Cyber security e intelligenza emotiva: regole di buon comportamento - Cyber Security 360

SICUREZZA INFORMATICA

Cyber security e intelligenza emotiva: regole di buon comportamento

Dall’analisi di molti dei recenti attacchi informatici è evidente il coinvolgimento dell’essere umano nelle dinamiche e nelle questioni della cyber security: per questo motivo sarebbe utile sviluppare sempre di più quella che viene definita come “intelligenza emotiva” e investire sul fattore umano. Ecco perché

19 Lug 2021
A
Angelo Alabiso

Cyber Security Analyst

Esiste una connessione tra l’emozione e la cyber security, tra fattore umano e intelligenza emotiva? È la domanda che si pongono gli esperti di sicurezza informatica, anche alla luce di molti dei recenti attacchi informatici che hanno messo tutti sono d’accordo sulla necessità di investire sul fattore umano e sull’importanza della security awareness.

È innegabile, infatti, che non esiste una tecnologia perfetta in grado di proteggere completamente una persona dalle insidie che si nascondono sul web e su qualsiasi dispositivo elettronico: gran parte degli attacchi che vengono messi in atto oggi da abili hacker e ingegneri sociali non colpiscono solo quelle che sono le vulnerabilità informatiche ma anche, e soprattutto, quelle umane.

Difatti, sfruttando proprio quelle che sono le emozioni, lo scopo dell’attaccante è proprio quello di spingere le vittime ad agire d’istinto, facendo commettere loro pericolosi errori. Secondo quelli che sono i principi della psicologia e della sociologia, una delle strategie più usata è quella che fa leva sulle cosiddette euristiche: scorciatoie mentali utili all’essere umano per semplificare un lavoro che normalmente richiederebbe più attenzione e impegno.

Security awareness dei dipendenti: il nuovo valore per mettere in sicurezza l’azienda

A complicare il quadro, soprattutto dal lato del cittadino, al fine di comprendere quello che è il filo conduttore tra il fattore umano e quello tecnologico, vanno sottolineate tutte una serie di emozioni che, una volta suscitate nei target, permettono di acquisire informazioni, frodare o semplicemente creare dei danni di qualunque tipo.

Che si tratti di paura, curiosità, irritazione, avidità, autorealizzazione, presunzione, desiderio di aiutare il prossimo, il punto centrale per evitare di commettere qualche gesto impulsivo rimane il soggetto e il suo controllo delle emozioni.

Non per niente, oggi gran parte degli ingegneri sociali studiano le principali tecniche di persuasione spiegate da Robert Cialdini. In sintesi, quando entrano in gioco dinamiche più istintive e irrazionali è più probabile sbagliare e diventare vittima di attacchi sempre più complessi.

A fronte di tutto quello che è stato detto, è inutile negare il coinvolgimento dell’essere umano nelle dinamiche e nelle questioni della cyber security, per questo motivo sarebbe utile sviluppare sempre di più quella che viene definita come intelligenza emotiva.

Cos’è l’intelligenza emotiva

Uno dei più celebri autori che si è dedicato, con costanza e precisione, allo studio dell’intelligenza emotiva è stato lo psicologo Daniel Goleman, che l’ha identificata come quella particolare abilità legata all’uso corretto delle emozioni che caratterizza l’essere umano.

In parole semplici, lo scopo della stessa è paradossalmente quello di regolarizzare proprio il rapporto tra l’emotività e la razionalità, rendendo l’individuo più consapevole delle proprie emozioni ed azioni.

Nello specifico, essa racchiude un mix di empatia, autocontrollo, emozione, capacità di adattamento che, soprattutto in situazioni di stress, permettono al soggetto di gestire efficacemente una situazione evitando al contempo la possibilità che un dato problema possa manifestarsi o acuirsi.

Un merito che sicuramente si riconosce a Goleman è stato quello di focalizzare l’attenzione sull’importanza della gestione delle emozioni. Se in passato le si consideravano quasi una debolezza, oggi il panorama è completamente diverso in quanto si riconosce alle stesse, se gestite bene, un ruolo determinante nella vita dell’essere umano.

Che si tratti di posizioni di leadership, di management o di altro tipo, non bastano solo quelle che possono essere definite le competenze tecniche, soprattutto se non sostenute da quelle relazionali ed emotive.

Quando si è in grado di autoregolare sé stessi, di controllare le proprie emozioni, non solo è possibile prendere decisioni migliori, ma anche essere più resilienti e consapevoli di stare agendo con metodo e integrità.

Manipolazione mentale: cos’è, tecniche di attacco di social engineering e strategie di difesa

Quanto l’intelligenza emotiva è utile alla cyber security

Valutando bene quello che è il nuovo panorama IT, sempre più indispensabile per qualunque attività, ci si aspetta dal futuro prossimo attacchi cyber sempre più complicati e difficili da rilevare.

Non per niente si parla di attacchi “zero day” che provengono da vulnerabilità non ancora scoperte dai progettisti di software, dai fornitori di soluzioni antivirus o semplicemente al pubblico. Partendo dal fatto che l’informazione è oggi il fulcro principale della guerra cibernetica, bisogna essere preparati a rilevare i principali campanelli di allarme.

In questo senso, dopo aver spiegato cosa realmente rappresenti l’intelligenza emotiva, è possibile comprendere quanto essa possa essere utile non solo nelle analisi e nelle azioni di rimediation compiute sulle varie minacce o attacchi cibernetici e i loro relativi rischi, ma anche in rapporto a quella che è la percezione dello stesso cittadino di fronte a pericoli sempre più mirati come il phishing, l’exortionware, il ransomware, lo scareware e via dicendo.

L’attuale sicurezza informatica non si occupa più del mero monitoraggio dei sistemi digitali, ma ambisce ad un ruolo molto più ampio che ruota attorno al concetto di business aziendale e di protezione dei propri asset, tra cui anche i dipendenti.

Negli ultimi anni si è compreso quanto importante sia non solo prevenire, ma anche mitigare eventuali minacce affinché si possa contribuire in modo determinante alla continuità operativa dell’azienda stessa.

Conoscere le proprie emozioni, quelle degli altri, come saperle gestire e soprattutto il modo di relazionarsi con il mondo circostante, sono tutte delle capacità che possono aiutare chiunque non solo a mettersi nei panni di un attaccante e dei suoi possibili obiettivi, ma anche a focalizzare con consapevolezza le proprie azioni efficacemente nei confronti di gesti o pensieri irrazionali che spesso rendono la vittima, che clicca per esempio compulsivamente su un link, vulnerabile ad attacchi sempre più pericolosi dal punto di vista economico, personale e reputazionale.

Pertanto, sarebbe possibile ridurre quella superficie di attacco che oggi risulta essere una falla di non poco conto per l’individuo e, di conseguenza, per un’impresa.

Se l’approccio alla cyber security deve essere giustamente quello olistico, globale e sistemico non si può prescindere dall’essere umano e dalle sue emozioni.

Per quanto si possano usare sistemi informatici aggiornati ed efficaci, gran parte del rischio degli incidenti informatici ricade proprio sulle scelte del singolo e dei suoi comportamenti automatici.

Per questo motivo sarebbe utile vedere il problema non solo come minaccia esterna ma anche interna in qualche modo.

Quello che gli hacker moderni hanno capito è proprio il concetto di vulnerabilità umana: non serve più bucare un sistema se con l’uso dell’ingegneria sociale si è in grado di ottenere dati e informazioni sensibili di tutti i tipi.

Social engineering e human hacking: le tecniche di attacco human based

Cyber security e intelligenza emotiva: cosa fare

Da questa prospettiva, sarebbe utile per tutti sviluppare o migliorare alcune abilità chiave come le seguenti:

  1. Ascoltare sé stessi e il proprio corpo: focalizzazione, osservazione e riconoscimento delle proprie risposte fisiologiche di fronte a una data situazione. Il battito cardiaco, il ritmo respiratorio, lo stato di salivazione e molto altro, dice tanto di sé stessi e a quello che si sta provando in quello specifico momento.
  2. Identificare e gestire i propri punti sensibili: tutto ciò che può essere usato da una persona qualsiasi per suscitare delle emozioni negative in qualcun altro. Come una serie di interruttori, spesso esistono delle parole o delle azioni che danno particolarmente fastidio una volta premuti. Essi possono essere utilizzati per indurre in errore il target. Gestire le proprie reazioni consapevolmente è un modo per disinnescare tutte quelle azioni o quei comportamenti non produttivi dal punto di vista non solo dell’efficacia, ma anche della comunicazione.
  3. Osservazione critica e razionale: tesa ad ascoltare ed osservare, con maggiore attenzione, quelli che sono anche i dettagli più specifici di una data situazione complessa.
  4. Gestione delle proprie emozioni negative: comprendere il metodo più idoneo per canalizzare bene il flusso delle emozioni negative che in qualche modo possono destabilizzarci. Un consiglio che da anni viene diffuso (molto utile alle persone più istintive), è quello di fare un bel respiro profondo e contare fino a dieci prima di esternare le proprie reazioni emotive.
  5. Usare l’empatia: mettersi nei panni dell’altro per comprenderne quelli che possono essere i suoi valori, le sue motivazioni, convinzioni ed infine eventuali azioni.

Considerazioni finali

Come esposto precedentemente, l’innovazione tecnologica ha ancora di più esposto l’uomo ad una serie di pericoli sempre più insidiosi e invisibili.

Ormai è inutile parlare di una realtà virtuale che possa essere separata da quella reale, tanto è vero che è sufficiente guardarsi attorno per rendersi conto di quanto l’uomo non possa più fare a meno della tecnologia e delle sue potenzialità.

Quello che è il proprio cellulare o PC (sia personale che aziendale), seppur rimane il miglior alleato dell’essere umano (basti pensare all’importante ruolo condotto oggi dallo smart working), nasconde tutte una serie di insidie che spesso sono ignorate o, semplicemente, alcune volte, addirittura accettate in termini di rischi.

I recenti attacchi tesi allo spionaggio, all’estorsione o al semplice inganno, hanno dimostrato quanto la componente umana sia indispensabile per evitare che atti del genere possano causare danni personali o a terzi.

Per quanto si possa istruire un cittadino o un dipendente di un’azienda a non cadere nei tranelli di un’e-mail di phishing, l’attaccante sarà sempre in grado di puntare sulle sue vulnerabilità, attraverso anche processi e tecnologie sempre diverse, che in un modo nell’altro risulteranno, anche in minima parte, vincenti.

È ormai diventata una questione di tempo, non bisogna chiedersi più se avverrà un attacco, ma quando. Per questo motivo, oltre ad un approccio pressoché accademico e tecnico, sicuramente molto utile per comprendere meglio la tipologia di un attacco, in principio sarebbe meglio puntare sull’intelligenza emotiva.

Non potendo pretendere delle competenze tecniche da tutti, ciò che può essere d’aiuto è la capacità di riconoscere quelle che sono le proprie emozioni, quelle degli altri nonché come saperle gestire e controllare per ridurre non solo lo stress comportamentale, ma anche come agire sul lato razionale che è essenziale in molte situazioni complesse.

Dal lato dell’operatore cyber, che si tratti di un’analisi, di un controllo o di una azione di remediation, lo sviluppo o il miglioramento dell’intelligenza emotiva può fare davvero la differenza in termini non solo di resilienza, ma anche di proattività e mitigazione della minaccia.

In questo senso, utilizzando quelli che sono i concetti di Goleman, essa rappresenta un’attitudine, una forma mentis in grado di viaggiare su due fronti contemporaneamente:

  • Il proprio tessuto valoriale e conoscitivo: in direzione di quella che è la “self-awareness” in relazione alla gestione di emozioni forti contrastanti e deleterie al fine di poter gestire al meglio una possibile situazione, un incidente o un singolo elemento stressante (intelligenza intrapersonale).
  • Tutto quello che c’è al difuori di sé stesso: la capacità di capire il mondo esterno, comprendere l’altro e le proprie emozioni e contestualizzare quello che un evento in rapporto a diverse variabili (intelligenza interpersonale).

In generale, quella che è l’intelligenza emotiva si focalizza su alcuni aspetti davvero importanti quali l’attenzione, la flessibilità e la reattività. In questi termini, soprattutto nell’ultimo caso, assume un valore determinante se si prende in considerazione tutta la tematica dei Bias cognitivi.

L’essere umano, oltre che conoscere bene quelli che sono i suoi limiti cognitivi, necessita di essere istruito anche verso quello che è il controllo emotivo. Corsi specifici andrebbero promossi in questo senso, soprattutto nel campo della cyber security.

Per quanto possa sembrare strano, in realtà gran parte del “repertorio comportamentale” umano è gestito e condizionato dalle emozioni: più le si conosce e più si sarà in grado di comprenderle e gestirle. In virtù del raggiungimento di tale scopo, si delineano i quattro domini dell’intelligenza emotiva, che andrebbero migliorati, identificati dallo stesso Goleman:

  • Self-Awerness: consapevolezza di sé stessi.
  • Self-Management: autocontrollo e gestione delle proprie azioni.
  • Social Awareness: empatia e consapevolezza organizzativa.
  • Relationship Management: gestione delle relazioni, dei conflitti e delle persone.

Cyber security e intelligenza emotiva: il ruolo dei CISO

Se da un lato si sta studiando l’importanza dello sviluppo dell’intelligenza emotiva soprattutto a livello manageriale, come anche abilità fondamentali dei nuovi CISO (Chief Information Security Officer) di domani, dall’altro si fatica ad accettare lo stesso tipo di ragionamento in riferimento a qualunque altro dipendente o cittadino.

CISO: che fa e come si diventa Chief Information Security Officer

Sarebbe necessario diffondere in questo senso una vera e propria cultura del “benessere emotivo”, volta a comprendere tutta una serie di competenze e capacità che l’essere umano possiede e potrebbe sviluppare.

Le competenze tecniche necessitano di altrettante abilità più “umane”, se realmente si vuole affrontare l’ignoto tanto studiato dalla cyber security.

La sicurezza informatica è ormai una parte fondamentale del business di qualunque azienda e per questo motivo è importante ascoltare l’altro e sapersi ascoltare per comprendere e agire efficacemente, piuttosto che pensare alla mera reazione istintiva.

La sicurezza è un tema che coinvolge chiunque, ognuno deve sentirsi responsabile delle proprie azioni affinché si possa tutelare il patrimonio informativo personale e di un’organizzazione.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5