A cura di Alexander Moiseev, Chief Business Officer di Kaspersky
Tipicamente e tradizionalmente, le persone non amano la formazione aziendale. Secondo una ricerca, infatti, il 42% degli intervistati che lavora in aziende con più di 1.000 dipendenti sostiene che la maggior parte dei programmi di formazione a cui ha partecipato erano inutili e poco interessanti. E questa percezione spesso rispecchia la realtà quando si parla di corsi di education in ambito cybersecurity.
Spesso sentiamo dire dai nostri clienti che sono stanchi della tradizionale e noiosa formazione di base sulla sicurezza. Molti quindi stanno esplorando l’uso di corsi completamente basati sul gioco, più divertenti e piacevoli. Tuttavia, esiste anche una linea di pensiero opposta: alcuni clienti non si sentono a proprio agio nell’implementare tecniche di gioco nella formazione aziendale, poiché ritengono che i giochi siano solo per adolescenti e bambini e che non abbia senso suggerire agli adulti – e specialmente ai dirigenti aziendali – di giocare per imparare.
In realtà, i giochi (quei format in cui le persone agiscono in un mondo immaginario e/o immedesimandosi in un altro personaggio) e il processo di gamification (dove si inseriscono solo alcuni elementi di gioco) sono tecniche di apprendimento molto efficaci e, come per qualsiasi altro metodo, funzionano meglio quando prevedono obiettivi e limiti specifici.
Perché non possiamo semplicemente fare il “gioco della security awareness”?
Prima di tutto, il numero di regole anche di base in ambito cyber security è piuttosto elevato. Ad esempio, il contenuto della formazione offerta da Kaspersky per accrescere la consapevolezza in materia di sicurezza informatica è quasi tre volte più grande della Saga di Forsyte di John Galsworthy. Se tradotto in un training basato sulla simulazione, il corso dovrebbe contenere tutte le situazioni possibili per consentire agli individui di ‘verificare’ ogni opzione fino ad arrivare a prendere le decisioni più sicure. Il tempo necessario a finire il modulo educativo sarebbe davvero tanto.
Il tempo non è l’unico fattore da considerare. Tenuto conto che l’ambiente in cui i dipendenti devono agire è artificiale, le tecniche di gioco richiedono concentrazione e coinvolgimento. La ricerca di Kaspersky mostra che il corpo umano reagisce allo stress provocato dal gioco allo stesso modo in cui reagirebbe in situazioni problematiche nella vita reale. Questo è il motivo per cui le persone possono anche sentirsi stanche dopo aver giocato ai videogiochi. In un gioco basato sulle basi della cyber sicurezza, il giocatore dovrà costantemente affrontare dilemmi. Dopo tutto, le decisioni prese potrebbero influenzare il suo denaro virtuale o la carriera, ad esempio. Quindi, dopo diverse ore di training, i dipendenti non saranno in grado di tornare semplicemente ai loro compiti, ma avranno bisogno di tempo per riposare e recuperare.
Ispirare prima di tutto
Questo significa che le tecniche di gioco sono troppo difficili da implementare e da imparare? Per rispondere a questa domanda, dovremmo capire qual è lo scopo finale di un corso di security awareness.
Le aziende introducono questo tipo di formazione non solo per incoraggiare il personale a studiare le regole di cyber security, ma per garantire che i dipendenti acquisiscano competenze e le applichino nella quotidianità. Le linee guida da seguire non rappresentano sempre le scelte più convenienti: per esempio, è molto più facile condividere un documento riservato attraverso lo stesso cloud su cui si conservano le foto del proprio gatto, invece di usare il servizio sicuro e specifico dell’azienda. Per cambiare questi modelli di comportamento, è necessario non solo fornire istruzioni e sviluppare competenze pratiche, ma lavorare sulla motivazione e l’inclinazione.
A questo proposito, un gioco risulta essere l’opzione più efficace per incoraggiare i dipendenti. Il modo migliore per capire perché si dovrebbe agire in un certo modo è imparare dai propri errori. Nel caso della cybersecurity, un’azienda non può lasciare che ogni dipendente faccia qualcosa di sbagliato – come ad esempio rendere un documento accessibile ai cyber criminali – per verificare quanto gravi possano essere le conseguenze di un attacco informatico. Può, tuttavia, coinvolgerli in un gioco in cui possano “vivere” la situazione e sperimentare le conseguenze come se stesse accadendo nella realtà, senza però causare alcun danno all’azienda.
Eliminare i pregiudizi
Le tecniche di gioco aiutano anche a superare la resistenza iniziale all’apprendimento. La formazione sulla cyber security di solito viene vissuta come noiosa, astrusa e difficile, ma quando i dipendenti si trovano di fronte a immagini divertenti con situazioni familiari nel contesto di una simulazione di gioco, scoprono che la cybersecurity non è una cosa poi così terribile.
Inoltre, ci saranno alcuni dipendenti sicuri di avere già completa padronanza delle competenze di cyber security e convinti che il corso sia solo una perdita di tempo. Con un breve test simile ad un fumetto (Gamified Assessment Tool) in cui dovranno fare delle scommesse, è molto più facile persuaderli. Di solito, i dipendenti sono più entusiasti di partecipare a queste brevi valutazioni e la gamification li rende più curiosi di superare il test e scoprire i loro risultati. Nel momento in cui poi realizzano di avere delle lacune si dimostrano più disponibili a seguire un corso sulla cybersecurity.
Inoltre, la nostra esperienza dimostra che, nonostante i dubbi, anche i dirigenti aziendali rimangono coinvolti dalla gamification. Nella nostra offerta di formazione, ad esempio, offriamo un gioco speciale (Kaspersky Interactive Protection Simulation) in cui i dirigenti aziendali cercano di calarsi nei panni dei Chief Information Security Officer. Come risultato, i vertici scoprono come la cyber security possa influenzare l’azienda, anche in aree critiche come le perdite di profitto.
Nel momento in cui i dipendenti superano i loro pregiudizi, il corso teorico è impostato su un terreno più solido e l’apprendimento diventa più produttivo. Naturalmente, la motivazione iniziale svanisce con il tempo, quindi non è sufficiente iniziare con un gioco; è consigliabile aggiungere elementi di gioco o simulazioni come rinforzo al curriculum, durante tutto il processo di formazione.
In conclusione, un’educazione di successo sulle basi della cyber security dovrebbe prevedere diversi format di apprendimento. Le tecniche di gioco da sole non risolveranno tutti i problemi relativi alla formazione aziendale. Per ottenere i risultati desiderati, è necessario inserirle nel ciclo di apprendimento e abbinarle ad un corso teorico. Un gioco dovrebbe agire come il dessert in qualsiasi menu educativo: rende tutto migliore, ma non può essere l’unico piatto.
