Da anni statistiche e report sostengono che il fattore umano ha un ruolo decisivo in almeno l’80 per cento degli incidenti di cyber security: l’inevitabile conseguenza è sostenere l’importanza di azioni che aiutino a sviluppare nelle persone un’adeguata awareness (consapevolezza) rispetto ai rischi correlati all’utilizzo delle nuove tecnologie.
Segue inesorabile applauso e un altrettanto inevitabile problema perché stiamo parlando di qualcosa di estremamente difficile per alcune semplici ragioni e la prima riguarda la fondamentale confusione tra istruire ed educare.
Nel primo caso devo “mettere dentro” delle informazioni a qualcuno, in qualche modo addestrarlo. Nel secondo devo “tirare fuori” qualcosa da qualcuno, quindi formarlo.
Se parliamo di consapevolezza siamo in quest’ultima situazione perché avere coscienza di una situazione è in realtà il primo passo per poi agire di conseguenza, ma senza necessità di acquisire particolari competenze.
In effetti, sono fermamente convinto che tecnologia e sicurezza sono due cose molto diverse. La prima dipende da quante ne sai, la seconda da chi sei. Fatta questa breve premessa la prima questione è capire come si può strutturare il famigerato “piano di awareness” partendo dalla comprensione che per educare ci vuole tempo.
Indice degli argomenti
Cyber security awareness: coinvolgere
La sicurezza non è un problema aziendale, ma personale. Questo dovrebbe essere il leit motif di qualsiasi piano di formazione in materia.
Fino a quando le persone non capiscono che la minaccia le riguarda personalmente non potremo ottenere la loro attenzione e ancora meno la loro disponibilità. La domanda riguarda come raggiungere il risultato.
Un’ottima leva è lo storytelling perché noi esseri umani siamo da sempre sensibili alle storie. Nei secoli le famiglie, gli amici, i commilitoni che si ritrovavano alla fine di una lunga giornata, magari di fronte a un fuoco, si narravano delle storie.
Molti anni fa ho realizzato una proposta formativa dal titolo “hacker lunch”: un incontro della durata di un’ora in pausa pranzo durante il quale il docente raccontava aneddoti e fatti di cronaca sul tema della sicurezza.
Nell’occasione ho avuto la conferma che il convivio è un’eccezionale occasione formativa poiché per ragioni culturali ataviche siamo tutti più disponibili e aperti all’ascolto. La possibilità di coinvolgere è spesso legata anche a modifiche negli interessi del pubblico.
Di fronte all’emergere del fenomeno delle serie televisive ho realizzato un equivalente sul tema della awareness: sedici episodi che raccontano le indagini di un cyber-investigatore su alcune delle più comuni truffe on line e tecniche di social engineering.
Tuttavia, questi sono soltanto esempi, perché in realtà ogni organizzazione ha il suo “learning style” e richiede un’attenta analisi per comprendere come raggiungere l’obiettivo.
GoPhish, simulare un attacco phishing per valutare l’esposizione cyber aziendale: ecco come
Cyber security awareness: informare
Nel momento in cui abbiamo la loro attenzione probabilmente diventeranno interessati, quindi non soltanto si dovrà sostenere e stimolare la curiosità e fornire non tanto i messaggi che vorremmo fargli arrivare, ma soprattutto le informazioni che loro desiderano.
In una delle mie esperienze pregresse, a seguito di un’attività che aveva come obiettivo quello di coinvolgere la platea degli utenti è stata creata una casella di pista elettronica a cui le persone poteva sottoporre le loro domande e avrebbero ottenuto una risposta in un’area della intranet aziendale dedicata.
La quasi totalità delle richieste aveva come oggetto due tematiche: la gestione delle proprie password personali e come comportarsi con i figli alle prese con le nuove tecnologie. In subordine c’erano richieste in merito agli acquisti on line, alla navigazione su internet e alla gestione dello spam.
Per quanto molte di queste tematiche siano apparentemente lontane dal tema della cybers ecurity aziendale è stato fondamentale fornire risposte per due ottime ragioni. In primo luogo mantenere vivo l’interesse per la materia, in secondo avviare il processo di educazione.
Come credo sia facilmente intuibile se spiego a qualcuno come gestire correttamente le sue password personali, significa che molto probabilmente finirà per gestire nello stesso modo anche quelle aziendali.
Cyber security awareness: divertire
L’essere umano è ludens per natura, in fondo vuole divertirsi e il gioco non soltanto risponde a questa primaria esigenza, ma si tratta anche della basilare forma di apprendimento: ognuno di noi ha imparato a conoscere il mondo attraverso il gioco.
Nelle organizzazioni che hanno raggiunto un certo da grado di maturità il tema della “gamification” diventa un ottimo strumento per proseguire il percorso formativo. In particolare sono utili passaggi diretti dalle attività precedenti.
In questo senso, quelli che erano i racconti delle indagini di un cyber investigatore si trasformano in gioco in cui gli utenti interpretano il ruolo del detective. Nella costruzione del gaming si deve porre attenzione nell’equilibrare l’aspetto collaborativo e quello competitivo senza dimenticare che in un gioco alla fine ci deve essere un vincitore, altrimenti non è tale.
Tecniche di Gamification: ecco come usarle nei corsi di formazione di cyber security
Il tempismo è tutto nella vita
Se quello che ho delineato è un possibile percorso volendo anche iterabile, quello che spesso viene sottovalutato è il fattore tempo e nello specifico mi riferisco alla durata. Dopo quasi un ventennio di formazione ho scoperto che ci sono alcune regole pressoché “inviolabili”, almeno quando si parla di awareness.
Un corso in aula che dura più di 4 ore è nocivo: per quanto sia bravo il docente il repertorio finisce e quello che si ottiene nelle prime tre ore lo si perde nell’ora successiva. Se poi è svolto sotto forma di webinar la soglia massima è di due ore.
Un audiovisivo che dura più di dieci minuti è nocivo a meno che non sia una produzione hollywoodiana. I messaggi che devono passare sono molto pochi e in piccole dosi. È più facile che gli utenti siano disponibili a vedere 10 video da 5 minuti piuttosto che uno da 10 minuti (“Il trono di spade” nel suo genere docet).
I test con domande a scelta multipla sono tediosi a meno che non sia posti sotto forma di gioco, meglio se con premio finale annesso. Non dimentichiamo che il terzo gioco da tavolo più venduto di sempre è “Trivial Pursuit”.
