La paura uccide la mente: ripensare le demo

<< COLPIRE LA DOLCE MACCHIA DELL'APPRENDIMENTO INGAGGIATO

INSEGNAMENTO

PERCHÉ IL TUO PUBBLICO DOVREBBE PRESTARE ATTENZIONE E AGIRE >>

Condurre la sicurezza digitale e la formazione sulla privacy per le persone che a volte non sono convinte di averne bisogno può essere un'esperienza frustrante. Può essere allettante cercare di convincere i partecipanti a prendere sul serio sicurezza e privacy facendo un qualche tipo di "dimostrazione di sicurezza" (o demo di sicurezza) che spesso comporta l'hacking degli studenti in qualche modo per dimostrare quanto siano vulnerabili. Alcuni esempi di dimostrazioni di sicurezza includono spiare il traffico di rete non crittografato degli studenti su una rete Wi-Fi, inviando ai tuoi studenti un'email di phishing per convincerli a inserire le credenziali di accesso, installando segretamente malware sui dispositivi degli studenti utilizzando una penna USB o conducendo l'uomo attacchi in-the-middle per acquisire dati crittografati sensibili.

Queste dimostrazioni hanno lo scopo di mostrare ai tuoi studenti quanto sono vulnerabili e di spaventarli nel prendere provvedimenti per proteggere la loro privacy e sicurezza digitali. Se sei un hacker, potresti pensare che sia meglio per i tuoi studenti sperimentare questo tipo di attacco da un hacker "white hat" in una classe piuttosto che da un hacker "black hat" nel mondo reale. Ma le dimostrazioni di sicurezza spesso possono ritorcersi contro, spesso vengono condotte senza il permesso o la consapevolezza dei partecipanti e, cosa più importante, NON aiutano i partecipanti a imparare.

Cosa c'è di così male nelle demo di sicurezza?

Le dimostrazioni di sicurezza sono tecnicamente complicate. Spesso richiedono molto tempo o attrezzature e una preparazione avanzata. Perché sono così complicati, c'è molto che può andare storto. La tua demo di sicurezza potrebbe anche non funzionare.

Anche se la tua demo di sicurezza è tecnicamente riuscita, può distruggere il rapporto di fiducia che hai costruito con i tuoi studenti se non lo fai in maniera etica. La formazione sulla privacy e sulla sicurezza digitale è basata sulla fiducia. I tuoi studenti possono discutere questioni estremamente personali durante i corsi di formazione, come esperienze di molestie, hacking o abuso da parte dei loro partner, familiari o forze dell'ordine. Se si sta installando software, è possibile che ci si possa fidare dell'accesso ai propri dispositivi o agli account di posta elettronica e dei social media. Accedere alle informazioni senza il loro consenso, anche se pensi che sia per il loro bene, è una grave violazione di tale fiducia e può impedire ai tuoi studenti di imparare in modo efficace da te. Ancor peggio, l'accesso a tali informazioni e la visualizzazione dell'intera classe come "esempio" può metterle in imbarazzo, rivelare inavvertitamente informazioni altamente sensibili e portare a * tutti * i partecipanti diffidenti e antipatici.

Le dimostrazioni di sicurezza possono persino essere una violazione della legge. In alcuni stati degli Stati Uniti, l'intercettazione di messaggi vocali di qualcuno o il monitoraggio del loro traffico di rete non crittografato senza il loro consenso può costituire una violazione della legge sul intercettatore. L'accesso all'account di qualcuno senza la sua autorizzazione può costituire una violazione della Legge sulle frodi e l'abuso di computer (CFAA) negli Stati Uniti.

Ma, soprattutto, gli esseri umani non fanno il miglior apprendimento quando hanno paura. La paura può essere un motivatore efficace in alcuni casi, ma sentirsi spaventati significa che il tuo corpo entra in modalità combattimento o fuga e diventa cosparso di adrenalina. Questo può impedire alle persone di apprendere, poiché i partecipanti spaventati spesso si sentono congelati o sopraffatti piuttosto che incoraggiati e autorizzati ad agire.

Ancor peggio, quando le dimostrazioni di sicurezza sono strutturate male, possono rendere le persone che si stanno allenando ritengono che intraprendere azioni per proteggere la loro privacy o sicurezza sia inutile, perché gli aggressori tecnicamente qualificati troveranno sempre un modo in una prospettiva che chiamiamo nichilismo della sicurezza. L'esempio più comune di questo è fare una spaventosa demo di sicurezza e poi dire ai partecipanti che è estremamente difficile o impossibile proteggersi da un tale attacco. In queste situazioni, il nichilismo di sicurezza è il peggior modo in cui la tua demo di sicurezza può ritorcersi contro: porterà i partecipanti a rinunciare e non fare nulla, non solo dopo il tuo evento, ma anche nel futuro. Avrai finito per condurre una formazione che li ha completamente allontanati dall'argomento.

Se sei qualcuno che ha fatto demo di sicurezza in questo modo, potresti voler riflettere sulle tue motivazioni per farlo. In molti casi, i formatori principianti possono tendere a fare affidamento su dimostrazioni di sicurezza perché non sono ancora esperti in altri modi. Forse hai faticato a convincere i partecipanti a prendersi cura o essere fidanzati, e le demo di sicurezza estreme sono state l'approccio più efficace che hai avuto fino ad ora. O hai visto che gli altri li fanno e hanno semplicemente pensato che fosse il modo in cui le cose sono fatte. Se questo è il caso, non abbatterti. Puoi cambiare la modalità di distribuzione delle demo nei tuoi allenamenti. Vorresti sapere di più su cosa rende di seguito una demo di sicurezza efficace e inefficace. In altri casi, ci sono allenatori che fanno dimostrazioni di sicurezza estreme in modi non etici perché li fanno sentire potenti e freddi agli occhi dei loro coetanei, non perché aiutino i partecipanti. Se questo è il caso, potresti voler riflettere sulle tue motivazioni per lo svolgimento di corsi di formazione in generale, sei lì per i partecipanti o sei lì per te?

Cosa posso fare invece?

Mostrare dimostrazioni di intercettazione del traffico o compromettere gli account dei tuoi studenti può ancora essere uno strumento didattico molto potente, ma non devi ingannare i tuoi studenti o compromettere la loro privacy per dimostrarlo in modo efficace. Puoi impostare una dimostrazione utilizzando dispositivi di tua proprietà e controllati e collaborare con un co-trainer per fare una dimostrazione dal vivo utilizzando questi dispositivi. Per un'opzione ancora più semplice, imposta la tua dimostrazione in anticipo e registra o acquisisci schermate che puoi mostrare ai tuoi studenti durante l'allenamento. Questa gif animata che mostra ciò che Google vede quando due persone chattano utilizzando i loro account Google Hangouts e Tor Messenger, rispetto a ciò che Google vede quando gli utenti accendono Off-The-Record (OTR), è uno di questi esempi.

Registrare le tue dimostrazioni, utilizzando account di prova e dispositivi che controlli, è un modo eccellente per mostrare concetti di sicurezza e privacy senza rischiare complicazioni, tradire la fiducia degli studenti, potenzialmente infrangere la legge o paralizzare gli studenti con paura.

Niente danno

Illustrare i concetti di sicurezza e privacy digitali attraverso le dimostrazioni è assolutamente utile, ma proprio come i medici, i formatori di sicurezza digitale hanno l'obbligo di non arrecare alcun danno. Le dimostrazioni di insicurezza possono sembrare inizialmente una buona idea, ma possono essere pericolose, scoraggianti e inefficaci. E tu non vuoi indebolire il tuo lavoro spaventando i tuoi partecipanti dall'apprendere ciò che sei lì per condividere.

<< COLPIRE LA DOLCE MACCHIA DELL'APPRENDIMENTO INGAGGIATO

INSEGNAMENTO

PERCHÉ IL TUO PUBBLICO DOVREBBE PRESTARE ATTENZIONE E AGIRE >>

La paura uccide la mente: ripensare le demo

Cosa c'è di così male nelle demo di sicurezza?

Cosa posso fare invece?

Niente danno

Have you considered to help and run one of them?

We can support you with the technology and the content too!

We would like to interact with many chapters! We would like to interact with you!

WE ARE PASSIONATE IN OUR WORK, AND WE LOVE TO GET IN TOUCH WITH NEW PEOPLE AND IDEAS...

Don't miss out and connect with us now!