Cyber Guru, sicurezza e fattore umano

Cyber Guru, sicurezza e fattore umano
Gianni Baroni, CEO e founder di Cyber Guru

Le persone al centro della nuova sicurezza digitale per una corretta comprensione e applicazione della cybersecurity. Se gli utenti sono il vero anello debole della catena difensiva allora occorre investire sulle persone, con programmi formativi in grado di trasformare i loro comportamenti

Il più recente IBM Cyber Security Intelligence Index stima che nel 2020 circa il 90% degli attacchi cyber andato a buon fine sia riconducibile a un errore umano. Gli utenti faticano a seguire il ritmo della trasformazione digitale ed espongono il fianco alle minacce che si fanno sempre più sofisticate. Mai come negli ultimi mesi, abbiamo percepito il valore della sicurezza delle reti. In un mondo del lavoro che ha perso, velocemente, e quasi senza accorgersene, i suoi confini spazio-temporali, la capacità delle organizzazioni di sfruttare il boost dato alla digitalizzazione, poggia la base del suo successo su una corretta comprensione e applicazione della cybersecurity. Se il fattore umano si trova al centro di tutte le più efficaci strategie di attacco, sono proprio gli utenti il vero anello debole della catena difensiva.

Ma da questi bisogna ripartire. Investire sulle persone, con programmi formativi in grado di trasformare i loro comportamenti, è la vera sfida per chi si occupa di cybersecurity. Come agire efficacemente sulle abitudini, ottimizzando i processi di apprendimento? Formazione e cyber-education sono temi fondamentali per qualsiasi azienda, di ogni settore. Realtà come Cyber Guru lo hanno capito da tempo, lavorando proprio su quelle dinamiche e coniugando percorsi di istruzione con la gamification, per incentivare anche persone non necessariamente digital-first ad assumere una postura di difesa migliore, nelle operazioni quotidiane.

I tre livelli della formazione continua

«Dal nostro punto di vista, la necessità di un apprendimento diretto alla cybersecurity è esplosa nel 2017» –  spiega Gianni Baroni, CEO e founder di Cyber Guru. «Negli anni, ci siamo resi conto che l’offerta formativa presente sul mercato non si è mai posta l’obiettivo cardine di un programma di cyber-education, ossia l’aumento della resilienza. Ancora oggi, spesso le attività di formazione non determinano un cambiamento comportamentale, che è ciò che serve per vincere le sfide della sicurezza. Imporre il “dovere” di effettuare un corso di formazione non consente di raggiungere lo scopo di migliorare l’atteggiamento dei dipendenti. Servono percorsi differenti, personalizzati e che, in un secondo momento, verifichino eventuali criticità, per correggerle quando si è ancora in tempo».

Cyber Guru ha messo in piedi una piattaforma composta di tre elementi principali: un livello di awareness, che realizza la formazione continua, che va nella direzione di una metodologia permanente; una formazione esperienziale e una induttiva. «Se non addestriamo e non teniamo allenati gli utenti alle nuove vulnerabilità, tutto il lavoro fatto in precedenza cade. La cyber-culture diventa quindi fondamento per il futuro, la base solida di tutto l’asset aziendale» – continua Baroni. Un sistema di addestramento anti-phishing permea la formazione sui casi concreti, in cui la piattaforma pone l’utente dinanzi a una serie di minacce, sotto forma di email truffa. Man mano che il dipendente cresce nella sua consapevolezza, aumenta il livello di camuffamento, che procede per gradi. «Per il terzo livello, quello induttivo – sottolinea Baroni – abbiamo introdotto una mini serie TV, che trasmette piccole storie cyber, sempre con l’obiettivo di stimolare un cambio di passo nelle abitudini che duri nel tempo». I percorsi di addestramento di Cyber Guru si adattano costantemente al profilo comportamentale dell’utente, attraverso algoritmi guidati dall’intelligenza artificiale. Con tecniche di gamification si punta a sviluppare una competizione virtuosa in grado di coinvolgere l’intera organizzazione, con un approccio che richiama anche le tecniche di team building. La leva è anche individuale e punta allo sviluppo di benefici personali che derivano da un percorso formativo volto a proteggere la persona prima dell’organizzazione stessa.

Leggi anche:  CyberExpert: la risposta agli attacchi informatici di Namirial

La formazione di Italiaonline

Uno dei principali gruppi digital italiani, Italiaonline  ha implementato con successo un programma di formazione di Cyber Awareness. «Allenare i dipendenti su scenari che davvero possono presentarsi dinanzi ai loro schermi è il punto di snodo» – afferma Marcello Fausti, head of cybersecurity di Italiaonline. «A dicembre 2019, abbiamo pianificato l’attività lungo dodici mesi proprio grazie al supporto della piattaforma di Cyber Guru. In tutto, dodici moduli su dodici temi, tra i più di tendenza, dal phishing all’email security, passando per web browsing e fake news. È stata arruolata tutta la popolazione aziendale, composta da circa 1.800 persone, con rate del 90% di partecipazione e del 60% di utenti rimasti in corso. Realizzando campagne di simulazione, è stata utilizzata una modalità centrata sull’interazione: ogni volta che si supera un test, l’utente è chiamato a misurarsi con prove sempre più impegnative. Un meccanismo interessante per le aziende, che accompagna per step successivi il personale, verso gradi di apprendimento sempre più elevati». Nel giro di un anno, Italiaonline ha più che raddoppiato l’indice di resilienza di dipendenti e collaboratori, ovvero la resistenza alla tentazione di cliccare su un link senza chiedersi prima le eventuali conseguenze. «L’indicatore per noi più importante risiede però nel numero di segnalazioni, che ancora oggi riceviamo, inviate da chi ha un dubbio dopo aver ricevuto una email o un messaggio poco chiaro. Per noi, questo rappresenta un reale switch nelle abitudini e lo scopo cardine di tutto il progetto».

L’aumento del rischio

L’estrema digitalizzazione delle attività, a causa del Covid-19, ha posto in essere una maggiore attenzione ai temi legati alla cybersecurity. Si crea quello che, nell’accezione di Boston Consulting Group, viene definito “shift del rischio”. Si passa dalle rapine in banca alle rapine digitali, dalle frodi porta a porta a quelle online. Tale scenario si differenzia dalle minacce tradizionali perché sfrutta le debolezze dei comportamenti individuali. Firewall e VPN oggi possono fare molto per proteggere i sistemi aziendali, ma nulla può essere realmente ottimizzato se poi vengono meno le regole di cyber-igiene basilari. «Un programma di cyber-culture deve abilitare la consapevolezza dei rischi di comportamenti scorretti, per stare al passo con la trasformazione digitale e mantenere elevati e costanti nel tempo i livelli di attenzione» – afferma Luca Foresi, principal di Boston Consulting Group. «Un approccio a tre fasi permette di potenziare e sostenere un programma di addestramento cyber-resiliente. In Boston Consulting, partiamo dal Discovery & Plan, dove si valutano le situazioni attuali rispetto alle desiderate, per identificare le necessità sugli stakeholder. Poi, la fase di Execute, dove vengono lanciate le attività per attivare i comportamenti desiderati. Infine, quella di Sustain, in cui si misura e rafforza la cultura della sicurezza. Il successo dell’iniziativa è legato al suo grado di interattività. In molti casi, l’efficacia è limitata a causa di strumenti obsoleti. Servono contenuti dinamici, personalizzabili e ricchi di gamification» – spiega Foresi. Come ricorda Baroni di Cyber Guru, la formazione digitale ha bisogno adesso di entrare in una nuova fase – «dove il pubblico di riferimento deve estendersi dalla nicchia alla massa, intesa quale intera popolazione dell’azienda cliente». Questo perché tutti, dal top manager al nuovo impiegato, hanno accesso a reti e infrastrutture che, seppur a livelli differenti, rappresentano vettori di intrusione e infezione. Peraltro, sono diverse le opportunità di rientrare dei costi sostenuti per mettere in piedi i corsi, grazie al credito d’imposta formazione 4.0, che permette a chiunque di preparare costantemente i propri dipendenti, in maniera adeguata, così che non cadano nelle trappole quotidiane che si trovano dinanzi.

Leggi anche:  Come si vendono i malware sul dark web? La storia del nuovo Rogue