Le persone come primo presidio di difesa contro la crescita delle minacce cyber. L’azienda italiana specialista della Cyber Security Awareness ha messo a punto una piattaforma SaaS di e-learning che addestra a riconoscere istintivamente le trappole dell’ingegneria sociale, indirizzando il lato umano della cybersecurity
La catena della sicurezza informatica ha un anello debole fatto di carne, ossa ed emotività. E come in tutte le catene che si rispettino, la robustezza complessiva dipende dal fattore umano: i comportamenti fraudolenti e le condotte imprudenti, davanti a minacce ben camuffate o poco sperimentate, rappresentano l’anello debole della catena della cybersecurity. Basta vedere come le persone reagiscono davanti a un messaggio di posta elettronica pensato per indurre a cliccare su un indirizzo Internet maligno. A dispetto di incongruenze, errori di sintassi e origini sospette, è facilissimo “fare click” senza esitare un attimo. Colmare questo vuoto di consapevolezza è la missione di Cyber Guru, l’azienda italiana specialista della Cyber Security Awareness in grado di superare gli approcci più convenzionali alla formazione, trasformando il fattore umano da anello debole a prima linea di difesa contro il cybercrime. Al centro, c’è la sofisticata piattaforma di e-learning che, attraverso un costante esercizio di apprendimento, allena e rafforza il senso di istintiva diffidenza di fronte ai variegati tentativi di hackeraggio di dati e infrastrutture. Tentativi che in molti casi vanno in porto nonostante le mille barriere tecnologiche erette dagli ingegneri della sicurezza informatica. Lo scopo non è certo quello di relativizzare il ruolo degli ingegneri.
«Tutto il contrario» – come spiega il CEO Gianni Baroni, manager dell’innovazione che 15 anni prima di Cyber Guru aveva fondato il Gruppo Daman per rendere accessibili alle imprese italiane le soluzioni informatiche più innovative. «Lo scopo è proprio quello di dare ulteriore valore alle tecnologie della sicurezza, rendendole ancora più efficaci e all’altezza delle risorse investite. Un comportamento avventato, inconsapevole, comunemente declinato come “fattore umano”, è quasi sempre alla base delle compromissioni più devastanti» – continua Baroni. «Agendo sul comportamento delle persone, l’esperienza diventa una formidabile alleata della tecnologia. Noi tutti impariamo fin da bambini, quasi sempre a nostre spese, che certe cose semplicemente “non si fanno”. Non si mette la mano nell’acqua che bolle. Non ci si mette in bocca un panino trovato per strada». Perché allora, resta da chiedersi, dovremo inserire nel portatile la chiavetta che qualcuno ha lasciato sul sedile del treno?
RAFFORZARE L’ANELLO DEBOLE
In un mercato popolato di sistemi firewall e antivirus, Cyber Guru è un maestro di consapevolezza che aiuta a combattere i ransomware, il phishing e la cosiddetta “ingegneria sociale” con le stesse armi, usando la psicologia, la scienza della formazione, la usabilità per sviluppare contenuti educativi in grado di fare da barriera umana contro il cybercrime. Parallelamente, il suo sistema ricorre all’Intelligenza Artificiale per misurare e gestire in modo oggettivo l’efficacia dell’addestramento fornito. Somministrando tutto questo, attraverso una piattaforma SaaS che ha già convinto, in Italia, oltre cento clienti B2B. Tanto che oggi Cyber Guru si sta attrezzando per estendere ulteriormente la penetrazione nel mercato nazionale ed esportare il modello in Europa e non solo. «Ci siamo resi conto del problema, ascoltando le reazioni delle aziende che investono in cybersecurity» – spiega Gianni Baroni. «Il punto di partenza è come impedire che i collaboratori siano indotti a cliccare sui link che sfuggono ai filtri antiphishing. Riconosciuta l’esistenza di un gap di conoscenza e di percezione, l’unica strada percorribile è quella dell’educazione. Un training – sottolinea Baroni – capace di far arrivare i messaggi di educazione alla sicurezza nel modo più capillare possibile, perché tutti in azienda, dal centralinista al manager, possono essere colti in fallo e rappresentare il temuto anello debole della catena». Le soluzioni di e-learning già presenti sul mercato spesso non sono all’altezza del compito. «Per creare vera awareness non basta disporre di un valido contenuto» – continua Baroni. «Bisogna incidere sul comportamento delle persone. La formazione deve essere continuativa e rafforzata da un costante allenamento». Il successo di Cyber Guru sta proprio nell’aver intuito la necessità di abbinare al contenuto un meccanismo di ingaggio ricco di aspetti di coinvolgimento e gamification, frutto di un accurato studio dei principi psicologici dell’insegnamento. Nel 2019, il primo test effettuato per conto di un grande gruppo bancario ha avuto esiti così positivi che hanno incoraggiato Baroni a rilanciare su larga scala la piattaforma realizzata.
APPROCCIO VINCENTE
I corsi online di consapevolezza anti-hacker erogati da Cyber Guru hanno così cominciato a macinare nuovi clienti disposti di buon grado a sottoscrivere un servizio che prevede, come una vera e propria scuola, un triennio di formazione mirata a ridurre in modo sensibile la superficie di attacco esposta alle minacce informatiche. In questo senso, l’azienda romana è uno dei primi esempi di startup di cyber security con un approccio “laterale” di edutech al tema della protezione. Nel 2021, viene chiuso il primo round di finanziamento con due fondi specializzati in società “early stage”, l’italiana P101 Ventures e la spagnola Adara Ventures. I 3,6 milioni di euro raccolti hanno alimentato una crescita sorprendente per una realtà così giovane, pur all’interno di un mercato molto sensibile alla questione. Nello stesso anno, il fatturato rispetto al precedente è raddoppiato. In questo 2022, dovrebbe ulteriormente accelerare. Superata la boa dei cento clienti e pronta ad affrontare la fase di espansione all’estero (prima con Francia e Spagna e poi con Germania e Regno Unito), Cyber Guru è pronta a crescere anche in termini di head-count. Partita da dieci dipendenti, attualmente l’azienda ha 36 collaboratori, 25 dei quali concentrati sugli aspetti dello sviluppo, e prevede di effettuare altre 25 assunzioni entro la fine anno, quando dovrebbe scattare il secondo round di investimento da parte di un fondo internazionale. «Il business della security awareness richiede competenze di e-learning, di scienze della comunicazione e di educazione specifica rivolta agli adulti. Per questo lavoro, occorrono capacità di trasferimento delle conoscenze e competenze tecniche di diverso tipo, non molto comuni da reperire. Realizzare un video sul fenomeno del phishing è relativamente semplice, ma i nostri messaggi devono non solo catturare l’attenzione dell’utente ma ingaggiare le persone per mettere in atto comportamenti corretti». Alle figure professionali appartenenti al mondo della formazione, si aggiungono quelle specializzate in informatica perché alla base della metodologia escogitata da Cyber Guru c’è una piattaforma di e-learning dedicata. «Su un fronte cerchiamo sviluppatori specializzati in interfacce, sull’altro professionisti di contenuti formativi, esperti in instructional design. Sono competenze atipiche per l’IT e rare da trovare sul mercato» – osserva Baroni. La sua startup annovera tra i collaboratori un team di psicologici, che in ottica di futura espansione geografica hanno il compito di approcciare il problema della formazione in lingue diverse dall’italiano, non semplicemente traducendo, ma cercando leve comunicative e stili di apprendimento più efficaci nei diversi contesti culturali.
ESPANSIONE E CRESCITA
La guida operativa di Cyber Guru, che si appresta ad affrontare una ambiziosa fase di consolidamento e di espansione, viene coordinata insieme al country manager Vittorio Bitteleri. Con una lunga esperienza in multinazionali della cybersecurity, Bitteleri racconta di aver trovato in Cyber Guru il contesto ideale per applicare concretamente la profonda conoscenza delle problematiche di sicurezza abbinate al grado di ricettività da parte degli utenti finali. «Il problema della consapevolezza è già stato affrontato in passato, anche da vendor di alto profilo» – spiega Bitteleri. «Lavorare sul fattore umano è un approccio già praticato in passato, ma senza produrre grandi risultati a causa dell’inadeguatezza delle piattaforme e della scarsa considerazione da parte del mercato». L’azienda romana è intervenuta su entrambi i fronti, ripensando la formazione dal punto di vista sia tecnologico sia commerciale. «Con il mio arrivo in Cyber Guru nel 2020 – continua Bitteleri – abbiamo adottato una strategia a tridente, innanzitutto promuovendo il brand in modalità diretta su una prima serie di end user motivati. Con la struttura del marketing, abbiamo esteso questa visibilità attraverso le tipiche iniziative promozionali, avviando contemporaneamente un’azione rivolta alla vendita indiretta».
In collaborazione con Arrow Electronics, distributore ben noto sul mercato delle soluzioni di cybersecurity, con cui Bitteleri ha siglato un contratto esclusivo, oggi vengono concertate tutte le iniziative per sviluppare un canale capace di indirizzare un numero potenzialmente molto elevato di clienti. «La questione dell’awareness riguarda tutti, dalla piccola impresa al colosso con migliaia di dipendenti» – afferma Bitteleri. «I servizi che offriamo sono al 100% in cloud, non richiedono investimenti in infrastrutture e competenze: i responsabili interni alle aziende hanno a disposizione una dashboard che rende facilmente visibili i progressi compiuti». Rispetto al passato, l’interesse dimostrato nei confronti della piattaforma ha stimolato la nascita di una strategia commerciale articolata verso il canale. «La richiesta c’è. Il fatto che Cyber Guru abbia coinvolto tanti clienti in un solo anno di attività lo dimostra. I partner che oggi propongono un servizio di formazione sulla sicurezza sono più credibili anche nella rivendita di servizi complementari. L’upselling di nuovi prodotti diventa più facile se i tuoi clienti sono preparati ad accettarli».
Leonida Gianfagna R&D director di Cyber Guru
INVESTIRE IN FORMAZIONE
L’assetto di Cyber Guru da un punto di vista più tecnologico è affidato a Leonida Gianfagna, R&D director. «Per rispondere in maniera adeguata agli attacchi cyber sempre più evoluti e pericolosi, occorre fornire una formazione il più possibile mirata alle singole persone. Non possiamo basarci su algoritmi “statici”, uguali per tutti» – spiega Gianfagna. «Per questo, stiamo mettendo a punto un modello di machine learning che sulla base dello storico dei comportamenti dell’utente ci aiuterà a disegnare il percorso più efficace per raggiungere gli obiettivi formativi dell’azienda». L’intelligenza artificiale è in una fase di crescita esplosiva e influisce su diversi ambiti applicativi. Come distinguere il reale valore dal semplice “hype”? «Per quanto concerne la cyber security – continua Gianfagna – il machine learning sta entrando prepotentemente sia nelle difese anti-phishing sia nella correlazione degli eventi di sicurezza. Vogliamo sfruttare il ML ai fini della adattività della formazione individuale». Formazione e difesa sono legate a doppio filo. In tutti e due i casi – come spiega il responsabile R&D di Cyber Guru – l’obiettivo di fondo è lo stesso: superare i limiti degli algoritmi non dinamici. Gianfagna prova a fare un esempio derivato dalle ricerche nel campo del riconoscimento visivo. «Scrivere un algoritmo capace di distinguere la figura di un cane da quella di un lupo è complicato, non ci sono abbastanza caratteristiche univoche. Ma il problema si può risolvere con un modello di apprendimento di machine learning supervisionato. Non riusciamo a “spiegare” al software come riconoscere il lupo, ma possiamo addestrarlo a farlo». L’approccio che il software anti-phishing usa per riconoscere gli schemi sospetti di un messaggio e-mail, insomma, offre lo spunto per la creazione di percorsi di formazione adattivi. Questo percorso è costituito da tre componenti di cui si può fruire in modo indipendente: Cyber Guru Awareness, Cyber Guru Phishing e Cyber Guru Channel.
COME RICONOSCERE LE TRAPPOLE
Cyber Guru Awareness è il modulo dedicato a tematiche generali, costituito da un pacchetto di microlezioni di cinque minuti e da un test su tematiche come i malware, il phishing, l’uso delle password e delle chiavette USB, e così via. Il paradigma utilizzato è quello della formazione continua con brevi sessioni periodiche che insegnano come proteggere al meglio i propri dati. Le istruzioni sono rivolte alla persona, più che all’organizzazione, proprio con l’obiettivo di aumentare l’interesse nei confronti di nozioni utili anche fuori dal lavoro. La fase di allenamento è strutturata come un gioco di squadra, con gli allievi organizzati in gruppi che competono per ottenere le valutazioni migliori. Cyber Guru Phishing è un corso più diretto che prevede un sistema di invio a sorpresa di messaggi di posta elettronica, senza nessun intervento da parte dei responsabili della sicurezza dell’azienda.
Il contenuto dei messaggi diventa gradualmente più subdolo, in funzione dei livelli di consapevolezza acquisiti e misurati. In altre parole – come spiega Baroni – gli utenti più smaliziati ricevono messaggi più difficili da riconoscere, come in un gioco matematico di progressiva difficoltà. «Nell’arco di pochi mesi, la consapevolezza cresce anche in misura del 400% in rapporto alla diminuzione del numero di click registrati dopo ogni round di invio dei messaggi» – sottolinea il CEO di Cyber Guru. «L’allenamento fa aumentare la capacità di riconoscere i messaggi fraudolenti aumentando la resistenza, proprio come quando si fa jogging. E la percentuale di chi ci casca, si riduce». Dopo la formazione cognitiva focalizzata sull’awareness e quella esperienziale sulle tecniche di phishing, c’è l’apprendimento induttivo di Cyber Guru Channel, una sorta di miniserie televisiva curata da Alessandro Curioni, docente di sicurezza informatica alla Cattolica di Milano. L’esperto aiuta a confezionare un copione che espone l’attore protagonista dei filmati a diversi scenari di attacco, giocando sulla immedesimazione nella rappresentazione delle diverse ipotesi di rischio. Qui lo spettatore viene sollecitato a imparare dagli errori commessi, adottando comportamenti corretti. L’intero settore dell’edutech ha ricevuto una grande spinta durante i due anni di sostanziale blocco delle attività di formazione in presenza. «La pandemia ha sicuramente aiutato a sdoganare l’e-learning» – riconosce Baroni, senza però nascondere le difficoltà poste dal governo di una startup che necessita di competenze molto specifiche. «Oltretutto, gestire la prima fase della strategia di un progetto così ambizioso in modalità remota, senza potersi incontrare fisicamente, ha richiesto grande impegno».
Debora De Cosmi Customer Success Team director di Cyber Guru
COME ALLENARE LE CONOSCENZE
Il direttore didattico della piattaforma è Maurizio Zacchi, responsabile della Cyber Academy. Cyber Guru mette quotidianamente in campo tutte le più avanzate tecniche di apprendimento e tutti i principi dell’insegnamento multimediale per facilitare i propri allievi. «La figura dell’instructional system designer – spiega Zacchi – guida tutto il processo di sviluppo e si avvale di un team multidisciplinare in grado di fornire tutte le competenze che servono a centrare il bersaglio». Dopo i primi tre anni di formazione impostati in chiave più educativa, si passa a una forma di istruzione attiva che permette di allenare le conoscenze acquisite dall’utente in un contesto più “situazionale”. «Alla conclusione del primo ciclo di formazione – continua Zacchi – l’utente acquisisce tutte le conoscenze fondamentali per mettere in pratica comportamenti idonei a non compromettere la sicurezza aziendale. Da quel momento in poi, la nostra scuola si trasforma in una palestra, rivolta a mantenere questa conoscenza». I laboratori che sviluppano contenuti e tecnologia procedono di pari passo per dar vita a una proposta sempre più innovativa e coerente con l’evoluzione delle tecnologie di e-learning». Adattività, efficacia, semplicità d’uso e coinvolgimento degli utenti finali sono quindi gli elementi base dello sviluppo della piattaforma Cyber Guru. «La sfida più grande per un’azienda in rapida espansione come Cyber Guru – rileva il product manager Giovanni Mosiello – è mantenere la capacità, tipica delle startup, di adattarsi alle esigenze del mercato creando, settimana dopo settimana, un prodotto sempre migliore in grado di aiutare i nostri clienti a raggiungere gli obiettivi di apprendimento e consapevolezza». Cyber Guru 2.0 – come anticipa Mosiello – offrirà inoltre ai nostri partner una soluzione semplice ed efficace per creare valore per i propri clienti, sfruttando al massimo le potenzialità di una rete di distribuzione diffusa ed eterogenea.
SUCCESSO EX-CATHEDRA
La cybersecurity è ormai un tema strategico ed è sempre più evidente che non esiste innovazione digitale senza sicurezza. In appoggio all’azione dei rivenditori diretti e indiretti, c’è poi la costante presenza di una squadra dedicata appositamente alla corretta configurazione del servizio. Debora De Cosmi, responsabile del Customer Success Team spiega che il suo mandato è gestire l’intero portafoglio clienti: dalla vendita e per l’intero ciclo di vita del prodotto. «Il Customer Success Team si occupa non solo di risolvere eventuali difficoltà, ma segue il cliente, anticipando i suoi bisogni e portando avanti una relazione diretta capace di creare valore per entrambe le parti». L’obiettivo è di ottenere la piena fiducia dell’utente, che sa di essere seguito in modo personalizzato in un contesto, il Software as a Service, a volte penalizzato dalla percezione di un’offerta a “taglia unica”. «La capacità di fidelizzare il cliente, di capire le sue esigenze e di prevenire i problemi mette il cliente stesso a proprio agio. E per noi – conclude Debora De Cosmi – è un modo per rendere unica l’esperienza di formazione». Evangelizzazione e fidelizzazione sono due parole chiave per una soluzione di teleformazione che fa del coinvolgimento e dello spirito di sana competizione un fondamento della propria efficacia. «E questo – riprende Bitteleri – vale sia in chiave interna, perché gli allievi dei corsi amano molto confrontarsi sui risultati raggiunti durante le lezioni e fanno a gara per ottenere i risultati migliori. Sia in chiave di marketing del passaparola, perché un allievo interessato e ben preparato tende a parlare dell’argomento sicurezza informatica con i suoi contatti di lavoro e con gli amici, diventando così, al tempo stesso, un propagatore di awareness e un ambasciatore di Cyber Guru». L’offerta formativa è in continuo aggiornamento per tenere il passo non solo con l’evoluzione delle minacce cyber ma anche con i tempi e le aspettative di apprendimento. «I responsabili dei contenuti – spiega il country manager – stanno lavorando sulla futura evoluzione del servizio, anche confrontandosi con i clienti che hanno già avviato un percorso con noi. Abbiamo accumulato un netto vantaggio rispetto ad aziende che stanno approcciano solo ora questa tematica e vogliamo conservare questo margine competitivo attraverso la ricerca, lo sviluppo delle soluzioni e la formazione in costante aggiornamento».
Daniela Di Cicco chief financial officer di Cyber Guru
PARTNER PROGRAM IN TRE LIVELLI
Il programma di canale premia, attraverso tre graduali livelli, i rivenditori più fidelizzati e capaci di generare nuovi clienti. Stefania Danzi, channel account executive di Cyber Guru, mette in evidenza l’importanza di dare riconoscimento ai partner che decidono di adottare le soluzioni Cyber Guru. Riconoscimento che avviene sia in termini di una precisa politica di “deal registration”, che tiene conto del ruolo del partner sia attraverso un piano di scontistica legato al raggiungimento di determinate soglie di fatturato o di certificazioni ottenute. «Il programma – spiega Stefania Danzi – punta a coinvolgere i partner che sono già naturalmente attratti dalle soluzioni Cyber Guru, in un’ottica di evangelizzazione». Il cloud in questo senso è un facilitatore dell’intero processo commerciale, perché nel servizio gestito da Cyber Guru c’è tutto quello che serve per promuovere la piattaforma attraverso sessioni demo che il potenziale cliente può visionare prima di decidere se sottoscrivere il contratto. In linea con i tempi, sono possibili anche modalità di vendita completamente da remoto. Secondo Stefania Danzi, il partner ideale è quello capace di comprendere le esigenze di tutti. «Dal rivenditore puro al managed service provider che può gestire la piattaforma per erogare specifici servizi a valore. Come del resto i big della system integration che possono inserire Cyber Guru in progetti di sicurezza complessi». «La Direzione Finanza e Amministrazione di una società come Cyber Guru che cresce di oltre il 100% anno su anno e che prevede l’imminente apertura di nuovi mercati all’estero, deve supportare un modello organizzativo in continua evoluzione che rappresenta una sfida continua in termini personali e professionali. L’intera organizzazione è chiamata a cimentarsi quotidianamente con nuove sfide che richiedono attitudine alla gestione del cambiamento, ma questa caratteristica, insieme al grande entusiasmo, è proprio uno degli elementi caratteristici dell’avventura professionale che si vive in Cyber Guru» afferma Daniela Di Cicco chief financial officer di Cyber Guru.
LA CULTURA DELLA SICUREZZA
Il progetto realizzato dai padri putativi di Cyber Guru Gianni Baroni e Maurizio Zacchi rappresenta un’eccellenza assoluta nel settore dell’e-learning. «I livelli di gradimento misurati sono molto elevati» – riprende Bitteleri. «Lo dimostra il tasso trascurabile di aziende che decidono di non rinnovare la sottoscrizione. Il mercato apprezza molto il nostro approccio che permette di trasformare la vulnerabilità del fattore umano in elemento di forza. Perché senza comportamenti corretti da parte delle persone, la tecnologia da sola non può affrontare tutte le situazioni di rischio informatico». Pronta a sfruttare il potenziale di interesse legato ai fondi del PNRR in Italia – dove la startup di Baroni può far leva su aspetti come la qualificazione AgID della sua piattaforma (unica piattaforma di awareness ad avere questo riconoscimento), conforme con i requisiti chiesti dai clienti della PA – Cyber Guru ha accettato la sfida dell’esportazione all’estero del suo approccio decisamente creativo, mettendo al centro della sicurezza informatica il fattore umano e la capacità delle persone di imparare attraverso gli errori e l’esperienza.
Foto di Gabriele Sandrini
