I programmi di sensibilizzazione e formazione su temi di sicurezza informatica vengono spesso assai poco apprezzati da dipendenti e collaboratori: come รจ possibile rendere piรน coinvolgente un programma di formazione su questi aspetti critici?
Una recente indagine, condotta negli Stati Uniti e nel Regno Unito, ha rilevato che, anche se lโ85% dei dipendenti partecipa a corsi di sensibilizzazione ed addestramento sulla sicurezza informatica, il 64% pone a questi temi unโattenzione distratta e il 36% ritiene addirittura noiosa tale formazione.
Si tratta evidentemente di una situazione assai preoccupante, perchรฉ รจ opinione comune di tutti gli esperti di sicurezza informatica che un elevato livello di protezione si raggiunga solo quando tutti i dipendenti e collaboratori prestano adeguata attenzione a questi temi.
Ci si domanda quindi come sia possibile creare una cultura di sicurezza informatica per lโorganizzazione, superando lโatteggiamento distaccato, per non dire annoiato, che i dipendenti tendono ad assumere.
Questa preoccupante situazione รจ confermata dal fatto che, ad esempio, il 30% degli intervistati ritiene di non avere un ruolo diretto nella sicurezza informatica aziendale, mentre il 45% non sa esattamente a chi riferire un possibile incidente informatico.
Alla luce della gravitร delle sanzioni, applicabili nel caso la violazione si riferisca a dati personali, appare evidente che la situazione รจ oltremodo preoccupante.
Lโesperienza che ha mostrato che, nella maggior parte dei casi, la formazione su questi temi viene offerta mediante presentazioni PowerPoint, che spesso utilizzano linguaggi pressochรฉ incomprensibili per la media dei partecipanti.
ย Anche in questo caso, lo studio critico delle presentazioni, spesso utilizzate in questi corsi, mette in evidenza come il contenuto delle presentazioni sia spesso mirato maggiormente a gratificare il docente, piuttosto che a trasferire informazioni fondamentali ai partecipanti.
ย Una tecnica che si รจ dimostrata assai coinvolgente e fruttifera viene chiamata, con termine anglosassone, โgamificationโ. In pratica, si tratta di introdurre, nel programma di formazione, delle tecniche giocose, che accrescono lโinteresse dei partecipanti e facilitano lโassorbimento delle nozioni di base.
ย Le tecniche di gamification fanno leva sulla naturale propensione dei partecipanti alla socialitร , alla acquisizione di nuove conoscenze, allo stimolo a competere nei confronti degli altri partecipanti, il tutto operando in una situazione, che viene presentata come un gioco.
ย La frequente introduzione di scenari, ai quali si puรฒ dare diversa risposta, accresce il livello di partecipazione dei presenti.
ย Anche solo la suddivisione dei partecipanti in gruppi, messi in competizione fra di loro, garantisce un elevato livello di coinvolgimento.
ย La suddivisione in gruppi dei partecipanti a corsi di formazione, assegnando dei test a soluzioni variabili, conferma la vivacitร della partecipazione, lo scambio di conoscenze tra i partecipanti e lโelevato livello di memorizzazione dei risultati dellโesperienza competitiva.
ย Un classico test di scenari competitivi prevede, ad esempio, il verificarsi di un evento di violazione della sicurezza informatica, a fronte del quale i vari gruppi possono offrire modelli di comportamento diversi e fra loro confrontabili.
ย Infine, un aspetto fondamentale di un percorso di formazione riguarda la somministrazione di un test a risposte multiple, alla fine del corso.
ย Tutti i partecipanti devono essere informati tempestivamente del fatto che dovranno compilare questo test e lโesperienza mostra come il livello di attenzione possa crescere rapidamente.
ย Un ultimo consiglio: una volta compilato il test finale, รจ bene correggerlo tutti insieme. Lโobiettivo del corso non รจ infatti quello di promuovere o bocciare i partecipanti, ma di accertarsi che tutti i partecipanti abbiano correttamente assimilato i temi illustrati.
Non per nulla, lโUniversitร di Roma, pone come condizione per il rilascio di un attestato di partecipazione ad un corso, sostenuto dallโUniversitร stessa, la somministrazione di un test finale di almeno 20 domande.
In poche parole:
- la formazione inย sicurezza informaticaย รจ fondamentale per tutta lโazienda;
- questa formazione puรฒ essere somministrata in vari modi, alcuni dei quali piรน gradevoli ed altri piรน distaccati;
- infine, รจ indispensabile effettuare un test finale di validazione della formazione.