Dalla nozione alla narrazione
Sicurezza significa anche rendere le persone consapevoli dei rischi a cui si è soggetti e dei comportamenti corretti da tenere di fronte a minacce sempre più sofisticate. Cyber Guru propone un approccio alla formazione di tipo cognitivo, esperienziale e, novità recente, induttivo.
Qual è l’anello debole della sicurezza aziendale? La risposta che oggi emerge nella maggior parte dei casi è “l’uomo”. Questo perché, al di là della tecnologia che può essere adottata per far fronte alle minacce provenienti da più direzioni, sono proprio i comportamenti che possono mettere maggiormente a rischio le organizzazioni e i rispettivi dati. Di fatto, da quando si parla di tecniche di social engineering, il target dei cyberciminali non appare più soltanto quello di individuare falle in sistemi informativi non aggiornati o in applicazioni mal programmate, ma anche di sfruttare proprio gli utenti di quegli stessi sistemi e perfino i loro familiari per indurli ad aprire loro le porte.
“Quando si parla di sicurezza è sempre più importante il tema dell’awareness, della consapevolezza degli utenti su comportamenti e rischi. Ma per poterla creare bisogna adottare una strategia di formazione che porti a un risultato concreto laddove non è sufficiente seguire l’approccio ‘scolastico tradizionale’”, spiega Gianni Baroni, CEO di Cyber Guru, realtà specializzata in soluzioni di formazione innovative sul tema della cybersecurity. “Il tema della sicurezza e in particolare quando si parla di awareness non è qualcosa che si insegna come accade, ad esempio, con un linguaggio di programmazione per il cui apprendimento basta seguire dei corsi e studiare. Ci troviamo in un campo totalmente diverso e che va affrontato mentre ciascuno svolge le proprie azioni quotidiane, necessitando di un sistema che sia ingaggiante e attraente, e in linea con le rispettive capacità e tempi di apprendimento”.
Lavorare su tre elementi
L’approccio che Cyber Guru propone è organizzato su più interventi in un programma di formazione costruito per non interferire con l’operatività quotidiana, arrivando a cambiare i comportamenti, attraverso attività mirate e studiate per mantenere un elevato tasso di retention. “Mentre con altri metodi la media generale è tra il 10% e il 15% noi arriviamo al 70/80% con in alcuni casi anche il 98% di corsi portati a termine in una sola organizzazione. Questo grazie a una piattaforma strutturata in tre elementi. Il primo, cognitivo (Cyber Guru Awareness), propone micro video lezioni con esperti del settore, introducendo anche elementi di gamification via via sempre più spinti per favorire un engagement ancora maggiore, con l’opportunità di creare squadre impegnate in ‘tornei’ a punti che stimolino la competizione positiva. Il secondo, esperienziale (Cyber Guru Phishing), si distingue per l’invio automatico di e-mail di phishing studiate per mettere alla prova le capacità dell’utente il quale, nel caso di un click sul link ingannevole proposto nella simulazione, viene esposto ad un contenuto formativo ‘specializzato’, evidenziando in questo modo il rischio occorso e fornendo precise indicazioni su come comportarsi in una situazione analoga. Il tutto affiancato da un sistema di intelligenza artificiale che tara automaticamente il grado di difficoltà delle campagne di formazione mano a mano che si progredisce. Il terzo livello, introdotto di recente, è quello induttivo (Cyber Guru Channel). Qui in particolare proponiamo una serie di brevi video, costruiti secondo logiche cinematografiche, che presentano analisi di eventi verosimili spiegando nel dettaglio i come e i perché degli attacchi ivi descritti, distinguendo anche le tecniche usate a seconda delle persone prese di mira. I fatti vengono esposti in modo tale da risultare comprensibili a tutti, dando evidenza del rapporto causa-effetto, facendo sì che l’utente possa auto-identificarsi nella situazione, percepire la concretezza della minaccia e trarre da questo una corretta lezione comportamentale. Una volta visto il video, l’utente, nel suo percorso a ritroso dalla narrazione alla nozione, viene supportato da materiali di approfondimento”, spiega Baroni. I momenti, che si ripetono nel tempo costruendo il percorso di formazione, sono volutamente mantenuti di breve durata per andare incontro alle esigenze dei lavoratori e mantenere alta la loro attenzione.
Coinvolgere come davanti alla TV
Relativamente ai video utilizzati per la formazione induttiva, 12 episodi di cinque minuti per ogni livello, Cyber Guru si è avvalsa della collaborazione di Di.Gi. Academy, società fondata da Alessandro Curioni, Docente a contratto di Sicurezza dell’informazione, Università Cattolica del Sacro Cuore.
“L’idea fondamentale del metodo induttivo – spiega quest’ultimo – fa appello a due aspetti fondamentali dell’essere umano. Il primo è quello dell’emotività, per cui si realizzano dei filmati che sono in tutto e per tutto simili a quanto viene proposto di norma sugli schermi televisivi e cinematografici. Ad essi si aggiunge anche un trama che ricalca le storie gialle per innalzare l’attenzione. Il secondo aspetto è quello della socialità, e quindi del racconto narrativo, essenziale da sempre nella storia umana. Si crea quindi una combinazione estremamente efficace che snocciola pochi messaggi alla volta rappresentanti il massimo che un singolo utente riesce a percepire. La sceneggiatura viene inoltre costruita per far capire che la cybersecurity è in prima battuta un problema personale e solo in seconda dell’azienda per cui il soggetto lavora. Non bastano infatti i dati sulle statistiche degli attacchi in costante aumento, ma bisogna portare esempi concreti come quello della violazione dei dispositivi di un ragazzo, con la creazione di backdoor dopo aver cliccato su un link considerato attendibile inviato da qualcuno conosciuto in rete. Qui i criminali possono analizzare il suo computer e raccogliere informazioni personali sulla sua famiglia, inviando una email malevola al padre attraverso la quale entrare nel suo computer di lavoro. E via via da lì una escalation di messaggi che portano a una sottrazione di somme. In questo caso nel video si fa quindi richiamo ai comportamenti dei diversi singoli, superando l’idea che ‘a noi certe cose non possono succedere’”.
Il tema dei comportamenti emerge quindi come fondamentale andando oltre quanto viene richiesto da normative e regolamenti mentre nel 2020 durante la pandemia da COVID-19 gli attacchi portati e andati a segno sono cresciuti: “Questo è successo perché i criminali hanno dovuto riadattare le proprie attività spostandosi sul canale digitale. Ed ecco che bisogna far innalzare la percezione del pericolo nei singoli individui con la cybersecurity che si afferma come un tema che sta scalando i vertici aziendali. In tal senso strumenti evoluti in grado di innalzare il livello di engagement risultano fondamentali ed estremamente importanti non solo per generare awareness, ma anche per rendere più difficile l’azione del cybercriminale. In generale, ritengo che sulla sicurezza siamo passati dallo stato di ‘scimmie’ a quello di ‘neanderthal’. L’obiettivo è quello di arrivare alla fase ‘sapiens’”, afferma Curioni.
Meno tecnologia, più pedagogia
Tenendo presente le ultime considerazioni, Baroni sottolinea come il fatto che la persona rappresenti l’anello debole della catena della sicurezza sia ormai acclarato e che le aziende stanno quindi cercando di capire come orientarsi per affrontare al meglio uno scenario che ha guadagnato complessità parallelamente all’evoluzione tecnologica. E questo mentre il punto di ingresso nelle organizzazioni, per un fornitore come Cyber Guru, resta il dipartimento che si occupa di sicurezza con tuttavia un sempre maggiore coinvolgimento di quello risorse umane dal quale dipende in concreto la formazione.
“Sono proprio le risorse umane che vedono nel nostro approccio poco tecnologico e più pedagogico un elemento di valore aggiunto, potendosi affidare a un percorso interdisciplinare e a più mani che poi impatta sull’intera formazione aziendale. Quando entrano in contatto con noi si accorgono che ci distinguiamo rispetto alla concorrenza in termini di scopi così come di architetture a supporto della formazione. Questo perché una discreta parte ha già avuto esperienze negative rispetto alla reazione dei propri dipendenti. In tal senso noi aiutiamo fin dall’inizio i clienti finali a mettere in esercizio la piattaforma e successivamente a monitorare la progressione della formazione attraverso meeting mensili e offrendo un servizio diretto di customer success management. Provvediamo quindi all’introduzione di controlli automatici che vanno a beneficio dei gruppi responsabili della formazione cyber”. Un esempio di questo tipo di attività prevede l’invio di messaggi che ricordano a chi è indietro rispetto al programma dei corsi di recuperare, annunciando le novità presenti sulla piattaforma, e affiancando l’utente per identificare dove si trova in ritardo. Inoltre, avviene la segnalazione diretta al supervisore del punto in cui necessario intervenire, il tutto per portare a una governance più semplice da attuare anche in ambienti dove sono presenti decine di migliaia di dipendenti da monitorare.
Formazione continua
“I nostri sono piani di formazione triennale sul medio lungo termine ed è anche per questo che abbiamo introdotto i meccanismi di automazione che evitano di avere una vasta struttura organizzativa interna di supporto. Abbiamo già esperienza di casi concreti di realtà che dopo aver completato il primo anno di corsi approcciano a quello successivo mantenendo invariato l’entusiasmo confermando l’elevato tasso di retention. Fondamentale è l’idea di continuous training che però per un’organizzazione non è semplice da portare avanti. In definitiva, la nostra proposta, che è anche multilingua e possiamo localizzare su richiesta (recente è il caso di un’organizzazione bulgara), rende semplice la distribuzione del tempo e la sollecitazione degli utenti, innalzando decisamente la loro preparazione e attitudine sul tema della cybersecurity”, conclude Baroni.