Pubblico di seguito un condensato del mio contributo all’articolo pubblicato su cybersecurity360.it, testata on-line specialistica con la quale collaboro ormai da qualche anno.

É ormai noto da tempo, e tutti gli esperti di sicurezza informatica sono concordi, che la formazione sia un tassello fondamentale da inserire nella strategia di sicurezza informatica di qualsiasi organizzazione, privata o pubblica.

Ma come farla affinché il personale dipendente non la veda solo come un obbligo bensì un’occasione di crescita professionale e magari anche utile e gradevole?

E questo è un po’ il dilemma che deve affrontare ogni imprenditore che deve decidere il budget, sia in termini di tempi che di costi, da dedicare alla formazione Gdpr e Cybersecurity.

D’altronde RISCHI CYBER e NORMATIVE PRIVACY GDPR non lasciano più spazio a dubbi e, se si vuole essere meno vulnerabili a Malware, Ransomware, Phishing, Smishing e compagnia cantante, non ci si può affidare solo a firewall ed antivirus: si devono consapevolizzare i propri dipendenti sui rischi e formarli su come riconoscerli e difendersi.

Purtroppo, questo tipo di formazione, vuoi perché non viene particolarmente sensibilizzata dall’alto, vuoi perché viene percepita solo come un adempimento burocratico, non sempre viene assimilata e diventa efficace.

Le causa principale di questo scarso successo è, secondo me, da attribuire alla modalità con cui viene fatta la formazione: spesso antiquata o troppo tecnica per interessare od appassionare un’audience estranea a questi temi.

Come rendere interessante e coinvolgente la formazione su Cybersecurity e Privacy

Ridurre “legalese” e “informatichese”!

Visti i temi da trattare, di carattere giuridico se affrontiamo le normative Privacy e informatico se parliamo di sicurezza informatica, il rischio maggiore è quello di tenere un linguaggio incomprensibile all’audience ed creare quindi una barriera comunicativa insormontabile.

Ridurre il più possibile termini giuridici e informatici, usando concetti comuni, parafrasi o tecniche di “storytelling” aiuta molto ad avvicinare formatore e corsista mettendoli sullo stesso piano.

Far divertire e testare durante la formazione

Far divertire mentre si fa formazione è una delle cose più difficili per un docente, a meno che non si tratti di attività di team building appositamente studiate per questo.

Ma, si sa, se una persona si diverte è più stimolata e coinvolta, interagisce con il docente e gli altri e favorisce il lavoro in gruppo.

Personalmente ho partecipato a diversi corsi svolti in questa maniera e devo dire che il grado di partecipazione e coinvolgimento che si ottiene è veramente prodigioso.

Ho quindi deciso di introdurre anch’io nei miei corsi alcuni mini-test proposti come gioco a quiz i quali, oltre a tenere alta l’attenzione, servono a capire il grado di assimilazione fino a lì raggiunto.

Un esempio di mini-test sul rischio ransomware

formazione-gdpr-cybersecurity-mini-test-esempio

Introdurre tecniche gaming nei corsi vuol dire anche creare dei gruppi eterogenei e metterli in competizione fra loro creando per esempio delle simulazioni di situazioni che si possono verificare in azienda.

L’esempio più tipico è la simulazione di un Data Breach, dove ogni gruppo rappresenta un soggetto tipicamente coinvolto in un incidente informatico.

Ogni gruppo, previa la nomina di un capogruppo, rappresenterà quindi ognuno o più dei seguenti soggetti:

  1. il titolare del trattamento;
  2. il/i responsabili esterni;
  3. il referente privacy;
  4. l’autorizzato;
  5. il DPO;
  6. l’amministratore di sistema;
  7. il Garante Privacy;
  8. l’Interessato;
  9. … e, per aggiungere un po’ di pepe, anche l’Hacker che studia l’attacco e lo porta avanti.

Vediamo riassunti in grafica ruoli e soggetti coinvolti in un Data Breach

formazione-gdpr-privacy-esercitazione-esempio-ruoli-soggetti

Conditio sine qua non per condurre l’esercitazione è avere ben chiari ruoli, fasi e procedure operative che sono alla base di una corretta gestione di un Data Breach e che devono essere descritte chiaramente in uno dei documenti chiave che stanno alla base del Modello Operativo Privacy (MOP), e che deve essere già stato predisposto prima di effettuare la formazione: il Data Breach Recovery Plan. 

Per semplificare la procedura Data Breach Recovery Plan può essere utile riassumere i flussi operativi con l’aiuto della grafica, a mio avviso sempre più efficace e facilmente memorizzabile, che sintetizzi i work-flow di processo, in modo tale che sia ben chiaro chi-fa-che-cosa e come.

Vediamo di seguito un caso di Data Breach con il  work-flow grafico che ne risulterà alla fine dell’esercitazione di gruppo:

data-breach-esercitazione-simulazione-workflow-grafico-formazione

Introdurre infine, durante l’esercitazione, degli elementi di disturbo o cambi di scenari improvvisi non fa altro che ravvivare l’attività e alzare il livello di coinvolgimento dei partecipanti.

Per esempio vi potreste inventare che l’Amministratore di Sistema non è reperibile al momento dell’incidente per cui gli altri gruppi dovranno trovare strade alternative, premiando con un super-bonus il gruppo che fornisce la soluzione migliore.

Occhio alle slides

Come formatore a mia volta anch’io ho seguito e seguo continuamente corsi sulla mia materia e devo dire che una delle cose che mi ha più sorpreso in negativo finora è la qualità delle slides.

Non me ne vogliamo i colleghi ma, sinceramente, quando ti trovi delle slides tutte fitte di solo testo in bianco e nero, dove a malapena vengono sottolineati i passaggi più importanti in grassetto e corsivo, ci sono solo due alternative per l’allievo: o ascolti il docente ma non leggi che è scritto o ti concentri sulla lettura e ti perdi quello che viene detto a voce!

Senza entrare troppo nei dettagli, gli esempi delle slides precedenti possono già dare l’idea di slides dove l’uso di elementi grafici e colorati ed un uso oculato (senza esagerare) delle animazioni di PowerPoint può rendere molto più semplice la comprensione e la memorizzazione visiva dei concetti più complessi ed importanti.

Il TEST FINALE

Come ciliegina sulla torta consiglio sempre di prevedere un TEST FINALE il cui obiettivo non sarà promuovere o bocciare qualcuno, bensì:

  • Testare il grado di assimilazione raggiunto;
  • Tenere alto il grado di attenzione durante tutto il corso;
  • Essere in grado di dimostrare che la formazione è stata effettuata e valutata in caso di ispezione o Data Breach.

Visti i tempi sempre ristretti che vengono concessi dalle aziende per questo tipo di attività, ho preferito abbandonare l’esecuzione del test finale alla fine del corso per riservare più tempo possibile all’attività formativa anche se, la correzione dei compiti in gruppo è sempre un’attività che può essere molto proficua nonché anche divertente.

Ho quindi scelto una modalità on-line, tramite i moduli di Google, con domande a risposte multiple (minimo 20) a correzione automatica.

Leggi l’articolo su Cybersecurity360