Premiare un comportamento positivo consente di innalzare il livello di sicurezza in azienda e trasformare i dipendenti nella prima reale linea di difesa effettiva dai cyber attacchi.
Come sapranno gli appassionati della Formula Uno, nel 2018 le auto da corsa più veloci al mondo hanno subito un restyling alquanto discusso. È stato aggiunto un nuovo dispositivo, una barra curva detta “Halo”, progettata per proteggere le teste dei piloti in caso di incidente. La proposta risaliva al 2016, ma venne condannata all’unisono dalla Drivers Association. Romain Grosjean (pilota di Formula 1 e, al tempo, Presidente della Grand Prix Drivers Association) dichiarò: “Personalmente credo che sia stato un giorno triste per la Formula Uno quando ne è stata annunciata l’introduzione e sono ancora contrario.” Nonostante il rifiuto, le questioni di sicurezza superarono le obiezioni e l’Halo fu resa obbligatoria a partire dalla stagione 2018.
Stando all’ultimo Verizon Data Breach Investigations Report (DBIR) del 2022, l’82% delle violazioni ha a che fare con un elemento umano, ovvero l’uso di credenziali rubate, phishing, l’abuso delle stesse credenziali o semplicemente un errore dell’utente. Immaginiamo ora che i dipendenti (quindi l’elemento umano) siano i nostri piloti in gara.
Neil Thacker, CISO EMEA di Netskope
Esattamente come i piloti, i dipendenti vogliono muoversi rapidamente e, talvolta, sembrano gettarsi a capofitto nei rischi, nel tentativo di soddisfare le loro ambizioni e quelle della propria azienda. Man mano che le aziende crescono e puntano a un “go-to-market” più rapido e più efficiente, con nuovi prodotti e servizi digitali, questa velocità deve essere sì resa possibile ma con controlli di sicurezza che fungano da “guardrail” e proteggano i dipendenti.
Sin dalla sua introduzione nelle gare con vetture sportive a ruote scoperte, l’Halo ha dimostrato di salvare i piloti in occasione di incidenti gravi e fatalità. Charles Leclerc, in lizza per il campionato 2022, è uscito illeso da un bruttissimo incidente nella sua prima stagione in F1 nel 2018, dopo che un’automobile era finita sulla sua Halo (e non sulla sua testa!). Le immagini del sette volte campione del mondo, Lewis Hamilton, con l’auto del rivale Max Verstappen che finisce sulla sua autovettura, a pochi millimetri dal suo casco, scorrono ancora regolarmente sui canali TV sportivi.
Tuttavia, forse l’esempio più ironico del successo di questa barra è proprio il salvataggio della vita di Romain Grosjean in Bahrein: l’automobile si spezza in due contro una barriera, le fiamme la avvolgono, ma Grosjean se la cava solamente con delle leggere ustioni. Grosjean ovviamente ha cambiato la propria posizione rispetto alla Halo, affermando che gli ha salvato la vita e che si tratta della “cosa migliore mai introdotta nella F1”.
Halo
È dunque chiaro: collocare un dispositivo “attorno al pilota” e che punta esclusivamente alla sua protezione, consentendogli di assumersi i rischi necessari a proseguire la gara, ha fatto bene ai team, allo sport e ai fan.
Bene, quello che vale per i piloti in gara, vale anche per i dipendenti nelle aziende e nelle organizzazioni.
I team di IT e sicurezza devono garantire che la protezione fornita sia il motore alla base della velocità e della crescita per la loro azienda, anche abbracciando il digitale e il cloud. Occorre consentire ai dipendenti di andare più veloci, ma protetti da minacce e rischi sia vecchi che nuovi.
Similmente alla F1, una risposta efficace prevede la creazione di un “effetto Halo” attorno a ciascun dipendente. Il primo passo è usare un avviso pop-up o insegnamenti just-in-time, ogni volta in cui un dipendente prende una decisione che prevede un rischio. All’inizio potrebbe risultare fastidioso per il dipendente, tuttavia, con un’implementazione corretta, la notifica e il coaching serviranno solamente se viene identificata tutta una serie di rischi elevati, riducendo al minimo il disagio.
Poi, lo stesso “effetto Halo” può essere usato anche per promuovere un comportamento corretto e non solo per focalizzarsi su uno sbagliato. In Netskope, ad esempio, ai dipendenti suggeriamo di assumersi le proprie responsabilità, di agire e di comunicare qualsiasi comportamento sospetto. I nostri prodotti e servizi si basano sul garantire che le aziende possano usare in modo sicuro e sano il web e il cloud, nonostante i molti rischi che si osservano a riguardo.
Non solo usiamo in modo massiccio i nostri stessi prodotti, ma conduciamo anche una campagna che chiamiamo “caccia del giorno” e che assegna un premio ai dipendenti che rilevano e-mail sospette di phishing o tentativi di acquisire credenziali. In questo modo garantiamo al nostro personale e ai nostri processi di essere maturi tanto quanto i nostri controlli tecnici.
Consentire l’“effetto Halo” vuol dire premiare un comportamento positivo. Spesso porto questo esempio: se ogni persona dedica almeno un minuto al giorno alla sicurezza, ottengo l’equivalente di due nuovi team di sicurezza “virtuali” full time per ogni 1.000 dipendenti presenti in azienda. È una statistica che spinge le persone a fermarsi e riflettere.
Una volta che un dipendente vede i vantaggi dell’approccio Halo, è più informato del rischio correlato alla sua attività e può prendere una decisione più ponderata prima di agire. Similmente a Romain Grosjean che aveva scartato immediatamente la barra Halo per la F1, ora il controllo di sicurezza diventa una componente essenziale per proteggere il dipendente e, una volta averne appurato chiaramente vantaggi e benefici, potrebbe trattarsi semplicemente della cosa più geniale mai introdotta nella tua strategia di sicurezza.
Neil Thacker è CISO EMEA di Netskope