Ora più che mai, le aziende devono investire con convinzione in attività di security awareness e pianificare con costanza nel tempo sessioni di formazione che possono essere approcciate con tecniche di Gamification per meglio trasmettere concetti e consapevolezza agli utenti aziendali.
Lo dicono i numeri del Rapporto Clusit 2020 in cui si conferma il fatto che phishing e social engineering siano diventate tecniche d’attacco sempre più frequenti e pericolose. I numeri sono eloquenti: nel documento si parla infatti di un +26,1% nel primo semestre 2020 rispetto allo stesso periodo del 2019, con un contestuale passaggio dalla terza alla seconda posizione tra le tecniche d’attacco più impiegate.
Lo dice (indirettamente) IBM quando parla di 3,86 milioni di dollari di costo medio per un singolo data breach, ma lo sostiene anche la convinzione sempre più diffusa che il fattore umano rappresenti l’anello debole della sicurezza cyber.
Il peso della pandemia è stato ed è rilevante poiché lo smart working emergenziale del secondo trimestre 2020 ha messo a durissima prova le security posture più incerte, che tra l’impiego di dispositivi personali non aggiornati, connessioni non sicure e un clima di incertezza dilagante, hanno faticato non poco a reggere l’urto. Lo stesso Rapporto Clusit collega direttamente alla pandemia la crescita degli attacchi di social engineering: il 40% di tutte le campagne era infatti a tema COVID-19.
Spesso gli employee non hanno consapevolezza dei rischi cui sottopongono l’azienda aprendo un allegato di posta elettronica, facendo uscire documenti riservati dal perimetro aziendale, scambiandosi file con le caselle di posta personale o disponendo bonifici urgenti ordinati via e-mail da finti CEO o CFO.
In quest’ultimo caso, una giusta consapevolezza avrebbe semplicemente suscitato un po’ di diffidenza, spingendoli ad attendere in ogni caso il giorno dopo e a telefonare al vero CEO per una conferma.
Indice degli argomenti
Security awareness, perché ricorrere a tecniche di Gamification
Una ricerca di Mimecast (via: netsec) afferma che il 45% delle aziende predispone percorsi obbligatori di security awareness, ma di queste solo il 6% organizza appuntamenti di formazione e aggiornamento mensili, mentre il 4% lo fa a livello trimestrale.
Quindi, il primo vero ostacolo alla security awareness è la scarsa rilevanza che le aziende attribuiscono allo sviluppo della consapevolezza, delle competenze e degli strumenti di difesa cyber diffusi su tutta la popolazione aziendale.
Così facendo, le aziende si dimenticano di una verità assoluta, cioè che la workforce deve essere la prima linea di difesa dell’azienda.
Il secondo problema è l’efficacia: per molte aziende, security awareness significa formazione periodica tradizionale, al massimo sostituendo l’aula con i corsi online e un test finale.
Il mondo della didattica, però, ci insegna che l’apprendimento passivo limita fortemente la ritenzione delle informazioni. Secondo uno studio di Work-Learning Research, l’apprendimento tradizionale fa sì che il 40% delle informazioni venga dimenticato dopo 20 minuti e dal 50% all’80% dopo un giorno.
Lo scopo della security awareness non è imparare qualcosa, ma inculcare un nuovo modello comportamentale che derivi da una ferrea consapevolezza sui rischi di sicurezza, sulle policy aziendali in proposito e sugli strumenti per farvi fronte.
È dunque evidente che un metodo di insegnamento tradizionale, con tanto di manuale, lezione, esercizi e test, sia inadatto allo scopo e sia peraltro il primo motivo per cui molti progetti di security awareness non raggiungono i risultati prefissi.
Talvolta, i programmi non riscuotono interesse da parte del management e gli employee vi partecipano perché obbligati, col duplice risultato che la security posture non migliora e l’investimento in formazione diviene immediatamente fallimentare.
Il concetto, essenziale per la gestione della workforce aziendale, è quello dell’engagement. Se è vero gli employee disengaged sono un problema serio per ogni azienda, a causa del riflesso sulla produttività individuale e di team, un cyber security training che non conquista il suo pubblico, non crea coinvolgimento e “presa” verso i destinatari, semplicemente non funziona. Per questo motivo, le aziende ricorrono sempre più spesso a programmi fondati sui principi della Gamification.
Gamification, le dinamiche ludiche che migliorano la security awareness
Per definizione, Gamification consiste nell’impiego di strumenti mutuati dai giochi e dalle tecniche di game design in contesti non ludici come, appunto, un percorso di apprendimento e sviluppo di consapevolezza della sicurezza informatica.
Partendo dai tradizionali test, si aggiungono classifiche, reward, funzionalità di collaborazione e videogame veri e propri, cui sommare simulazioni, sfide one-to-one o anche giochi di ruolo finalizzati a registrare la reazione emotiva di fronte alle minacce più subdole, con l’intento di indirizzarla verso i binari corretti per la salvaguardia delle informazioni aziendali.
Grazie alle tecniche di Gamification, l’apprendimento diventa immediatamente coinvolgente, attivo e pratico: si parla in proposito di apprendimento cinestetico, ovvero di acquisizione di nozioni contestualmente alla loro messa in pratica. L’apprendimento della logica e della matematica, per esempio, segue un percorso analogo.
L’impiego di dinamiche ludiche in un percorso di awareness non è garanzia di successo di per sé, ma è certamente un passo nella direzione giusta, cioè quella della personalizzazione del percorso, del learn by doing e del coinvolgimento attivo: oltre alla logica, lo testimonia anche una ricerca di McAfee intitolata Winning The Game, secondo cui il 96% delle aziende ha rilevato effetti benefici sulla cybersecurity proprio in conseguenza dell’utilizzo di tecniche di Gamification.
In modo ancor più dettagliato, lo studio Gamification of Information Security Awareness and Training giunge alla conclusione che molti dei problemi di efficacia dei Security Awareness Training tradizionali dipendano dal fatto di non valorizzare, cioè non mettere al centro dell’attenzione l’utente finale, cosa che la Gamification fa by design.
Lo studio si spinge oltre spiegando le dinamiche psicologiche per cui Gamification genera engagement e quindi risulta vincente: mastery e progression sono i fattori principali, che esprimono il desiderio umano di migliorare progressivamente, di vincere e primeggiare.
A questi si aggiunge la capacità di autogestire il proprio training adattandolo alla routine quotidiana, un elemento che tiene alta la motivazione perché fa leva sul binomio libertà – responsabilizzazione.
Dal punto di vista della reazione emotiva, invece, occorre riflettere a lungo sul modo di implementare il concetto di competizione, che tra badge, punti, classifiche e reward, è un elemento cardine della Gamification.
La competizione stimola emozioni forti e molto coinvolgimento, ma bisogna anche ricordarsi che la security awareness non è finalizzata a far prevalere qualcuno, bensì a trasferire competenze e consapevolezza a tutta la workforce, facendo raggiungere a chiunque il medesimo livello: la competizione fa bene, ma se è troppo marcata c’è il rischio che di fronte agli insuccessi qualcuno si ritiri e smetta di acquisire informazioni utili.
Dalla teoria alla pratica: micro-apprendimento e simulazioni
Un altro aspetto che rende poco efficace la formazione tradizionale è la sua durata, perché l’attenzione cala velocemente nel tempo.
A prescindere dalle modalità, dalle dinamiche della formazione e dall’apporto ludico, occorre ispirarci al concetto del micro-apprendimento costante: pillole veloci, efficaci, che vadano dirette al punto e trasmettano rapidamente il messaggio.
E visto che il tema della security è in continuo divenire, anche i programmi di awareness lo devono essere: una giornata di formazione a trimestre è poco efficace, meglio una piattaforma alimentata continuamente di nuove pillole e giochi su cui costruire il proprio percorso di avanzamento e, soprattutto, una quotidianità fatta di comportamenti virtuosi in termini di sicurezza.
Gamification è interattività, e le simulazioni sono un mezzo per ottenerla. Se l’IT deve essere in grado di prevenire, rispondere e mitigare un attacco, il resto della workforce deve sviluppare una cultura della sicurezza che riduca il più possibile gli errori umani – da cui una quota molto alta di data breach – ed eviti loro di cadere nei classici raggiri del social engineering.
Qui la security awareness moderna e la Gamification danno il meglio di sé: per sviluppare consapevolezza è possibile organizzare attacchi simulati, magari ‘sfruttando’, sempre con le logiche del gioco, dei punteggi e dei badge, qualche dipendente per mettere in difficoltà i colleghi e indurli ad azioni rischiose, in una sorta di gioco di ruolo in cui tutti escono vincitori e preparati ad affrontare al meglio un eventuale attacco reale.
Lo stesso risultato si può ottenere sfruttando al meglio le potenzialità della tecnologia, ovvero piattaforme che simulano attacchi informatici sul modello di casi reali, registrando e misurando la reazione delle persone, così da correggerle nel caso di un click di troppo, una password inserita dove in un campo “sospetto” e via dicendo.
Tutto ciò non è semplicemente un learn by doing di grande efficacia, ma permette all’azienda di misurare il proprio investimento, osservando progressivamente il miglioramento della security awareness all’interno della popolazione aziendale.
A un certo punto, la consapevolezza sarà così pervasiva da diventare un fattore di differenziazione e, soprattutto, un elemento cardine della cultura aziendale. A quel punto, sarà vittoria.
Contributo editoriale sviluppato in collaborazione con Wiit
