Lo scenario della Cyber Security è preoccupante e, come rilevano le ultime tendenze in materia di attacchi, la morsa della criminalità informatica si stringe attorno al fattore umano. A finire nel mirino, sono sempre più spesso i manager e i dipendenti delle aziende, che servono come punto di accesso per violare il patrimonio informativo dell’organizzazione.
Contro phishing, social engineering e altre tipologie di attacchi che sfruttano l’ingenuità umana, anche le più sofisticate tecnologie di difesa possono fallire. È sufficiente il comportamento incauto di un dipendente distratto per generare un incidente gravoso, con danni economici ingenti e perdita di reputazione.
Quali sono quindi le alternative per mettersi al riparo dalle brutte esperienze?
Come spiega la società romana Cyber Guru, bisogna innanzitutto intervenire a monte, attraverso programmi strutturati ed efficaci di Cyber Security Awareness.
Indice degli argomenti
Chiunque può diventare un bersaglio
Il panorama di riferimento infatti è decisamente poco rassicurante e non lascia adito a spiragli di miglioramento.
“Se la situazione della Cyber Security è complessa – esordisce Maria Luisa Baciucco, Marketing Director Italia di Cyber Guru -, il nuovo contesto di lavoro ibrido ha inasprito le criticità. Gli stessi strumenti utilizzati nella sfera privata vengono impiegati anche per l’attività lavorativa. A casa possono esserci maggiori distrazioni e magari certe azioni, come aprire un allegato o cliccare su un link sospetto, vengono compiute con più leggerezza”.
Indipendentemente dal ruolo, dal semplice impiegato al manager di alto livello, chiunque può diventare un bersaglio e può succedere a tutti di sbagliare: il concetto deve essere chiaro e assimilato.
“Si è portati a credere – argomenta la Responsabile Marketing – che i criminali informatici non hanno alcun interesse ad attaccarci; non si pensa che in realtà siamo un anello della catena: colpendo noi, si arriva a obiettivi più appetibili, come l’azienda per cui lavoriamo e i suoi clienti”.
Tre percorsi formativi per non sbagliare
Per mitigare i rischi, bisogna conoscere il nemico e arrivare preparati: la formazione è indispensabile per creare consapevolezza sulle minacce e instillare comportamenti adeguati.
“Abbiamo sviluppato – spiega Baciucco – tre piani formativi differenti, fruibili attraverso la nostra piattaforma di training e basati sulle tre capacità fondamentali dell’essere umano di acquisire conoscenze, quindi con un approccio cognitivo, induttivo ed esperienziale”.
Il primo percorso è di tipo cognitivo e ha l’obiettivo di fornire tutte le informazioni basilari della Cyber Security. Data la vastità della materia, il programma ha una durata complessiva di tre anni.
Tuttavia, la conoscenza di base non basta. La vera trasformazione del comportamento infatti può avvenire soltanto grazie al condizionamento emotivo ed esperienziale. Sintetizzando, le persone imparano la lezione solo quando vengono messe di fronte al pericolo.
Il secondo percorso proposto da Cyber Guru è quindi di tipo induttivo, ovvero da un caso specifico, facendo leva sull’emotività, il discente trae un principio di comportamento generale da applicare nel quotidiano. “Le persone – prosegue Baciucco – vengono coinvolte in un’esperienza realistica e invitate ad assistere a una situazione di attacco simulato. L’impianto narrativo e il meccanismo di empatia sono alla stregua di una serie TV. Si ipotizza che un collega subisca una minaccia e si mostrano le conseguenze nefaste di un comportamento errato. Il discente si immedesima e diventa protagonista della storia, avendo la possibilità di capire le logiche di un attacco e osservare gli effetti di un’azione incauta”. Grazie all’approccio immersivo, si agisce quindi sulla sensazione di pericolo della persona che provvederà a correggere eventuali comportamenti errati.
“Il terzo e ultimo percorso – racconta Baciucco – è invece di tipo esperienziale e si basa sulle simulazioni di attacco. Così viene testata la capacità del discente di intercettare eventuali minacce e comportarsi adeguatamente, allenando la sua prontezza nel riconoscere l’inganno e rispondere di conseguenza. I messaggi di phishing infatti fanno leva sul nostro cervello e sulle emozioni comuni: ad esempio, il senso di pressione, l’idea di non cogliere un’opportunità imperdibile, il timore delle conseguenze in caso non si compia una determinata azione. Per non cadere vittime del tranello, le persone devono quindi imparare a discernere tali sensazioni e l’esperienza è l’unica via per un addestramento efficace”.
Formazione adattiva per il miglioramento continuo
I tre percorsi cognitivo, induttivo ed esperienziale si svolgono in parallelo. Mentre si apprendono le nozioni fondamentali della Cyber Security, si viene messi alla prova su quanto appreso attraverso le simulazioni di attacco. “Il nostro metodo – chiarisce Baciucco – è adattivo, ovvero basato sull’intelligenza artificiale. Le simulazioni non sono uguali per tutti, ma personalizzate in base alle reazioni del discente. Se una persona compie lo stesso errore ripetutamente, le esercitazioni verteranno soprattutto sul problema specifico, migliorando la comprensione e la capacità di risposta. Se un utente dimostra una buona destrezza nel riconoscere ed evitare i rischi, verrà sottoposto a uno stress maggiore con la simulazione di minacce più difficili da intuire. L’obiettivo è ovviamente il miglioramento continuo delle conoscenze e delle abilità individuali”.
I dipendenti più preparati e competenti diventano un supporto di inestimabile valore per la sicurezza aziendale: sono loro, come evidenzia Baciucco, a notare per primi eventuali anomalie o messaggi sospetti, segnalando il problema al team di Cyber Security. “Da soggetti passivi – dice la Responsabile Marketing – diventano proattivi all’interno del processo per la messa in sicurezza dell’organizzazione”.
Terminato il ciclo di formazione triennale, il percorso prosegue su temi più complessi e specifici, così da stare al passo con lo scenario della sicurezza che è sempre in costante evoluzione.
L’engagement come chiave di successo
Baciucco prosegue sottolineando le altre caratteristiche distintive della formazione Cyber Guru.
In qualsiasi percorso di training, la chiave di successo è l’engagement dei discenti. Nessun programma può funzionare e dare risultati se le persone non si appassionano e non si sentono motivate.
La gamification, ovvero la tecnica per rendere le attività non ludiche più divertenti e coinvolgenti applicando le stesse dinamiche del gioco, è un metodo utilizzato nella proposta formativa di Cyber Guru.
“Stimoliamo le persone a tal punto – commenta Baciucco – che diventano loro stesse promotrici delle nostre attività formative all’interno del nucleo familiare, ritenendo che siano divertenti e soprattutto utili anche a livello personale. Siamo infatti convinti che non esiste un distacco tra il professionista e la persona nella vita privata: l’utente non deve percepire la formazione come un’imposizione dell’azienda, utile soltanto all’organizzazione, ma piuttosto deve vederne il tornaconto, il valore per sé come individuo”.
Per stimolare l’engagement, un elemento sostanziale è rappresentato anche dalla personalizzazione delle attività. A declinare il programma secondo le attitudini individuali, contribuiscono sia le tecniche di machine learning (come anticipato) sia i principi dell’androgogia. I percorsi formativi di Cyber Guru, infatti, sono il frutto di uno studio approfondito sui metodi di apprendimento e di educazione umani.
“Così – riprende Baciucco – siamo arrivati a creare delle attività altamente coinvolgenti. La mancanza di engagement infatti è tra le cause principali per cui i progetti di Cyber Security Awareness falliscono. Se le persone si annoiano e non sono interessate, difficilmente studieranno con profitto”.
Moduli brevi per sviluppare una conoscenza incrementale
Per motivare le persone, un altro fattore chiave è la creazione di un percorso progressivo, costituito da moduli brevi, facilmente fruibili, da seguire secondo una sequenza predefinita. La conoscenza insomma viene acquisita secondo un approccio incrementale: ogni attività permette di assimilare un insieme di informazioni e competenze propedeutiche all’attività successiva.
“La durata limitata di ciascun modulo – evidenzia Baciucco – permette a chiunque di svolgerlo agevolmente nei ritagli di tempo. Inoltre, nessuno si ritrova a seguire una lezione senza avere prima acquisito le conoscenze necessarie a una corretta comprensione. Spesso le persone abbandonano un corso perché, non seguendo una sequenza precisa e non avendo costruito progressivamente un bagaglio cognitivo adeguato, alcuni contenuti risultano ostici. Il percorso predefinito, inoltre, esonera l’azienda dalla responsabilità di decidere l’ordine e la modalità con cui proporre i moduli ai propri dipendenti”.
La modalità di “micro-learning”, per cui il piano formativo viene scomposto in brevi moduli incrementali, è stata sviluppata da Cyber Guru con la collaborazione dell’Università La Sapienza di Roma.
Grazie alla tipologia, alla struttura e alle modalità di fruizione dei percorsi, Cyber Guru si propone quindi di realizzare un’effettiva trasformazione dei comportamenti per consentire una preparazione congrua al livello attuale delle minacce.
Contributo editoriale sviluppato in collaborazione con Cyber Guru
