Cybersecurity: fattore umano e reputazione online


Intervista a Isabella Corradini

Il mondo dell’ICT, Information & Communication Technology, fa ormai parte della nostra vita, da quando ci svegliamo la mattina e controlliamo i messaggi sul nostro telefonino, a quando lavoriamo o prenotiamo un viaggio per le nostre vacanze, usando qualsiasi dispositivo digitale a nostra disposizione. Inseriamo una quantità impressionante di dati sui social, ma soprattutto il nostro smartphone è diventato una estensione della nostra identità ma anche del nostro portafogli. Quello della banca su APP è stato uno dei temi del Banking Forum 2019 organizzato a Milano dalla società di Ricerca IKN. In particolare il tema della cybersecurity è diventato di grandissima importanza. Ma anche il futuro del lavoro ed il rapporto con le nuove tecnologie quali l’Intelligenza Artificiale.
Ne abbiamo parlato a lato della Conferenza con Isabella Corradini, Presidente del Centro di Ricerche Themis ed esperta internazionale di sicurezza con approccio basato sul fattore umano (Cybersecurity e Safety), e autrice di numerose pubblicazioni.

L’INTERVISTA

In molti tuoi interventi a convegni parli di “visione umana” della cybersecurity. Che cosa intendi con questa affermazione?

Ho maturato esperienze nell’ambito della sicurezza fisica e della sicurezza sul lavoro, dove il fattore umano è

Isabella Crradini
Isabella Crradini, psicologa sociale e criminologa, esperta in tematiche di sicurezza.
E’ anche Presidente e Direttore Scientifico del Themis Research Centre.

importantissimo per la prevenzione degli incidenti. Oggi, quando parliamo di cybersecurity dobbiamo avere lo stesso approccio, considerando l’essere umano un elemento imprescindibile della strategia di sicurezza. Ancora oggi questo aspetto viene molto trascurato a vantaggio di soluzioni hardware e software, che certamente servono, ma che da sole non risolvono il problema delle minacce informatiche. Dobbiamo rafforzare la consapevolezza delle persone rispetto al rischio cyber: se non lo facciamo, abbiamo un problema, ed è proprio quello che sta accadendo.

L’anello debole

Se tutti concordano sul fatto che l’anello debole della catena della sicurezza è l’essere umano, noi dobbiamo lavorare per farlo diventare il punto di forza. Cosa ci dicono i vari report sulla sicurezza informatica? Che la maggior parte dei casi di violazione dei dati è legata al comportamento umano: la curiosità, la distrazione, la fretta, l’imprudenza sono esempio di fattori e condizioni su cui i cybercriminali fanno leva. L’esempio classico è la mail di phishing, una minaccia sempre efficace, visto che sono ancora molti coloro che aprono fidandosi a priori di chi invia il messaggio.
Le cosiddette tecniche di “ingegneria sociale” funzionano perchè sfruttano il lato umano, manipolando la percezione dell’utente attraverso messaggi costruiti appositamente. Inoltre, i cybercriminali possono contare sulla disponibilità di informazioni, anche personali, reperibili sui vari social network, in modo da selezionare e colpire la vittima con maggiore efficacia. Se ci impegniamo a lavorare sull’educazione delle persone, insegnando a gestire in maniera adeguata i rischi legati all’ambiente digitale, saremo in grado di fare passi avanti anche nella prevenzione del cybercrime.

Cybersecurity oggi: è cresciuto il rischio rispetto al passato? Qual è la situazione nel Banking?

Sicuramente la sensibilità al tema della cybersecurity è cresciuta molto negli ultimi anni. Siamo sempre più connessi, crescono le applicazioni di Internet delle Cose e dell’Intelligenza Artificiale. È però evidente che l’interdipendenza ci rende vulnerabili. Questo vale per le persone, ma ancora di più per le imprese. Le analisi condotte dal World Economic Forum parlano chiaro: il cyber risk è tra i rischi più sentiti a livello globale, ed i manager delle organizzazioni sono giustamente preoccupati. Il settore bancario ovviamente “fa gola” ai cybercriminali. Basti pensare al data breach che ha coinvolto quest’anno l’istituto finanziario americano Capital One, che ha dovuto ammettere la violazione dei dati di almeno 100 milioni di clienti. Nel passato l’attenzione delle banche era soprattutto sul crimine predatorio, come la rapina alla singola filiale, le cui conseguenze restano però circoscritte (anche se gravi in alcuni casi).

I rischi di oggi

Oggi lo scenario dei rischi è cambiato, e la preoccupazione maggiore è che un attacco informatico può compromettere l’intero sistema dei pagamenti – non quindi di una singola banca – creando un effetto domino devastante. Pertanto, al tema della cybersecurity si lega quello della reputazione, dal momento che una violazione di dati, tra le varie conseguenze, può mettere a serio rischio il rapporto fiduciario che una banca ha con i clienti e, quindi, la sua credibilità.

Da settembre è entrata in vigore in Italia la normativa PSD2. Ritieni che come europei i nostri dati bancari siano più sicuri oggi? Cosa succede con il consumatore?

Credo che dovremo monitorare quello che succederà nei prossimi mesi. Al momento ci sono moltissime persone che non sanno nemmeno cosa sia la normativa PSD2, e come dicevamo prima il fattore umano è fondamentale. Due riflessioni immediate: il fatto stesso che l’Unione Europea abbia insistito per aumentare la sicurezza nella protezione dei dati dimostra che il problema esiste e ciò che facevamo prima non è più sufficiente. Inoltre, gli slogan basati sulla facilità di effettuare le operazioni “con un click” devono essere rivisti, considerato che la sicurezza richiede un adeguamento. La normativa prevede di rendere più sicuri i pagamenti online ed in generale le operazioni bancarie attraverso la cosiddetta “autenticazione a due fattori”. Significa che ogni singolo pagamento deve essere autorizzato dal cliente attraverso almeno due passaggi, che prevedono l’utilizzo di almeno due fattori identificativi, quali ad esempio il PIN, la password, l’impronta digitale, il riconoscimento facciale. In questo caso lo smartphone del cliente gioca un ruolo molto importante, perché è lì che si concentra tutto. A mio avviso, però, non è molto sicuro “riporre tutte le uova in un paniere”, cioè immagazzinare nel proprio smartphone tutte le informazioni personali, incluse quelle finanziarie.

La sicurezza

Cosa succede se il cliente subisce il furto del telefono? Il consumatore spesso vede solo l’aspetto della semplificazione delle operazioni commerciali; occorre invece indurlo a pensare agli aspetti di sicurezza. Poi c’è anche il problema di chi non ha dimestichezza con le tecnologie digitali e le relative procedure. Ecco perché è importante sviluppare una cultura della sicurezza in grado di coinvolgere tutti i cittadini.

Per le nuove generazioni la reputazione è legata all’online ed ai social, anche il concetto di privacy è completamente diverso rispetto al passato. Quali sono le principali misure per difendersi dalle insidie della Rete e cosa deve fare un giovane per crearsi una buona reputazione online?

Credo che per le nuove generazioni sia fondamentale la sensibilizzazione all’uso consapevole delle tecnologie digitali, attività che a mio avviso dovrebbe cominciare dalle scuole primarie. Per diventare buoni “cittadini digitali” i giovani devono sviluppare quelle competenze necessarie a sfruttare le opportunità offerte dal contesto digitale, diventando però anche abili a riconoscere e gestire i rischi connessi. Purtroppo oggi il problema esiste: spesso gli adolescenti utilizzano i nuovi strumenti con molta agilità, senza però essere consapevoli delle conseguenze a cui possono andare incontro scambiandosi fotografie, condividendo dati personali, ed altro.

La privacy

Hanno certamente un concetto diverso della privacy rispetto agli adulti e sono anche molto sensibili alla costruzione di una loro reputazione digitale. I social media possono essere, infatti, strumenti molto utili per dare visibilità (positiva o negativa) ad una persona o ad un’organizzazione. Ritengo importante che ragazzi e ragazze sperimentino le nuove tecnologie, perché questo è il contesto in cui si muovono e si muoveranno sempre più; è bene però farlo in modo responsabile, anche nell’ottica di future prospettive di lavoro. Devono infatti considerare che tutto quello che viene postato e condiviso in rete potrebbe un domani essere analizzato dalle aziende per le loro attività di selezione del personale. Molte sono le organizzazioni che effettuano un primo screening dei possibili neo assunti attraverso l’analisi dei profili social dei candidati. E’ un sistema relativamente economico ma che può escludere a priori giovani meritevoli, se effettuato in modo superficiale.

Lavori che scompaiono e nuovi lavori del futuro: un consiglio ad un giovane che sta terminando gli studi e si affaccia al mondo del lavoro.

Nei diversi Master in cui insegno incontro molti giovani interessati a sviluppare competenze nell’ambito della cybersecurity. Si parla spesso di professioni del futuro sempre più centrate sulle competenze informatiche, come il Data Scientist e l’esperto di Intelligenza Artificiale. I lavori del futuro avranno sempre più a che fare con tali competenze, per cui, a prescindere dal lavoro che si intende fare, consiglio di svilupparle adeguatamente. Pensiamo ad esempio alla professione del giornalista, che oggi deve confrontarsi necessariamente con il mondo digitale e con lettori ormai abituati a leggere le notizie più sui social media che sui giornali.

Soft skills

Consiglio comunque ai giovani di sviluppare anche le soft skills: la capacità di comunicare e di relazionarsi efficacemente, la capacità di fare squadra, sono abilità necessarie in ogni tipo di lavoro. Un manager potrà avere grandi capacità imprenditoriali e tecniche, ma non avrà cesso se non sa relazionarsi efficacemente con i suoi collaboratori. Detto questo, l’ultimo consiglio che mi sento di dare ad un giovane è quello di seguire le proprie aspirazioni, perché nel lavoro ci vuole prima di tutto passione: questo è il vero “fattore umano”!

Comments

comments