Clementoni sceglie Cyber Guru (Gruppo Daman) per la formazione cyber dei propri collaboratori. Conoscenza delle minacce e dei rischi come prima misura di difesa. I programmi di awareness e training anti-phishing come parte integrante della strategia cyber della multinazionale italiana del gioco educativo
Fondata a Recanati nel 1963, Clementoni è da sempre fedele alla missione originaria di aiutare i bambini a crescere attraverso il gioco. Un’intuizione dalla quale è nata una solida realtà industriale che oggi coinvolge circa 600 persone e sviluppa un fatturato di circa 178 milioni di euro, di cui il 65 per cento realizzato dall’export. «Per chi come noi fa impresa, la cybersecurity è diventato un tema assolutamente rilevante e trasversale rispetto agli ambiti in cui operiamo. Un elemento imprescindibile per la tutela dei dati aziendali e il normale svolgimento dell’operatività quotidiana» – spiega a Data Manager Susanna Clementoni, controller & compliance specialist, esponente di terza generazione della famiglia fondatrice dell’azienda. «Il digitale trasforma anche il mondo dei giochi sia in termini di comunicazione, estensione di gioco ed esperienza d’acquisto. La cybersecurity è diventata un argomento imprescindibile sia nei confronti del consumatore che dei trade partners» – continua Susanna Clementoni.
«Lavorare sulla sicurezza in Clementoni significa creare una user experience di successo per tutti i clienti che ci affidano la loro fiducia. In una organizzazione come la nostra, l’attenzione e il rispetto al mondo del bambino sono due aspetti di estrema importanza. Di conseguenza, la scelta di costruire una cultura cyber diffusa è stata oltre che necessaria doverosa». Anche per le implicazioni che un blocco dei sistemi potrebbe avere non solo sull’operatività day-by-day ma soprattutto sulla reputazione aziendale. «La perdita e la compromissione dei dati aziendali espongono qualsiasi organizzazione a un danno altissimo. Di recente, abbiamo assistito ad attacchi informatici che hanno messo in ginocchio multinazionali importanti. Chiunque a tutti i livelli può essere colpito. Nel nostro caso, trattando dati legati anche ai bambini, il danno non sarebbe solo economico ma di perdita di fiducia verso l’impegno che da sempre contraddistingue la nostra azienda».
Security a misura di internazionalizzazione
La dimensione multinazionale aumenta il livello di esposizione ad attacchi informatici. «Il quadro normativo – spiega Susanna Clementoni – soprattutto in ambito privacy si è evoluto positivamente negli ultimi anni». Con ricadute positive sulla consapevolezza da parte di aziende, collaboratori e partner. Pianificato in Clementoni con largo anticipo, il programma di cybersecurity awareness – sviluppato da Cyber Guru – ha come obiettivo di creare una diffusa cultura della sicurezza a tutti i livelli aziendali sia attraverso l’acquisizione degli strumenti utili a proteggere l’azienda dalle minacce informatiche sia attraverso lo sviluppo delle capacità di difesa per fronteggiare i più diffusi attacchi informatici.
«La formazione delle persone in azienda è il primo presidio e uno degli strumenti più importanti di prevenzione e difesa» – afferma Susanna Clementoni. «La proposta di Cyber Guru è interamente sviluppata online e si articola in brevi “videopillole” rilasciate mensilmente, caratterizzate da un linguaggio chiaro e comprensibile a tutti, che alternano contenuti didattici a test di apprendimento e di valutazione per verificare le conoscenze in materia di sicurezza». Vari i temi trattati: dalla privacy ai pericoli del phishing, dalla gestione delle password a tematiche più generali come le fake news o l’utilizzo dei social media.
Il coinvolgimento del management e del personale
«L’esigenza di sensibilizzare l’azienda a tutti i livelli al rispetto delle tematiche di cybersecurity è partita dal management aziendale» – sottolinea Susanna Clementoni. «Un coinvolgimento alimentato dalla crescente consapevolezza dei rischi cyber e precedente all’impennata dei crimini informatici degli ultimi mesi perché la risposta agli attacchi non può essere solo reattiva. «L’esempio che le voglio citare è di un nostro country manager, responsabile di una filiale estera, che si è speso molto in prima persona per diffondere la cultura della sicurezza e stimolare tutto il personale a partecipare attivamente al programma di training. Pronto a congratularsi dei risultati ottenuti e a sottolineare l’importanza della sicurezza per la tutela del lavoro di tutti anche attraverso l’espediente del gioco competitivo tra team, altro fattore distintivo del programma di awareness proposto da Cyber Guru. E noi in Clementoni, sappiamo bene che “il gioco è una cosa seria” perché aiuta a crescere e a imparare. Insomma un esempio virtuoso di coinvolgimento ed engagement a livello manageriale».
Le mutate condizioni di lavoro, potenzialmente più pericolose di quelle che il collaboratore può trovare in azienda all’interno di una rete protetta, hanno convinto il management a lavorare sulla consapevolezza e sulla formazione, consentendo un adattamento più immediato. «L’utilizzo massivo del lavoro agile – afferma Susanna Clementoni – accanto ai numerosi vantaggi ha determinato anche un incremento esponenziale delle possibili minacce cyber, elevando la quota di rischio. Anche se noi siamo andati in smart working, i criminali cyber non si sono fermati. Anzi gli attacchi durante il lockdown si sono moltiplicati sfruttando le tecniche di social engineering, e facendo leva sulle paure che in quel periodo tutti vivevamo. L’adozione del programma di formazione poco prima dell’emergenza sanitaria ha reso più agevole questa transizione. Senza conoscenza delle minacce cyber e consapevolezza della dimensione del rischio, ogni azienda diventa vulnerabile».
Formazione a elevata curva di apprendimento
I risultati anche in termini di diminuzione degli incidenti di sicurezza sono stati continui. «Dal lancio del programma – racconta Susanna Clementoni – abbiamo riscontrato una elevata percentuale di ingaggio a tutti i nove moduli del corso, con una partecipazione del personale superiore all’80%». Un successo dovuto alla semplicità di fruizione del corso, con rilasci a cadenza mensile, contenuti video di breve durata, un linguaggio curato, ma al tempo stesso non troppo tecnico, adatto a tutti. Anche sul versante della formazione anti-phishing i risultati sono molto incoraggianti. «A fronte di 1.300 attacchi sferrati attraverso 7 campagne diversificate – continua Susanna Clementoni – abbiamo registrato un calo sensibile dei click rate dal 15% al di sotto del 10%. Inoltre, abbiamo un incremento significativo del resilience score, cioè del numero di attacchi necessari a far cadere una persona nella trappola dell’inganno, passato da 1 a 2,6. Il bilancio è dunque assolutamente positivo. Soprattutto se consideriamo che si tratta del primo anno e del contesto in cui tutto il programma di formazione si è svolto».
Non solo, la competizione tra team ha portato a un coinvolgimento significativo e trasversale di tutti i partecipanti. «Da un punto di vista qualitativo, anche i commenti raccolti tra i colleghi dimostrano la bontà dei risultati. Molti hanno apprezzato l’adozione dei programmi anti-phishing e di awareness per l’attualità e la fruibilità dei contenuti, utili per una protezione non solo in azienda ma anche nella sfera privata. Per Clementoni, la volontà è quella di continuare a fare cultura sulla sicurezza in modo strutturato anche nel lungo periodo». C’è una analogia – osserva Clementoni – tra l’importanza del gioco quale mission dell’azienda e le caratteristiche di questa esperienza di formazione. «Mio nonno amava dire che: “non bisognerebbe mai smettere di giocare, specialmente quando si diventa grandi”. L’esperienza formativa di questi mesi con il programma di Cyber Guru risponde un po’ a questa esigenza perché rispecchia il nostro modo di affrontare una tematica di estrema importanza come la sicurezza in modo giocoso e piacevole. Per questo diciamo che vestire l’apprendimento di divertimento costituisce un’esperienza di valore anche per i più grandi. Anche se non mi occupo dello sviluppo dei giochi non mi stupirei – conclude Susanna Clementoni – se un giorno anche noi approcciassimo la security con un gioco per sviluppare le loro conoscenze su questi argomenti».