SICUREZZA INFORMATICA

Tecniche di Gamification: ecco come usarle nei corsi di formazione di cyber security

Rendere i percorsi di security awareness interattivi e coinvolgenti è fondamentale per creare una cultura della sicurezza fondata su comportamenti virtuosi da parte della workforce aziendale: sfruttare tecniche di Gamification nei percorsi formativi aiuta le aziende a trasmettere concetti e consapevolezza, e a fornire gli strumenti per evitare errori capaci di mettere a rischio l’intera organizzazione

15 Dic 2020
V
Emanuele Villa

Giornalista

Ora più che mai, le aziende devono investire con convinzione in attività di security awareness e pianificare con costanza nel tempo sessioni di formazione che possono essere approcciate con tecniche di Gamification per meglio trasmettere concetti e consapevolezza agli utenti aziendali.

Lo dicono i numeri del Rapporto Clusit 2020 in cui si conferma il fatto che phishing e social engineering siano diventate tecniche d’attacco sempre più frequenti e pericolose. I numeri sono eloquentinel documento si parla infatti di un +26,1% nel primo semestre 2020 rispetto allo stesso periodo del 2019, con un contestuale passaggio dalla terza alla seconda posizione tra le tecniche d’attacco più impiegate.

Lo dice (indirettamente) IBM quando parla di 3,86 milioni di dollari di costo medio per un singolo data breach, ma lo sostiene anche la convinzione sempre più diffusa che il fattore umano rappresenti l’anello debole della sicurezza cyber.

Il peso della pandemia è stato ed è rilevante poiché lo smart working emergenziale del secondo trimestre 2020 ha messo a durissima prova le security posture più incerte, che tra l’impiego di dispositivi personali non aggiornati, connessioni non sicure e un clima di incertezza dilagante, hanno faticato non poco a reggere l’urto. Lo stesso Rapporto Clusit collega direttamente alla pandemia la crescita degli attacchi di social engineering: il 40% di tutte le campagne era infatti a tema COVID-19.  

Spesso gli employee non hanno consapevolezza dei rischi cui sottopongono l’azienda aprendo un allegato di posta elettronica, facendo uscire documenti riservati dal perimetro aziendale, scambiandosi file con le caselle di posta personale o disponendo bonifici urgenti ordinati via e-mail da finti CEO o CFO.

In quest’ultimo caso, una giusta consapevolezza avrebbe semplicemente suscitato un po’ di diffidenza, spingendoli ad attendere in ogni caso il giorno dopo e a telefonare al vero CEO per una conferma. 

 Security awareness, perché ricorrere a tecniche di Gamification 

Una ricerca di Mimecast (via: netsec) afferma che il 45% delle aziende predispone percorsi obbligatori di security awareness, ma di queste solo il 6% organizza appuntamenti di formazione e aggiornamento mensili, mentre il 4% lo fa a livello trimestrale.

Quindi, il primo vero ostacolo alla security awareness è la scarsa rilevanza che le aziende attribuiscono allo sviluppo della consapevolezza, delle competenze e degli strumenti di difesa cyber diffusi su tutta la popolazione aziendale.

Così facendo, le aziende si dimenticano di una verità assoluta, cioè che la workforce deve essere la prima linea di difesa dell’azienda 

 Il secondo problema è l’efficacia: per molte aziende, security awareness significa formazione periodica tradizionale, al massimo sostituendo l’aula con corsi online e un test finale.

Il mondo della didattica, però, ci insegna che l’apprendimento passivo limita fortemente la ritenzione delle informazioni. Secondo uno studio di Work-Learning Research, l’apprendimento tradizionale fa sì che il 40% delle informazioni venga dimenticato dopo 20 minuti e dal 50% all’80% dopo un giorno.

Lo scopo della security awareness non è imparare qualcosa, ma inculcare un nuovo modello comportamentale che derivi da una ferrea consapevolezza sui rischi di sicurezza, sulle policy aziendali in proposito e sugli strumenti per farvi fronte.

È dunque evidente che un metodo di insegnamento tradizionale, con tanto di manuale, lezione, esercizi e test, sia inadatto allo scopo e sia peraltro il primo motivo per cui molti progetti di security awareness non raggiungono i risultati prefissi.

Talvolta, i programmi non riscuotono interesse da parte del management e gli employee vi partecipano perché obbligati, col duplice risultato che la security posture non migliora e l’investimento in formazione diviene immediatamente fallimentare. 

Il concetto, essenziale per la gestione della workforce aziendale, è quello dell’engagement. Se è vero gli employee disengaged sono un problema serio per ogni azienda, a causa del riflesso sulla produttività individuale e di team, un cyber security training che non conquista il suo pubblico, non crea coinvolgimento e “presa” verso i destinatari, semplicemente non funziona. Per questo motivo, le aziende ricorrono sempre più spesso a programmi fondati sui principi della Gamification.  

New call-to-action

Gamification, le dinamiche ludiche che migliorano la security awareness 

Per definizione, Gamification consiste nell’impiego di strumenti mutuati dai giochi e dalle tecniche di game design in contesti non ludici come, appunto, un percorso di apprendimento e sviluppo di consapevolezza della sicurezza informatica.

Partendo dai tradizionali test, si aggiungono classifiche, reward, funzionalità di collaborazione e videogame veri e propri, cui sommare simulazioni, sfide one-to-one o anche giochi di ruolo finalizzati a registrare la reazione emotiva di fronte alle minacce più subdole, con l’intento di indirizzarla verso i binari corretti per la salvaguardia delle informazioni aziendali.

Grazie alle tecniche di Gamification, l’apprendimento diventa immediatamente coinvolgente, attivo e pratico: si parla in proposito di apprendimento cinestetico, ovvero di acquisizione di nozioni contestualmente alla loro messa in pratica. Lapprendimento della logica e della matematica, per esempio, segue un percorso analogo.  

L’impiego di dinamiche ludiche in un percorso di awareness non è garanzia di successo di per sé, ma è certamente un passo nella direzione giustacioè quella della personalizzazione del percorso, del learn by doing e del coinvolgimento attivo: oltre alla logica, lo testimonia anche una ricerca di McAfee intitolata Winning The Gamesecondo cui il 96% delle aziende ha rilevato effetti benefici sulla cybersecurity proprio in conseguenza dell’utilizzo di tecniche di Gamification.  

In modo ancor più dettagliato, lo studio Gamification of Information Security Awareness and Training giunge alla conclusione che molti dei problemi di efficacia dei Security Awareness Training tradizionali dipendano dal fatto di non valorizzare, cioè non mettere al centro dell’attenzione l’utente finale, cosa che la Gamification fa by design.

Lo studio si spinge oltre spiegando le dinamiche psicologiche per cui Gamification genera engagement e quindi risulta vincente: mastery progression sono i fattori principali, che esprimono il desiderio umano di migliorare progressivamente, di vincere e primeggiare.

A questi si aggiunge la capacità di autogestire il proprio training adattandolo alla routine quotidianaun elemento che tiene alta la motivazione perché fa leva sul binomio libertà  responsabilizzazione.

Dal punto di vista della reazione emotiva, invece, occorre riflettere a lungo sul modo di implementare il concetto di competizione, che tra badge, punti, classifiche e reward, è un elemento cardine della Gamification.

La competizione stimola emozioni forti e molto coinvolgimento, ma bisogna anche ricordarsi che la security awareness non è finalizzata a far prevalere qualcunobensì a trasferire competenze e consapevolezza a tutta la workforce, facendo raggiungere a chiunque il medesimo livello: la competizione fa bene, ma se è troppo marcata c’è il rischio che di fronte agli insuccessi qualcuno si ritiri e smetta di acquisire informazioni utili. 

Dalla teoria alla pratica: micro-apprendimento e simulazioni 

Un altro aspetto che rende poco efficace la formazione tradizionale è la sua durata, perché l’attenzione cala velocemente nel tempo.

A prescindere dalle modalità, dalle dinamiche della formazione e dall’apporto ludico, occorre ispirarci al concetto del micro-apprendimento costante: pillole veloci, efficaci, che vadano dirette al punto e trasmettano rapidamente il messaggio.

visto che il tema della security è in continuo divenire, anche i programmi di awareness lo devono essere: una giornata di formazione a trimestre è poco efficace, meglio una piattaforma alimentata continuamente di nuove pillole e giochi su cui costruire il proprio percorso di avanzamento e, soprattutto, una quotidianità fatta di comportamenti virtuosi in termini di sicurezza.  

Gamification è interattività, e le simulazioni sono un mezzo per ottenerla. Se l’IT deve essere in grado di prevenire, rispondere e mitigare un attacco, il resto della workforce deve sviluppare una cultura della sicurezza che riduca il più possibile gli errori umani – da cui una quota molto alta di data breach – ed eviti loro di cadere nei classici raggiri del social engineering.

Qui la security awareness moderna e la Gamification danno il meglio di sé: per sviluppare consapevolezza è possibile organizzare attacchi simulati, magari ‘sfruttando’, sempre con le logiche del gioco, dei punteggi e dei badge, qualche dipendente per mettere in difficoltà i colleghi e indurli ad azioni rischiose, in una sorta di gioco di ruolo in cui tutti escono vincitori e preparati ad affrontare al meglio un eventuale attacco reale.

Lo stesso risultato si può ottenere sfruttando al meglio le potenzialità della tecnologia, ovvero piattaforme che simulano attacchi informatici sul modello di casi reali, registrando e misurando la reazione delle persone, così da correggerle nel caso di un click di troppo, una password inserita dove in un campo “sospetto” e via dicendo.

Tutto ciò non è semplicemente un learn by doing di grande efficacia, ma permette all’azienda di misurare il proprio investimento, osservando progressivamente il miglioramento della security awareness all’interno della popolazione aziendale.

A un certo punto, la consapevolezza sarà così pervasiva da diventare un fattore di differenziazione e, soprattutto, un elemento cardine della cultura aziendale. A quel punto, sarà vittoria. 

Contributo editoriale sviluppato in collaborazione con Wiit

New call-to-action

@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr