013PS Psicologia del Lavoro e delle Organizzazioni (AA 2021-22)
DR TIZIANA C CALLARI
MODULO 3
Today’s class S ECURITY IN THE ICT
Approcci alla
cyber-security
Introduzione
La sicurezza comportamentale riguarda la sicurezza personale dei singoli lavoratori ed è spesso connessa con la sicurezza degli altri membri dell’organizzazione (ma può avere ripercussioni anche nell’ambiente esterno)
Gli attacchi informatici sono aumentati esponenzialmente durante la pandemia COVID-19
◦ Fattori umani e organizzativi sono i principali contributori e cause delle vulnerabilità tecniche e sociali della sicurezza informatica e informatica di un'organizzazione
Le organizzazioni, per ragioni morali ed economiche, hanno obblighi giuridici per quanto riguarda la sicurezza nei luoghi di lavoro.
- creano sistemi di comunicazione per informare i lavoratori dei pericoli - sviluppano programmi di formazione per i lavoratori
Attacchi informatici
Tra i tipi di attacchi più frequenti, molti riguardano le vulnerabilità dei Fattori Umani (HF):
◦ frodi online
◦ drive by download,
◦ attacchi di Social Engineering (ingegneria sociale) sono la principale minaccia, in quanto prendono di mira il
«people link» /collegamento delle persone, manipolandoli nella divulgazione di informazioni riservate attraverso l'influenza e la persuasione (Bendovschi, 2015; Sabillon et al., 2016; Shabut et al., 2016)
Storicamente, la security è stata generalmente affrontata adottando un punto di vista incentrato sulla tecnologia (technology-centric viewpoint), con poca, se non nessuna, considerazione e comprensione dei processi cognitivi, dei bisogni e delle motivazioni degli utenti finali
◦ grande enfasi sulle soluzioni tecnologiche (ad es. firewall, software antivirus etc) per affrontare potenziali minacce informatiche
Ora per contrastare gli attacchi informatici è necessario un approccio olistico rispetto alle sole
soluzioni tecniche
Il fenomeno di cyber-security come approccio olistico
Approccio socio-tecnico – in cui tutte le componenti interagiscono con utenti per mantenere il sistema in sicurezza.
◦ I componenti possono includere fattori organizzativi, tecnologici e ambientali (Carayon, 2006; Carayon & Kraemer, 2002; Wilson, 2000).
◦ I recenti approcci alla sicurezza informatica includono anche nella prospettiva dell'intero sistema socio-tecnico i problemi di governance e di elaborazione delle politiche, persone come i clienti così come gli hacker e le
condizioni esterne, riferite a condizioni fisiche, tecnologiche ed economiche
◦ Ad esempio, gli aspetti sociali e cognitivi sono stati studiati negli attacchi informatici sanitari con simulazioni basate su scenari che si occupano di comunicazione centrata sul compito o sul team, modelli mentali condivisi e disponibilità di supporto sociale (Deline et al., 2021).
◦ Inoltre, è stato evidenziato che, indipendentemente da quanto la tecnologia sia indipendente dall'uomo, alla fine gli individui si interfacceranno con essa in vari momenti (ad esempio, i dipendenti potrebbero essere coinvolti durante l'installazione, la configurazione e la manutenzione della tecnologia) (Furnell & Clarke, 2012; Schultz, 2005)
ENVIRONMENT COMPONENT
Physical access: Secure building and work areas with locks
Physical and perceived environment: e.g. noise, lighting, office equipment, Interruption from co- workers, office equipment breakdowns
TECHNOLOGY COMPONENT
Operating systems: UNIX, Windows
Hard/software: Bugs, vulnerabilities, updates needed
Security software: Virus protection, vulnerability scans
ORGANISATIONAL COMPONENT
Communication: Interaction among security group
Culture: Organizational security philosophy
Policy: Organizational security guidelines
Structure: Organization of security functions
Implementation: Deploying security design and projects
Strategic issues: Large, organizational security issues
HUMAN COMPONENT
Assessment of security: Individual perception of security status
Experience level: Individual security proficiencies gained over time
Role: Individual assignment of specific security tasks
Training: Individual level of education (either formal or informal) on security
CIS socio-technical system
HUMAN ERROR
- Unintentional errors (slips, lapses)
- Intentional errors (mistakes, violations)
La componente ‘umana’
La Teoria dell'azione ragionata
(Fishbein & Ajzen, 1975)e Teoria del comportamento pianificato
(Ajzen, 1991) spiegare gli errori umani e le violazioni studiando gli atteggiamenti dei dipendenti nei confronti dei comportamenti critici per la sicurezza informatica, poiché gli atteggiamenti predicono in modo diretto l'effettiva intenzione comportamentale di comportamenti non sicuri.
◦ Integrano: Atteggiamenti + Controllo comportamentale + Norme percepite per predire intenzioni e comportamenti.
◦ legate ad azioni deliberate che determinano una violazione indesiderata di una regola di sicurezza, attraverso: le credenze sulle conseguenze percepite di un'azione; le effettive conoscenze sul tema della cybersecurity; le strategie cognitive preferite utilizzate in un processo decisionale,
◦ fattori più sociali e organizzativi come: norme sociali; dilemmi etici; e diversi livelli di controllo comportamentale
percepito dal dipendente (ovvero il grado di libertà percepito per mettere in atto un determinato comportamento e le barriere/abilitanti contestuali in essere, relative a tale determinato comportamento).
◦ Violazioni, evidenziando il ruolo delle norme e dei valori etici nel plasmare gli atteggiamenti dei dipendenti.
Modello Job Demands-Resources.
◦ I comportamenti di sicurezza dipendono sia da processi riferiti specificamente alla sicurezza sia da processi non specifici.
◦ Processo cognitivo-energetico = valutazione delle richieste del lavoro (implica strain ed esaurimento lavorativo)
◦ Processo di disponibilità = valutazione delle risorse offerte dal lavoro (implica engagement lavorativo e disposizione a sforzarsi)
◦ Processo strumentale = percezione del clima di sicurezza (influenza i comportamenti, segnalando quali saranno approvati e quali no)
◦ Processo di reciprocazione (aggiunto in seguito) = i lavoratori adottano comportamenti più sicuri se pensano che questo sia ciò che i manager e l’organizzazione vogliono.
Prestazione di sicurezza – legati alla persona
Tratti di personalità e incidenti
◦ Struttura di personalità come causa degli incidenti. Propensione agli incidenti = la tendenza di una persona ad avere più incidenti rispetto ad altre persone con le stesse caratteristiche a causa di tratti stabili di personalità.
Modello Big Five di personalità: bassa amicalità e bassa coscienziosità predittori del coinvolgimento in incidente
Esposizione e disposizione agli incidenti
◦ Esposizione = il numero di possibilità di incidenti di un certo tipo in un determinato momento e in una determinata area. L’esposizione riguarda la pericolosità dell’ambiente di lavoro.
◦ Disposizione = probabilità che abbia luogo un incidente. Può dipendere da una serie di fattori riguardanti
l’organizzazione e i dipendenti. La disposizione riguarda le particolari circostanze che si danno in un ambiente di lavoro, considerate separatamente dalla natura dell’ambiente in condizioni normali.
Tratti di personalità e comportamenti di sicurezza
◦ Ruolo della personalità nei comportamenti di sicurezza sul lavoro. Lo studio delle sottodimensioni di personalità permette di capire meglio i processi e i meccanismi che mettono in relazione la personalità e gli incidenti.
(Christian et al. 2009)
Cont’d
Percezione di sicurezza del luogo di lavoro
◦ modo in cui i dipendenti percepiscono il loro ambiente lavorativo in relazione alla sicurezza può avere un ruolo nella suscettibilità agli incidenti.
◦ percezione del commitment manageriale per la sicurezza
◦ clima di sicurezza percepito
◦ clima di sicurezza psicologico
Alcune ricerche evidenziano che la percezione di sicurezza sembra avere un ruolo più importante e indipendente dei fattori di personalità nella suscettibilità agli incidenti.
Problemi di sicurezza nel lavoro (caratteristiche del lavoro)
• Sicurezza di processo (collegata direttamente all’attività di lavoro primaria; danni non necessariamente
coinvolgono i lavoratori) e sicurezza personale (non collegata direttamente all’attività di lavoro; danni riguardano sempre i lavoratori).
• Richieste e risorse lavorative: a) trade-off sicurezza e produzione. Svolgere il proprio lavoro in modo efficiente VS.
farlo in modo sicuro: risorse sicurezza bilanciate con quelle per la produzione; b) autonomia lavorativa. Autonomia è richiesta per la produttività, ma non sempre è una risorsa in termini di sicurezza.
• Automazione. Gli effetti dell’automazione sulla sicurezza non sono ancora chiari. Sistemi tecnologici sempre più complessi che si possono sempre meno controllare attivamente.
Prestazione di sicurezza – legati alla situazione
Cont’d
La sicurezza nel lavoro in team
Supporto sociale, sicurezza psicologica e clima di sicurezza di gruppo.
◦ Il supporto sociale è un fattore importante per la promozione della sicurezza.
◦ La sicurezza psicologica, come aspetto del supporto è definita la percezione che in un team si possano serenamente correre rischi interpersonali (far sentire la propria voce all’interno di un gruppo).
◦ Il clima di sicurezza sono le percezioni condivise in materia di politiche, procedure e pratiche di sicurezza.
Comportamento a livello di gruppo. Importanza del coordinamento, ovvero la gestione delle interdipendenze rispetto al compito.
◦ Due meccanismi di coordinamento:
◦ esplicito (costruzione di un terreno comune e i conseguenti processi decisionali)
◦ implicito (assunzioni e conoscenze condivise che permettono ai membri di coordinare la propria attività con facilità)
Cont’d
La leadership
Stili di leadership
◦ Trasformazionale (motivare i dipendenti attraverso l’ispirazione e il carisma) è correlata positivamente agli esiti di sicurezza e contribuisce alla safety participation; importante per promuovere comportamenti sicuri.
◦ Transazionale (scambio di vantaggi a soddisfazione di reciproche aspettative) contribuisce alla safety participation e alla safety compliance.
Leadership condivisa. Le funzioni di leadership possono essere assolte non solo dal leader formale, ma anche da altri membri del team. Nei team che svolgono attività rischiose, la leadership condivisa
contribuisce alla sicurezza (ad esempio, l’equipaggio di un aereo, un team di medicina d’urgenza).
I surrogati della leadership. In alcuni situazioni la leadership è meno importante dell’azione di surrogati
più esperti che sanno cosa fare senza bisogno della guida del leader.
Studio dei processi cognitivi
I comportamenti non sicuri possono scaturire da:
◦ Malfunzionamenti dei processi mentali (errori cognitivi)
◦ Violazioni = inosservanza consapevole delle regole sulla sicurezza
Tuttavia, solo alcuni di essi hanno un intento doloso (es. atti di sabotaggio), mentre la grande
maggioranza è il risultato di configurazioni inadeguate degli elementi di lavoro, che causano violazioni accidentali e non intenzionali, nonché azioni deliberate con intento non doloso
(Rasmussen, 1974, 1983;Reason, 1990, 2000).
Incorrect Security Actions Error/ Violation
Type Description
Accidental and non-deliberate actions determining a violation of a security rule
Slips
Skill-based
Incorrect actions in tasks that are routine and require only occasional conscious checks; these errors are related to the attention of the individual performing actions relevant for security
Lapses Skill-based
Memory failures in actions relevant for security, such as omitting a planned action, losing one’s place, or forgetting security-relevant intentions
Deliberate actions determining an unwanted violation of a security rule
Rule Based Mistakes
Application of a bad rule relevant for security
Inappropriate application of a good rule relevant for security
Knowledge Based Mistakes
Intentional act involving faulty conceptual knowledge, incomplete knowledge, or incorrect action specification, leading to the unwanted violation of a security policy or procedure
Deliberate violations of a security
procedure with no malicious intent Violations Intentional deviation from security policies or procedures due to underestimation of security consequences (can be either routine or exceptional)
Deliberate violations of a security procedure with malicious intent
Malicious Violations
Intentional deviation from security policies or procedures for the purpose of sabotaging the system
Comportamenti positivi
Due tipi di comportamenti positivi:
◦ Safety compliance adesione alle regole e alle procedure di sicurezza. Il rispetto delle regole è considerato parte integrante dell’attività lavorativa.
◦ Safety participation comportamenti che contribuiscono in maniera attiva ad accrescere la sicurezza sul luogo di lavoro. Non sono parte integrante dell’attività lavorativa, ma contribuiscono a ridurne i rischi. Questi
comportamenti sono associati a un minor numero di incidenti e infortuni sul lavoro.
oScale di misura per la Safety Participation
oScale di misura per la Safety Citizenship (cittadinanza per la sicurezza)
Contromisure
Dipendenti consapevoli e formati riducono al minimo il verificarsi di azioni accidentali e non deliberate che determinano una violazione delle regole di sicurezza informatica, svolgendo un ruolo significativo nel ridurre al minimo i rischi per la sicurezza delle informazioni e proteggere le risorse critiche
dell'organizzazione e la preziosa proprietà intellettuale (Abawajy, 2014; Albrechtsen, 2007 ; Eminağaoğlu et al., 2009; Knapp et al., 2009).
Comprendere le diverse sfumature degli errori umani e delle violazioni può aiutare a identificare le aree con il maggiore impatto sulla sicurezza generale del sistema (vedere nella Tabella 1 una descrizione degli errori e dei tipi di violazione adattata da: Carayon et al. 2005).
Questo è il presupposto alla base delle contromisure non tecnologiche ben consolidate in letteratura, in contrasto con le misure di sicurezza tecniche e informatiche "dure" (ad es. Bendovschi, 2015; D'Arcy &
Hovav, 2009; Nicho, Fakhry, Egbue, 2018).
◦ Tali iniziative di mitigazione sono proposte per potenziare il fattore umano nell'organizzazione e sostenere che l'organizzazione sia più efficace contro attacchi e minacce informatiche. In quanto tale, si sostiene che gli esseri
Le organizzazioni hanno politiche, processi e procedure formali per guidare i dipendenti a mantenere il sistema sicuro.
◦ Le organizzazioni si aspettano che i loro dipendenti siano conformi a loro;
◦ Procedure formali stesse non considerano il comportamento umano modi in cui gli esseri umani possono configurare e utilizzare un sistema in modo imprevisto, e.gprendere scorciatoie in nome del miglioramento dell'efficienza o semplicemente di essere utili, anche se ciò implica l'attuazione di una violazione (Dekker 2003;
Gael, Rene & Christine, 2009; Schultz, 2005; Stanton et al., 2005).
◦ Motivazione: procedure informali e valutazioni intuitive costi-benefici in cui le potenziali conseguenze negative del proprio atto sono sovrappesate dai benefici attesi (ad es. password che vengono scritte o trasmesse ai colleghi) Quando le politiche e le regole organizzative sono ritenute dai dipendenti troppo lunghe, non vengono
le procedure dovrebbero essere viste come risorse per l'azione anziché come aspettative sul comportamento umano.
◦ Le procedure devono essere comunicate, e comprese
La componente ‘organizzativa’
Cont’d
Gli utenti vedono la CIS come una disciplina tecnologica gestita solo da professionisti della sicurezza
◦ Scarsa comunicazione con gli utenti finali sui comportamenti di sicurezza corretti (Albrechtsen, 2007).
◦ I documenti di sicurezza
mancanza di tempo per leggerli;
mancata comunicazione su dove sia disponibile la documentazione
mancanza di incentivi per lo studio della documentazione
mancanza di conoscenze per comprendere le istruzioni di gestione del CIS.
Contromisure
Migliorare la comunicazione
(Albrechtsen, 2007).◦ Per evitare possibili violazioni della sicurezza.
◦ Per promuovere la motivazione degli utenti a cercare in modo indipendente informazioni sulla sicurezza
Creare una forte clima di sicurezza organizzativa e cultura della sicurezza
(Da Veiga ed Eloff, 2010)◦ Cultura della sicurezza = somma delle credenze e norme relative alla sicurezza che sono condivise dalla maggior parte dei membri di un’organizzazione e che trovano espressione nel modo in cui la sicurezza è gestita.
◦ Clima di sicurezza = percezioni condivise dei dipendenti su com’è gestita la sicurezza sul luogo di lavoro.
◦ Nel complesso, le organizzazioni che danno importanza alla sicurezza hanno prestazioni ed esiti di sicurezza migliori rispetto alle organizzazioni che non lo fanno.
o riflette il modo in cui il management gestisce e tratta i problemi di sicurezza
o qualità del supporto alla gestione esecutiva e le revisioni continue e l'integrazione di determinati cambiamenti
o contribuire a ridurre al minimo il rischio derivante dal comportamento dei dipendenti durante l'interazione e l'elaborazione delle informazioni.
o Interesse e l'attenzione del management in quanto sono in grado di incidere sui rischi di cyber-minacce e attacchi legati alla componente umana
La componente ‘tecnologica’
Security centrata sull'utente
◦ l'implementazione dei principi di UX per migliorare l'usabilità è ancora una questione aperta per quanto riguarda l'attuale implementazione della CSI nelle organizzazioni.
◦ Failure to do so: meccanismi di sicurezza difficili da utilizzare; applicazione inadeguata degli strumenti e delle funzionalità di sicurezza informatica, limitando così in definitiva la loro efficacia errori umani
Contromisure
L'interfaccia utente adattiva e/o personalizzata (adaptive interface/systems)
Miglioramento dell'interazione uomo-computer (HCI) - e in particolare del design dell'interfaccia e dell'interazione UX
(Johnston & Hale 2009).◦ riduce l'effettivo uso improprio di strumenti tecnici come un software o una procedura
◦ migliora gli atteggiamenti positivi verso il corretto utilizzo di software e procedure specifici
◦ migliora la comprensione degli aspetti di cyber-security
◦ migliora la sicurezza dei sistemi
Aspetti etici
Le questioni etiche sono state una questione critica nella sicurezza informatica (Christen, Gordijn, & Loi, 2020; Macnish & van der Ham, 2020; Morrow, 2018; Warren & Burmeister, 2019) - in particolare nel settore sanitario (Argaw, et a., 2020 ; Loi et al., 2019; Weber et al., 2018).
◦ crescente implementazione di database di informazioni sanitarie elettroniche (1) ha migliorato la comunicazione tra organizzazioni sanitarie e operatori sanitari (2) preoccupazioni relative al rapporto tra pazienti e operatori sanitari e professionisti su come la privacy, l'integrità e la disponibilità dei dati sono amministrati e protetto
Importanza di:
(1) Rispettare l'autonomia per un paziente di decidere in merito alle cure mediche (2) Ridurre i rischi per i pazienti derivanti da azioni/interventi medici
(3) Garantire che vengano prese le migliori decisioni per migliorare lo stato di salute e la qualità della vita dei pazienti
(4) Giustizia tensione che si crea quando, al fine di garantire la privacy e l'autonomia del paziente (es. protezione e crittografia della password del paziente), in situazioni di emergenza (es. quando il paziente non è più in grado di concordare l'accessibilità dei dati, e/o quando si condividono i dati del paziente tra gli operatori sanitari per migliorare la qualità e l'efficienza del trattamento)
References (in this class/
Module)
CAP.6 -- Chmiel, N., Fraccaroli, F., & Sverke, M. (Eds.). (2019).
Introduzione alla Psicologia delle organizzazioni. Bologna: Il Mulino.
Approfondimenti:
Abawajy, J. (2014). User preference of cyber security awareness delivery methods. Behaviour & Information
Technology, 33(3), 237-248.doi:10.1080/0144929X.2012.708787
Christian, M. S., Bradley, J. C., Wallace, J. C., & Burke, M. J.
(2009). Workplace safety: A meta-analysis of the roles of person and situation factors. Journal of Applied Psychology,
94(5), 1103-1127. doi:10.1037/a0016172
Pollini, A., Callari, T. C., Tedeschi, A., Ruscio, D., Save, L., Chiarugi, F., & Guerri, D. (2021). Leveraging human factors in cybersecurity: an integrated methodological approach.
Cognition, Technology & Work. doi:10.1007/s10111-021-
