I progettisti tecnologici iniziano costruendo un prodotto e testandolo sugli utenti. Il prodotto viene prima; l'input dell'utente viene utilizzato per confermarne la fattibilità e migliorarla. L'approccio ha senso. McDonald's e Starbucks fanno lo stesso. Le persone non possono immaginare nuovi prodotti, così come non possono immaginare ricette, senza sperimentarle.
Ma il paradigma è stato esteso anche alla progettazione di tecnologie di sicurezza, dove creiamo programmi per la protezione degli utenti e poi chiediamo agli utenti di applicarli. E questo non ha senso.
La sicurezza non è un'idea concettuale. Le persone già utilizzano la posta elettronica, navigano sul Web, utilizzano i social media e condividono file e immagini. La sicurezza è un miglioramento che si sovrappone a qualcosa che gli utenti già fanno quando inviano e-mail, navigano e condividono online. È come chiedere alle persone di indossare la cintura di sicurezza.
È ora di considerare la sicurezza in modo diverso
Il nostro approccio alla sicurezza, tuttavia, è come insegnare la sicurezza del conducente ignorando il modo in cui le persone guidano. Fare tutto questo garantisce che gli utenti adottino ciecamente qualcosa, credendo che sia migliore, o al contrario, quando costretti, si limitano a rispettarlo. In ogni caso, i risultati non sono ottimali.
Prendiamo il caso del software VPN. Questi sono fortemente promossi agli utenti come uno strumento di sicurezza e protezione dei dati indispensabile, ma la maggior parte lo ha fatto limitato a nessuna validità. Mettono a rischio maggiore gli utenti che credono nelle loro protezioni, per non parlare del fatto che gli utenti corrono maggiori rischi credendo in tali protezioni. Inoltre, considera la formazione sulla sensibilizzazione alla sicurezza ora richiesta da molte organizzazioni. Coloro che ritengono che la formazione sia irrilevante per i loro casi d'uso specifici trovano soluzioni alternative, che spesso portano a innumerevoli rischi per la sicurezza.
C'è una ragione per tutto questo. La maggior parte dei processi di sicurezza sono progettati da ingegneri con esperienza nello sviluppo di prodotti tecnologici. Affrontano la sicurezza come una sfida tecnica. Gli utenti sono solo un'altra azione nel sistema, non diversa dal software e dall'hardware che possono essere programmati per eseguire funzioni prevedibili. L’obiettivo è contenere azioni basate su un modello predefinito di input adeguati, in modo che i risultati diventino prevedibili. Niente di tutto ciò si basa sulle esigenze dell’utente, ma riflette invece un’agenda di programmazione stabilita in anticipo.
Esempi di ciò si possono trovare nelle funzioni di sicurezza programmate in gran parte dei software odierni. Prendiamo le app di posta elettronica, alcune delle quali consentono agli utenti di controllare l'intestazione di origine di un'e-mail in arrivo, un importante livello di informazioni che può rivelare l'identità del mittente, mentre altre no. Oppure prendiamo i browser mobili, dove, ancora una volta, alcuni consentono agli utenti di verificare la qualità del certificato SSL mentre altri no, anche se gli utenti hanno le stesse esigenze su tutti i browser. Non è che qualcuno debba verificare SSL o l'intestazione di origine solo quando si trova su un'app specifica. Ciò che queste differenze riflettono è la visione distinta di ciascun gruppo di programmazione su come il proprio prodotto dovrebbe essere utilizzato dall'utente: una mentalità incentrata sul prodotto.
Gli utenti acquistano, installano o rispettano i requisiti di sicurezza credendo che gli sviluppatori di diverse tecnologie di sicurezza mantengano ciò che promettono, motivo per cui alcuni utenti sono ancora più sprezzanti nelle loro azioni online mentre utilizzano tali tecnologie.
È giunto il momento di adottare un approccio alla sicurezza incentrato sull'utente
È fondamentale invertire il paradigma della sicurezza: mettere gli utenti al primo posto e poi costruire una difesa attorno a loro. Questo non solo perché dobbiamo proteggere le persone, ma anche perché, favorendo un falso senso di protezione, fomentiamo il rischio e le rendiamo più vulnerabili. Anche le organizzazioni ne hanno bisogno per controllare i costi. Anche se le economie del mondo vacillano a causa di pandemie e guerre, la spesa per la sicurezza organizzativa negli ultimi dieci anni è aumentata in modo geometrico.
La sicurezza incentrata sull’utente deve iniziare con la comprensione di come le persone utilizzano la tecnologia informatica. Dobbiamo chiederci: cos’è che rende gli utenti vulnerabili agli attacchi hacker via e-mail, messaggistica, social media, navigazione, condivisione di file?
Dobbiamo districare le basi del rischio e individuarne le radici comportamentali, cerebrali e tecniche. Queste sono state le informazioni che gli sviluppatori hanno a lungo ignorato mentre creavano i loro prodotti di sicurezza, motivo per cui anche le aziende più attente alla sicurezza continuano a subire violazioni.
Presta attenzione al comportamento online
Molte di queste domande hanno già ricevuto risposta. La scienza della sicurezza ha spiegato cosa rende gli utenti vulnerabili all’ingegneria sociale. Poiché l’ingegneria sociale prende di mira una varietà di azioni online, la conoscenza può essere applicata per spiegare un’ampia gamma di comportamenti.
Tra i fattori identificati ci sono convinzioni sul rischio informatico – idee che gli utenti hanno in mente riguardo al rischio delle azioni online e strategie di elaborazione cognitiva – il modo in cui gli utenti affrontano cognitivamente le informazioni, il che determina la quantità di attenzione focalizzata che gli utenti prestano alle informazioni quando sono online. Un altro insieme di fattori sono abitudini e rituali mediatici che sono in parte influenzati dalla tipologia dei dispositivi ed in parte dalle norme organizzative. Insieme, convinzioni, stili di elaborazione e abitudini influenzano il fatto che un elemento di comunicazione online (e-mail, messaggio, pagina web, testo) si attivi. sospetto.
Forma, misura e monitora i sospetti degli utenti
Il sospetto è quel disagio quando si incontra qualcosa, la sensazione che qualcosa non va. Quasi sempre porta alla ricerca di informazioni e, se una persona è armata del giusto tipo di conoscenza o esperienza, porta all'individuazione e alla correzione dell'inganno. Misurando il sospetto insieme ai fattori cognitivi e comportamentali che portano alla vulnerabilità al phishing, le organizzazioni possono diagnosticare ciò che ha reso gli utenti vulnerabili. Queste informazioni possono essere quantificate e convertite in un indice di rischio che possono utilizzare per identificare le persone più a rischio: gli anelli più deboli – e proteggerli meglio.
Catturando questi fattori, possiamo monitorare il modo in cui gli utenti vengono cooptati nei vari attacchi, capire perché vengono ingannati e e sviluppare soluzioni per mitigarlo. Possiamo creare soluzioni attorno al problema riscontrato dagli utenti finali. Possiamo eliminare i mandati di sicurezza e sostituirli con soluzioni rilevanti per gli utenti.
Dopo aver speso miliardi per mettere la tecnologia di sicurezza a disposizione degli utenti, rimaniamo altrettanto vulnerabili agli attacchi informatici è emerso nella rete AOL negli anni '1990. È ora di cambiare questa situazione e di creare sicurezza per gli utenti.
- blockchain
- portafogli di criptovaluta
- cryptoexchange
- sicurezza informatica
- i criminali informatici
- Cybersecurity
- Lettura oscura
- Dipartimento di Sicurezza Nazionale
- portafogli digitali
- firewall
- Kaspersky
- il malware
- Mcafee
- NextBLOC
- Platone
- platone ai
- Platone Data Intelligence
- Gioco di Platone
- PlatoneDati
- gioco di plato
- VPN
- sicurezza del sito Web
