Un vecchio proverbio dice che la prudenza non è mai troppa: se questo è vero nella vita “reale”, lo è ancora di più negli ambienti digitali, dove quotidianamente interagiamo e trascorriamo una considerevole parte delle nostre giornate.
Ma qual è il costo psicologico ed emotivo di una costante attenzione alla cybersecurity? Hai mai sentito parlare di cybersecurity fatigue?
Leggi il nostro articolo e scopri di cosa si tratta!
La pandemia di Covid-19 ha costretto milioni di persone a lavorare da casa, adottando formule di remote working e smart working: questo ha da un lato portato ad una maggiore flessibilità nella gestione dei tempi e degli spazi da dedicare al lavoro, dall’altro ha spalancato le porte ad attacchi informatici ai danni dei lavoratori, spesso impreparati a gestire i pericoli di internet nell’ambiente domestico.
Purtroppo, i delitti informatici sono in continuo aumento: un report de Il Sole 24 Ore mostra come nel primo semestre del 2021 ci siano stati 800 reati informatici ogni giorno. Molte di queste intrusioni sono facilitate da disattenzioni degli utenti, stanchi di dover costantemente aggiornare antivirus, password e sistemi di protezione.
Diventa sempre più importante il tema della cybersecurity fatigue, un aspetto che riguarda sia chi gestisce la sicurezza informatica nelle aziende, i CISO (Chief Information Security Officer), sia chi lavora con internet ad un livello più ordinario.
Cosa è la Cybersecurity Fatigue?
Con il termine cybersecurity fatigue ci si riferisce alla condizione di perdita di interesse e concentrazione nei confronti dei sistemi di protezione, che porta una persona ad assumere rischi potenzialmente dannosi per sé e per l’azienda in cui lavora.
Modificare password, dimenticare credenziali, creare l’ennesimo account per acquistare prodotti online… quando queste piccole scelte diventano troppe ci si sente sopraffatti e si inizia a preferire la comodità alla sicurezza. A peggiorare questa situazione contribuiscono gli stessi sistemi di protezione, con procedure che aumentano ancora di più gli step necessari per difendersi (ex. autenticazione a due fattori, VPN).
E anche quando c’è una conoscenza dei rischi digitali, per esempio grazie ad una formazione aziendale classica, non è detto che i comportamenti delle persone cambino: comprendere qualcosa è diverso dal metterlo in pratica e, se manca un legame con la società, è possibile che i dipendenti non si sentano responsabili delle proprie scelte in merito alla sicurezza online. Che fare?
Cybersecurity: Quantità, responsabilità, tradeoffs
Ripetere i concetti spesso aiuta a farli sedimentare nella mente delle persone, ma a volte può risultare controproducente. È quello che emerge dallo studio “Security Fatigue” pubblicato dalla rivista IT Professional: il campione di persone intervistato si è dichiarato stanco e sopraffatto dalle costanti richieste, esortazioni e training rispetto ai temi di cybersecurity.
Inoltre, ci sono tre domande che si pongono gli intervistati e che ci possono aiutare a trovare soluzioni per questo problema.
- Perché proprio io? Molti intervistati hanno dichiarato di non percepire il rischio di subire attacchi informatici. Spesso non sono stati bersaglio di truffe o frodi e questo li porta a pensare che in futuro sarà ancora così. Inoltre, ritengono di non possedere dati sensibili di cui preoccuparsi.
- Non è la mia responsabilità!? Per sfuggire alla cybersecurity fatigue, alcuni intervistati hanno scelto di delegare ad organi esterni la propria sicurezza. Questa tendenza è motivata anche dall’idea di non comprendere come funzioni la sicurezza online e di non essere all’altezza del compito.
- Serve davvero a qualcosa? Molti intervistati pensano che, anche adottando soluzioni sicure per i propri dispositivi, ci sarà sempre qualcuno che le saprà violare. Questa prospettiva fatalista si lega al fatto che impegnarsi sul fronte della sicurezza non porta a conseguenze visibili ed immediate.
Come rispondere alla cybersecurity fatigue?
Da questo studio possiamo notare che le persone, quando si interfacciano con la sicurezza informatica, scelgono di evitare le procedure troppo articolate: stare attenti ad ogni possibile minaccia in rete non porta benefici tangibili.
Inoltre, abbiamo scoperto che chiedere direttamente e costantemente alle persone di fare attenzione quando lavorano online è controproducente: bisogna trovare un’alternativa, un modo di veicolare concetti importanti che non sia percepito come la solita imposizione dall’alto.
Per modificare i comportamenti, ci aiuta l’economia comportamentale, e in particolare la teoria dei nudge, alla quale abbiamo recentemente dedicato un articolo.
La teoria dei nudge è stata messa alla prova in tanti contesti, e ha spesso portato a cambiamenti importanti nel comportamento delle persone: per questo riteniamo che possa essere un alleato nella gestione della cybersecurity fatigue.
Cyber-Nudges
Quali possono essere degli esempi di nudges in ambito cybersecurity?
- Posizionare nell’ambiente poster o promemoria creativi che incoraggino abitudini sicure online.
- Condividere statistiche anonime riguardo alla percentuale di utenti/dipendenti che attuano procedure sicure, come aggiornare regolarmente i programmi e segnalare e-mail sospette.
- Creare degli avvisi, da far comparire in momenti precisi, che mostrino come piccole scelte possano avere un grande impatto sulla sicurezza (ex. modificare le proprie password, pensare prima di cliccare su file sconosciuti).
- Sfruttare i principi della gamification per rendere la sicurezza online interessante, grazie a ricompense virtuali e sfide. Come dimostra questo studio.
Le possibilità sono innumerevoli, ma tutte partono dall’entrare in empatia con la situazione che si vuole modificare: è solo comprendendo ciò che provano gli utenti che si può sviluppare una soluzione che risponda ai loro bisogni.
Vuoi scoprire come introdurre queste soluzioni nella tua organizzazione? Contattaci!