Gamification: il gioco come opportunità di crescita
Introduzione
Che si tratti di comportamenti dannosi o errori involontari, i dipendenti di un’azienda sono senza dubbio il punto debole che mette maggiormente a rischio i dati più sensibili ed il corretto funzionamento dei sistemi IT aziendali. Il recente 2018 Insider Threat Report fornisce alcuni dati rilevanti a riguardo: il 90% delle organizzazioni si sente vulnerabile agli attacchi interni ed il 53% ha registrato attacchi ed incidenti provenienti dall’interno nei precedenti 12 mesi di attività (in genere meno di cinque attacchi).
Parlando di “minacce interne” troppo spesso le persone associano il termine solamente con i dipendenti malintenzionati che intendono danneggiare direttamente l’azienda attraverso furti o sabotaggi dei sistemi. In realtà, dipendenti o fornitori negligenti causano involontariamente un numero altrettanto elevato di violazioni della sicurezza e perdite per cause accidentali.
Operazioni quotidiane che ciascun dipendente aziendale compie ripetutamente come aprire una mail, inserire una chiave usb nel proprio laptop o aprire file Excel o PDF scaricati da Internet, sono tra gli esempi sulla carta più banali che possono essere fatti ma sono proprio quei comportamenti che maggiormente provocano danni ad un’azienda. Il dipendente è spesso inconsapevole della minaccia cyber e gli hacker lo sanno, sfruttando tali vulnerabilità per attaccare un’azienda. Il Report Clusit 2018 sottolinea come nel 2017 si è assistito in Italia ad un aumento del 34% di attacchi condotti con tecniche di Phishing / Social engineering. Inoltre, al giorno d’oggi, gli attaccanti possono sempre più fare affidamento anche sull’efficacia di malware “semplici” a costi sempre più decrescenti.
Risulta dunque di primaria importanza invertire tali tendenze, formando i propri dipendenti, aumentandone la consapevolezza rispetto ai comportamenti da seguire per fronteggiare le numerose minacce del cyber spazio.
Per fare ciò, oltre ai metodi di formazione tradizionali offerti (quando offerti) ai dipendenti sulle tematiche di cyber security, risulta estremamente utile introdurre soluzioni più coinvolgenti come la gamification. La gamification è quel processo utile a coinvolgere le persone e cambiarne i comportamenti utilizzando le meccaniche di gioco in un contesto non di gioco. In sostanza, è prendere la parte divertente dei giochi ed applicarla a situazioni che forse non sono così divertenti, come bloccare il prossimo hacker prima che lo stesso riesca ad infiltrarsi nella rete di un’azienda.
Grazie alla gamification, le organizzazioni stanno scoprendo nuovi modi per educare i dipendenti sull’importanza della sicurezza informatica, attraverso elementi di gioco come competizioni individuali, programmi di rewarding ed altro ancora.
Comprendere le esigenze
L’introduzione della gamification non deve ridursi solamente ad un divertimento per i dipendenti ma deve necessariamente perseguire scopi ed attività mirate, che rispondano a specifiche domande e necessità previamente analizzate. Ciascuna azienda dovrebbe rispondere propriamente almeno a quesiti come:
- Quali sono gli incidenti più frequenti che si sono verificati?
- Quale sarebbe l’incidente più dannoso per l’azienda?
- Il problema potrebbe essere risolto attraverso l’utilizzo di tecnologie?
- Quale tipologia di gioco avrebbe l’impatto maggiore sulla sicurezza aziendale?
Per ridurre al minimo i rischi IT e l’esposizione di un’azienda e far fronte alle inevitabili minacce interne, esistono infatti numerose tecnologie utili a mitigare tali minacce. L’adozione di tecnologie di Data Loss Prevention (DLP), Crittografia dei dati, Log Management, la corretta Gestione delle identità e degli accessi (IAM), la protezione degli endpoint e dei dispositivi mobili, sono solo alcuni strumenti che le aziende dovrebbero considerare ed implementare per minimizzare il rischio di attacchi interni o perdite di dati.
Considerati dunque gli strumenti tecnologici utili a far fronte almeno in parte alle minacce interne, resta ugualmente da colmare il gap dovuto alla inconsapevolezza e all’imprevedibilità dell’attività umana. Tale gap potrebbe essere colmato proprio coinvolgendo attivamente i dipendenti attraverso la gamification. Le attività tradizionali di formazione, infatti, non risultano sempre sufficienti poiché tipicamente sono basate su:
- Condivisione di video, immagini, newsletter spesso direttamente cestinate dal dipendente;
- Mancanza di controllo sui dipendenti circa il corretto utilizzo degli strumenti di formazione forniti;
- Imposizione di corsi agli utenti che in tale modo non si sentono stimolati ad apprendere;
- Utilizzo di metriche di valutazione limitate al termine dei corsi (passato/fallito) che non registrano l’effettivo apprendimento dell’utente;
- Formazione su argomenti specifici, che lasciano scoperti innumerevoli altri argomenti.
Attraverso la gamification è invece possibile perseguire obiettivi differenti rendendo tali attività, che dovranno necessariamente presentare una natura volontaria, un programma a lungo termine per aumentare la consapevolezza e dei dipendenti. Non potrà dunque consistere in un one-time effort da parte del management aziendale, ma in un’attività che si protrae nel tempo, che incoraggia ed invoglia i dipendenti stessi a cercare formazione e opportunità per aumentare la propria consapevolezza sui rischi cyber.
Definire le regole del gioco
Il gioco può rendere il processo di formazione più interessante e coinvolgente per i dipendenti, aumentando la consapevolezza dei dipendenti sulle pratiche di sicurezza informatica, incluso il modo corretto di affrontare gli attacchi. Come in ogni gioco, alla base c’è sempre la definizione di regole chiare che ciascun partecipante conosce.
Prima di tutto, è necessario stabilire obiettivi chiaramente definiti e raggiungibili e quali premi / ricompense possono essere ottenuti. I programmi di rewarding, attraverso premi in denaro, buoni regalo o vantaggi aziendali, per ricompensare i dipendenti quando rispettano le regole e raggiungono gli obiettivi, li incoraggerà anche ad adottare un comportamento più attento e proattivo. Al contrario, se un dipendente continua a mostrare uno scarso interesse nei confronti di tali iniziative o risultati sotto le aspettative, si può esibire un “cartellino rosso” all’interno dell’organizzazione al fine di evidenziare la necessità di ulteriore formazione sulla sicurezza informatica.
Le regole del gioco devono dunque chiarire in che modo i partecipanti possono raggiungere gli obiettivi, creando limitazioni per il raggiungimento degli stessi affinché il gioco sia più coinvolgente. I partecipanti devono essere ovviamente informati sul loro rendimento, attraverso ad esempio una graduatoria mensile consultabile da tutti i dipendenti, così che anche l’organizzazione sappia quali dipendenti sono più meritevoli. Un tale meccanismo di feedback è un ulteriore modo di incentivare la partecipazione al gioco.
Ovviamente, la gamification risulta efficace solamente se i dipendenti applicano le lezioni apprese agli scenari del mondo reale. Per questo motivo, è fondamentale che le aziende misurino l’efficacia della gamification riducendo il rischio reale di incidenti o attacchi cyber. Per fare ciò, le organizzazioni dovrebbero condurre audit periodici e valutazioni circa la sicurezza informatica all’interno dell’organizzazione per determinare quali dipendenti rappresentano ancora un rischio al di fuori dell’ambiente di gioco.
Let’s play!
Il recente report “Winning the Game” pubblicato da McAfee evidenzia come all’interno delle organizzazioni che adottano programmi di gamification, hackathon, capture-the-flag, red team – blue team o bug bounty programs sono i giochi più comuni.
Attraverso l’organizzazione di un Hackathon è possibile riunire programmatori, sviluppatori, esperti di cyber security ed operatori del web che, per un determinato periodo di tempo che varia generalmente da due giorni fino ad una settimana, collaborano in cerca della soluzione ad un problema informatico relativo ad un software o ad un hardware. I premi, che generalmente sono in denaro, possono raggiungere cifre anche molto consistenti fino ad 1 milione di dollari.
Un Capture the Flag consiste in un gioco di hacking dove squadre o singoli cercano vulnerabilità nei sistemi e software messi a disposizione dagli organizzatori della competizione al fine di sfruttarle e di collezionare le varie “bandiere” nascoste sul sistema bersaglio.
Red Team – Blue Team è un altro gioco di simulazione ed allenamento in cui i membri di un’organizzazione sono divisi in due squadre che devono competere in prove per identificare vulnerabilità nei sistemi e falle di sicurezza nell’infrastruttura di un’azienda. Il team rosso rappresenta gli attaccanti che, attraverso sofisticate attività di “penetration test”, effettuano un valido assessment delle capacità difensive dell’azienda. La fase difensiva, in questo scenario, è invece demandata al Blue Team. Le vulnerabilità possono essere individuate su tre dimensioni differenti: People, Process and Technology.
Infine, attraverso un Bug Bounty Program è possibile premiare coloro che scovano una vulnerabilità in un sistema e la riportano in maniera tempestiva a chi gestisce il sistema. Nella maggior parte dei casi le ricompense sono in denaro, ma non mancano altri esempi come nel caso della United Airlines che mette in palio le proprie miglia.
È ovviamente possibile organizzare anche giochi per dipendenti con competenze professionali meno tecniche ma che necessitano ugualmente lo stesso tipo di formazione. Si possono infatti predisporre apposite classifiche basate, ad esempio, su punteggi attribuiti ai clic effettuati per aprire e-mail inviate durante campagne di phishing simulate, alle segnalazioni di email di phishing effettuate tramite i corretti canali di comunicazione aziendali, restituzione di dispositivi USB trovati incustoditi oppure il completamento di un corso di formazione entro un certo periodo di tempo.
Conclusioni
Al fine di introdurre queste attività all’interno del contesto aziendale, il top management dovrà necessariamente considerare il trade-off costi / benefici. Investimenti economici ed aspetti organizzativi potrebbero avere impatti rilevanti sull’azienda ma, al contempo, i benefici derivanti dalla gamification potrebbero evitare danni economici e reputazionali molto più ingenti dell’investimento effettuato. Lo stesso report “Winning the Game” sottolinea come quasi tutte le organizzazioni (il 96%) che adottano la gamification in un contesto lavorativo riferiscono di trarne evidenti benefici. Tre quarti (77%) degli alti dirigenti intervistati concordano che la loro organizzazione sarebbe più sicura se sfruttassero di più programmi di gamification.
In conclusione, la gamification nelle sue varie forme è senza dubbio una delle soluzioni ideali per rafforzare positivamente la consapevolezza e la formazione dei dipendenti in ambito cyber security. Proporre giochi stimolanti ai propri dipendenti riduce inoltre i normali tempi di formazione, garantendo un’attenzione continua agli aspetti di sicurezza informatica ed aumentando di conseguenza il livello di resilienza dell’azienda ad attacchi ed incidenti cyber.
Articolo a cura di Emanuele Spagnoli
Emanuele ha conseguito la Laurea Magistrale in Ingegneria Gestionale all'Università "Sapienza" di Roma ed ha maturato un'esperienza di circa 3 anni nel settore della cyber security. Possiede competenze su tematiche riguardanti Information & Cyber Security Governance, Information Security Risk Management, Privacy & Data Protection, Impact Assessment, Business Continuity Management. Possiede profonda conoscenza del Framework Nazionale di Cyber Security e sue contestualizzazioni ed in collaborazione con il CIS Sapienza è co-autore dell'Italian Cyber Security Report 2016. Completano il suo profilo le certificazioni ISO/IEC 27001:2013, ISO 22301:2012 Lead Auditor e diverse pubblicazioni a livello nazionale ed internazionale.
Gli articoli pubblicati rispecchiano esclusivamente le idee personali dell'autore e non riflettono il pensiero ufficiale di alcuna azienda o associazione.