La sfida della consapevolezza nella Cybersecurity passa per la Gamification, perché l’applicazione di tecniche di gioco impegna efficacemente l’utenza e ne ottimizza formazione e addestramento
L’obiettivo primario di chi si occupa di sicurezza informatica è disseminare, spiegare e informare come primo passo verso un approccio preventivo consapevole della minaccia. Una possibile evoluzione del training svolto in aula o tramite piattaforma digitale è costituito dalla gamification, che applica le tecniche di gioco per coinvolgere il pubblico in ambiti tematici normalmente avulsi da applicazioni ricreative.
Learning by doing
Fin dal 2012 Gartner aveva preannunciato che il 40% delle organizzazioni Global 1000 avrebbe impiegato il gaming per migliorare le proprie attività commerciali degli anni successivi. Già da allora l’80% dei dipendenti si era dimostrato entusiasta del “learn by doing” introdotto dalla gamification. Ricordiamo comunque che, in ambito miliare, la US air Force nel lontano 2010 commissionò giochi sulla Cybersecurity Awareness per le tematiche di phishing, gestione delle password e rischi delle reti peer-to-peer, alla Wombat Security Technologies con un contratto da 850 K$.
Giocare alla Cybersecurity
L’approccio più intuitivo e immediato è costituito dall’adozione di giochi divertenti, visivamente attraenti e addirittura di carattere familiare per stimolare la sensibilizzazione alla sicurezza. I giochi creano una opportunità di apprendimento attiva che aumenta anche la maggior retention dei concetti di cybersecurity e awareness sottesi al gioco, in contrapposizione alle tecniche di apprendimento passivo più tradizionali basate sulla lettura, l’osservazione e l’ascolto).
Alcune società specializzate nella formazione hanno da tempo sviluppato divisioni dedicate al gaming e sviluppato template di giochi in risposta alle richieste di campagne informative aziendali predisponendo format, moduli e template di gioco che sono personalizzabili sulla realtà cliente. Negli States PWC propone il Game of Threats ™ , un gioco digitale progettato per simulare la velocità e la complessità di una vera violazione informatica. Due team “giocano” alla partita di attacco e difesa per esercitarsi nella decisionalità ad alto impatto ma in presenza di informazioni minime.
Cosa succede in Italia
In Italia una delle esperienze di gaming in favore della tutela della reputazione aziendale durante una crisi di sicurezza è stata realizzata da Thales che con il suo Cyber game allena nella valutazione delle reazioni durante un cyberattacco perpetrato verso un gigante petrolchimico di livello mondiale. Nel corso del gioco sono valutate le reazioni e decisioni dei partecipanti e dei ruoli loro assegnati, mentre al termine della simulazione ogni giocatore riceve un comunicato stampa che evidenzia la reazione dei media alle sue decisioni e comunicazioni. L’utilizzo aziendale di giochi in favore dell’awareness è stata anche accennata recentemente al convegno annuale ABI BANCHE E SICUREZZA 2017 da Nicola Sotira Direttore Generale Fondazione GCSEC e Information Security Manager di Poste italiane.
Approccio al Gioco Organizzativo
Una delle proposte dalla community di Cybersecurity risiede nell’impegnare l’utenza non mediante la creazione di giochi semplicemente inerenti alla sicurezza, ma di prendere l’intero processo della Security Awareness e di renderlo un concorso o un gioco all’interno dell’organizzazione aziendale introducendo modalità che possano interessare, ingaggiare, favorire l’apprendimento (formazione) e l’esercitazione (addestramento) per raggiungere una maggiore prontezza operativa nel day by day o in ambiti specifici. In particolare sono suggerite alcune misure:
Sfide: dotarsi di strumenti per organizzare sfide di sensibilizzazione alla sicurezza tra singoli utenti o gruppi (dipartimenti).
Valuta o punti: generare un sistema di rinforzo positivo verso l’awareness della security mediante l’assegnazione di punti con cui ottenere benefits, che si possono accumulare durante le sfide, mediante formazione o aiutando i colleghi.
Livelli di addestramento: introdurre targhette distintive o badge colorati per distinguere i vari livelli di awareness raggiunti e legati al sistema incentivante.
Master control Board: introdurre un sistema di monitoraggio degli scores in relazione ai tempi di formazione e raggiungimento dei risultati e permettere ai dipendenti a punteggio master di passare al comando del gioco della awareness aziendale.
Quale che sia la scelta di una qualsiasi realtà pubblica o privata, verso lo strumento per aumentare l’Awareness nella Cybersecurity, la preghiera è sempre la stessa: fate un primo passo reale e operativo e non restate immobili a guardare gli accadimenti circostanti, a causa della solita considerazione “tanto a me non succederà mai”. Potreste scoprire che siete in cronico ritardo, se non già una vittima.