Il cyber crimine è un’emergenza globale e le aziende di tutto il mondo stanno aumentando gli investimenti per contrastare l’attività dei pirati informatici. Se antivirus, firewall e strumenti di protezione vari sono una dotazione indispensabile, il fattore determinante indicato dagli esperti di sicurezza per bloccare i cyber attacchi è in realtà molto più “analogico”: lavorare sul fattore umano per insegnare loro a riconoscere ed evitare le trappole online. Un suggerimento che molte aziende stanno prendendo sul serio, con ottimi risultati. «Nella nostra azienda abbiamo avviato un percorso di tre anni di formazione dei dipendenti con Cyber Guru sul tema della cyber security» spiega Giovanna Ruggieri, Head of ICT di EP Produzione. «L’obiettivo è quello di fornire ai nostri dipendenti e collaboratori gli strumenti per evitare di rimanere vittima di attacchi online». Un percorso che va ben oltre i soliti corsi di formazione a cui siamo abituati.
Trasformare l’anello debole della cyber security in un punto di forza
Lo hanno confermato anche alcuni dei più famosi hacker della storia: nella maggior parte dei casi, gli strumenti per violare le reti informatiche non richiedono strumenti tecnologici, ma un po’ di inventiva e la capacità di “convincere” un dipendente a fornire le informazioni che servono per fare breccia nel network. In gergo viene chiamata “social engineering” o “ingegneria sociale” e ha un livello di efficacia sorprendente. L’esempio più semplice del suo utilizzo è quello di contattare telefonicamente un dipendente fingendo di essere un addetto alla manutenzione di sistemi informatici ed estorcergli le credenziali di accesso al computer facendogli credere che siano necessarie per eseguire un intervento sui sistemi. La declinazione “moderna” di questa tattica è il phishing, in cui la richiesta di username e password non avviene a voce, ma attraverso un falso sito web in tutto e per tutto identico all’originale, ma che in realtà è sotto il controllo dei pirati. Il vettore di attacco usato è normalmente una semplice email o un messaggio istantaneo, in cui viene riportata una qualsiasi giustificazione (apparentemente plausibile) per aprire il link malevolo. Come ricordano gli esperti di cyber security, imparare a riconoscere questo tipo di trappole è il modo migliore per scongiurare gli attacchi diretti all’azienda. «Nel nostro caso abbiamo assistito a un drastico calo dei click su questo tipo di collegamenti» conferma Giovanna Ruggieri. «I test eseguiti dopo il percorso di formazione hanno evidenziato come siamo passati dal 90% di click a un più rassicurante 3%».
La nuova dimensione della formazione passa dalla gamification
Se la formazione in ambito cyber security non è certo una novità, ciò che oggi la rende più efficace e coinvolgente è la sua declinazione attraverso strumenti molto più “attraenti” di un semplice corso frontale. La piattaforma di Cyber Guru utilizzata da EP Produzione, per esempio, adotta la strategia della gamification, cioè della declinazione della formazione in una forma di competizione collaborativa tra i partecipanti. «I dipendenti dell’azienda sono organizzati in squadre e i loro risultati in fase di verifica vengono valutati con punteggi che convergono in uno score complessivo della squadra» spiega Ruggieri. «In questo modo si innesca un meccanismo di collaborazione basato sullo spirito di squadra e il percorso di formazione acquisisce un maggior appeal». I moduli formativi sono organizzati in “pillole”, attraverso video interpretati da attori professionisti cui seguono dei test di verifica dell’apprendimento. Per passare a quello successivo è necessario superare un certo punteggio. La funzione dei test, che vengono pianificati in modo da mettere alla prova la capacità dei dipendenti di individuare sia le minacce generiche, sia quelle confezionate da hoc per le caratteristiche dell’azienda, è quindi duplice: da una parte permette di verificare i progressi dei lavoratori coinvolti, dall’altre ha la funzione di “stimolo” a partecipare.
Un doppio risultato grazie alla formazione
Dal punto di vista dei vantaggi che offre una preparazione in ambito cyber security di tutti i lavoratori, la ricaduta è doppia. Alcune delle norme di comportamento affrontate riguardano direttamente i possibili attacchi cui i dipendenti possono essere esposti, per esempio quelle riguardanti l’utilizzo delle chiavette USB in ambito aziendale e il rischio che si corre nel caso in cui contengano codice malevolo. «Altre, come quelle riguardanti la privacy e le precauzioni che è necessario prendere in attività come lo shopping online, puntano invece a creare una cultura della sicurezza più trasversale, che interessa anche la sfera privata dei dipendenti e che ha, in ogni caso, ricadute dirette sul livello di sicurezza dell’azienda» spiega Giovanna Ruggieri. In molti casi, infatti, i cyber criminali sfruttano le informazioni reperibili online sui lavoratori delle aziende per garantire una maggiore efficacia dei loro attacchi, per esempio utilizzando tecniche di spear phishing (messaggi ingannevoli confezionati su misura per il destinatario – ndr) che fanno leva sugli interessi o le mansioni specifiche delle potenziali vittime. La capacità dei lavoratori di limitare questa “fuga di notizie” dalla sfera privata diventa quindi un elemento di irrobustimento della sicurezza aziendale.
