul profesional şi extinzându-le şi la mediul familial.
Este un instrument util pentru a se familiariza şi apoi pentru a aprofunda cunoştinţele despre limbajul "tehnic", deoarece, deşi este esenţial să se utilizeze un limbaj care să fie uşor de înţeles chiar şi de către persoanele fără experienţă în domeniul securităţii cibernetice, este adevărat că, în unele cazuri, este necesar să se utilizeze concepte şi termeni mai tehnici, care sunt explicaţi într-o secţiune specială a glosarului.
• Cursuri de formare continuă cu ajutorul pastilelor de formare
Cea mai bună soluţie pentru un parcurs eficient de sensibilizare este crearea unor lecţii scurte şi a unor module coerente, organizate într-un parcurs continuu, de exemplu, videoclipuri scurte care să fie vizionate în momentele adecvate ale zilei.
Alegerea educaţiei continue răspunde, de asemenea, unei caracteristici umane: o acţiune care devine un obicei bine stabilit necesită timp şi o repetare constantă.
În plus, trebuie avut în vedere faptul că securitatea cibernetică este în continuă evoluţie şi că, prin urmare, este necesar un program de sensibilizare cu actualizări constante.
Dar cât de mult timp este acceptabil pentru acest tip de formare? Experienţa noastră a arătat că sesiunile de formare autodirijată ar trebui să dureze mai puţin de 6 minute, deoarece sunt compatibile cu toate tipurile de cerinţe de lucru, eliminând astfel orice potenţial blocaj datorat supraîncărcării de lucru.
• Implicarea utilizatorului în activităţile de joacă
Jocul este adesea identificat ca fiind ceva copilăresc, pentru minori: în acest sens, George Bernard Shaw a scris: "Omul nu încetează să se mai joace pentru că îmbătrâneşte, ci îmbătrâneşte pentru că nu se mai joacă".
Gamificarea depăşeşte aspectul pur ludic; prin intermediul ei, potenţialul jocului este exploatat pentru a obţine un anumit rezultat comercial şi de învăţare.
Prin intermediul acestor mijloace, este într-adevăr posibil să se schimbe comportamentul oamenilor, încurajând apariţia şi consolidarea unui interes activ din partea persoanelor în cauză.
Scopul este de a implica oamenii prin generarea unei schimbări în comportamentul lor. De fapt, în acest scenariu, motivaţia creşte, deoarece este percepută ca o activitate mai puţin plictisitoare şi mai puţin împovărătoare şi, în acelaşi timp, oamenii învaţă şi se implică mai mult, creând un nivel ridicat de angajament. Rezultatul este că participanţii rămân dedicaţi lecţiilor învăţate, chiar şi pe termen lung.
După cum susţin Barradas şi Lancaster, competiţia care este declanşată de joc este pozitivă, deoarece face parte din "jocul de dragul jocului". O competiţie între grupuri capătă o conotaţie pozitivă atunci când este aplicată în învăţare, atunci când se activează dinamica de grup, ca orice joc de echipă, se declanşează teoria psihologică a identităţii sociale.
Fie că este vorba de gamificare individuală sau de grup, utilizarea acestei tehnici este unul dintre ingredientele-cheie ale unui proces de formare în domeniul securităţii cibernetice, deoarece este capabilă să atragă participanţii, să îi implice şi, prin urmare, să crească eficienţa formării în sine.
• Teren de antrenament pentru creşterea rezilienţei, o combinaţie de pastile de antrenament şi campanii de phishing
Capacitatea de a simula atacuri maliţioase care devin din ce în ce mai complexe în funcţie de echipele din cadrul companiei conferă posibilitatea organizaţiei de a testa pe teren factorul uman şi apoi de a-l analiza pentru a-şi îmbunătăţi rezilienţa generală.
Terenul de antrenament simulat este o reprezentare a unui context real: prin crearea unui scenariu de pericol real atât în ceea ce priveşte conţinutul, cât şi dinamica relaţională, experienţa educaţională este oferită într-un mediu sigur.
• Monitorizare şi raportare
Elementul central este monitorizarea şi raportarea, care trece de la analiza învăţării în ansamblu la măsurarea schimbărilor de comportament ale fiecărui utilizator în parte.
Monitorizarea indicatorilor cheie de performanţă (KPI) comportamentali este fundamentală, deoarece permite măsurarea progreselor fiecărui utilizator, punerea în aplicare a acţiunilor de remediere şi, mai presus de toate, măsurarea de către conducere a rentabilităţii investiţiei.
În acest sens, este de preferat în mod clar să se efectueze o evaluare preliminară pentru a crea o bază de referinţă iniţială în raport cu care să poată fi măsurată performanţa viitoare.
Printre indicatorii generaţi de un curs de formare se numără:
- numărul total de persoane care au dat click pe link;
- numărul total de persoane care au raportat atacul;
- numărul de persoane care au dat click şi au raportat atacul;
- numărul de persoane care nu au dat click sau nu au raportat atacul;
- numărul de persoane care nu au dat click şi care au raportat atacul: cel mai bun comportament posibil.
Atunci când este posibil, este interesant să se creeze rapoarte în funcţie de "zona geografică" (departamente), de rolul participanţilor în cadrul companiei şi, de asemenea, în funcţie de orele şi zilele săptămânii.
În concluzie, un program inovator de formare pentru conştientizarea securităţii cibernetice trebuie să se bazeze pe o metodologie eficientă şi orientată spre rezultate pentru a transforma cu adevărat comportamentul fiecărui individ.
Veronica Patron este co-fondator al Security Mind şi expert în securitate cibernetică la Brinthesis. Cu o diplomă în psihologie ocupaţională şi organizaţională obţinută la Universitatea din Padova, Veronica este expertă în eficienţa comunicării, programare neuro-lingvistică, formare şi conştientizare. Mereu fascinată de dinamica psihologică şi comportamentală care caracterizează fiinţele umane, Veronica este membră a "Women for Security" şi redactor pentru "Red Hot Cyber". Veronica este co-fondatoarea proiectului Security Mind, un program avansat de conştientizare a securităţii cibernetice care nu numai că descrie diferitele tehnici de atac - folosind o metodă de dezvăluire care permite o bună înţelegere a fenomenului de către toţi, în special de către cei care nu au experienţă în domeniul securităţii cibernetice - dar analizează şi factorul uman în contextul securităţii cibernetice.