• human factor
• formazione
• nudge
• cyberattack
• awareness

Viviamo in una società che fa delle informazioni un caposaldo della quotidianità, tanto da venire definita come una società basata sulla conoscenza. Questo perché le nostre decisioni, a tutti i livelli, vengono prese e attuate in funzione delle informazioni che sono in nostro possesso. Basti pensare alle conseguenze socioeconomiche che può avere una notizia, veicolata sia attraverso i mass media classici che sui social network, come accade per esempio di questi tempi con la disinformazione a livello sanitario sui vaccini contro il covid-19. Quindi dati alterati, dati sbagliati possono provocare un danno. Questo perché le decisioni prese potrebbero essere alterate in maniera non prevedibile. Inoltre, bisogna evidenziare che le perdite di informazioni permettono a qualcun altro di acquisire un vantaggio competitivo e in ambito militare questo vantaggio potrebbe avere anche risultati molto pericolosi. Queste sottrazioni e/o manipolazioni di dati e informazioni avvengono solitamente mediante delle tecniche di hacking, che possono essere suddivise in tecniche di hacking tecnologico e hacking non tecnologico. L’hacking non tecnologico sfrutta quello che universalmente viene riconosciuto come l’anello debole di ogni infrastruttura informatica, ovvero il cosiddetto human factor. La principale tecnica che appunto sfrutta il fattore umano per arrivare al suo obiettivo è definita come Social engineering. Lo scopo di questo elaborato è quello di affrontare il tema sempre più attuale della formazione del personale nell’ambito della sicurezza informatica, ponendo come obiettivo l’aggiornamento dei metodi di formazione ormai inadeguati. Nel presente lavoro non si vuole porre enfasi sulle grandi aziende internazionali. Verrà anzi prediletto quanto più possibile un focus su un ente in particolare della Marina Militare, ovvero l’Accademia Navale di Livorno. Infatti, gli argomenti affrontati saranno i problemi più attuali per quanto riguarda la formazione dei giovani frequentatori dei corsi dell’Istituto in ambito della cyber security. Dal momento che le sedute di poche ore all’anno, mirate a formare l’Ufficiale al consapevole utilizzo dei social media, adottano una metodologia e un approccio inadatti e anacronistici. Proporrò una formazione dei frequentatori mediante l’impiego dei cosiddetti nudges (teorizzati dal premio Nobel Richard Thaler, il cui motto è “Se vuoi che le persone facciano qualcosa, rendi questa cosa semplice”) che si possono definire come una tecnica di ingegneria sociale, ovvero l’arte di indurre le persone ad avere un comportamento corretto mediante l’utilizzo di “spinte gentili” piuttosto che imponendo divieti e restrizioni. Strettamente legato al tema dei nudges è anche il discorso del coinvolgimento del personale che in ogni ambiente professionale deve essere un caposaldo dei valori condivisi. Infatti, per essere professionisti è necessario anche sentirsi parte di un nucleo. Ho osservato che spesso il giovane ufficiale in formazione non si sente parte dell’organizzazione e perciò ritiene che il suo contributo sia meramente formale e non sostanziale. Questo porta i frequentatori a sottovalutare minacce di social engineering. In particolar modo spesso, dato che siamo la generazione “social”, condividiamo informazioni che potrebbero sembrare banali o addirittura insignificanti, ma come esporrò di seguito non lo sono. Affronterò quindi l’importanza del coinvolgimento del personale dimodoché possa realizzare di poter davvero essere oggetto di un attacco di hacking.