Oggi le persone vogliono scegliere, parlare, interagire. Vogliamo essere soggetti attivi e ciò solitamente avviene con due modalità: con lo storytelling e con la gamification. Perché? Perché fin da piccoli le fiabe e i giochi sono gli ambiti privilegiati dell’apprendimento e della trasmissione dei valori.
Spesso, in ambito di sicurezza, si ritiene di poter sostituire l’intervento umano con l’uso di sofisticati tool di software, in altri casi si riscontrano atteggiamenti all’opposto, di netta opposizione e di esclusivo affidamento all’intervento umano. Ma la tempesta perfetta si ha quando le due cose si uniscono a metà strada; quando i tool di software possono ad esempio essere usati per individuare dei punti deboli dell’intervento umano. Applicare tale soluzione in ambito di sicurezza cyber può rappresentare una marcia in più, proprio perché il settore può far ricorso agli strumenti tecnologicamente più sofisticati, aggredendo il punto di debolezza, l’anello debole della catena: quello del comportamento umano. E questa soluzione la si può applicare in ambito di analisi e valutazione dei dati, di profilazione, di valutazione dei comportamenti, di processi atti a migliorare i percorsi decisionali, usando metodologie prese a prestito dalla psicologia sociale. Per far ciò occorrono competenze e metodiche multidisciplinari, flessibili e innovative. Oggi la soluzione c’è. Ne abbiamo parlato con Maurizio Mesenzani, amministratore di BSD, la società che offre questi servizi.
Cybersecurity Italia. Nonostante l’attenzione data dai media e le evoluzioni tecnologiche, i rischi cyber e le violazioni continuano ad aumentare. Perché secondo voi?
Maurizio Mesenzani. A parte gli interventi sulle infrastrutture e sulla strumentazione, secondo noi occorre intervenire di più sui comportamenti delle persone, sulla loro consapevolezza e sulla loro percezione dei rischi cyber. Non dimentichiamoci che ora lavoriamo molto di più in smart working. Per la cybersecurity questa condizione di lavoro da remoto aumenta i rischi e cambia completamente lo scenario, perché diventa più difficile intervenire sui device, controllare le reti e i singoli punti di accesso…
Cybersecurity Italia. Cosa vuol dire, che non sono sufficienti risposte uniche per tutti e occorre personalizzare le circostanze?
Maurizio Mesenzani. Le persone hanno un diverso livello di stress e di attenzione, possono commettere errori di diversa natura e non hanno sempre a disposizione quelle forme di “peripheral learning” che compensano alcune carenze organizzative e che sono tipici del contesto di lavoro in ufficio in presenza (es. chiedo al collega esperto, chiedo al collega “IT”).
Cybersecurity Italia. E allora cosa fare, occorre più formazione?
Maurizio Mesenzani. Questo è certamente vero, ma non si tratta soltanto di fare “aule” di formazione o di renderle obbligatorie, si tratta semmai di coinvolgere le persone e incidere sui loro comportamenti. Molte violazioni dipendono da errori, da leggerezze delle persone, da comportamenti inopportuni, dal fatto che non hanno letto o visto regolamenti, disposizioni, linee guida. Molte leggerezze dipendono da cose che non sono conosciute, da argomenti che non si sono studiati, ecc. Ma noi, come tutte le persone, leggiamo e guardiamo ciò che ci interessa leggere o guardare, ciò che ci serve, ciò che ci piace. E questo può non essere sufficiente…
Cybersecurity Italia. Come si fa a render più consapevoli le persone sul tema della Cybersecurity?
Maurizio Mesenzani. Sul tema dell’engagement delle persone lavoriamo da diversi anni e le assicuro che, in primo luogo, per far assumere piena consapevolezza bisogna ascoltare, capire cosa interessa davvero alle persone, capire qual è il loro sistema valoriale. E poi bisogna interagire dentro modelli partecipativi, attivi, che consentano di fare materialmente delle cose. Il tempo della comunicazione top-down è superato e questo vale per tutti i canali: per la TV, per la stampa, per i media.
Cybersecurity Italia. E allora cosa fare?
Maurizio Mesenzani. Oggi le persone vogliono scegliere, parlare, interagire. In tutti i campi, nessuno escluso, non accettiamo più di essere destinatari passivi, ma vogliamo essere soggetti attivi e ciò solitamente avviene con due modalità: con lo storytelling e con la gamification. Perché? Perché fin da piccoli le fiabe e i giochi sono gli ambiti privilegiati dell’apprendimento e della trasmissione dei valori.
Cybersecurity Italia. Cosa c’entra lo storytelling con la Cybersecurity?
Maurizio Mesenzani. Mi spiego meglio. Noi abbiamo sviluppato una piattaforma di conversational storytelling, la Matters (che potete consultare sul nostro sito www.matters.srl) che permette di far interagire le persone con delle storie all’interno delle quali possono dialogare su casi reali, situazione vere e discutere sui loro comportamenti, sul perché fanno o non fanno alcune cose, sul come prendono determinate decisioni, anche giocando, con quiz, punteggi, dinamiche specifiche, concorsi. Spiegare un rischio cyber è molto più facile se si presentano casi veri, se si raccontano aneddoti, se si fanno domande, se si analizzano le risposte e se si capisce qual è la percezione del rischio di chi si ha di fronte. Tutto ciò vale per la cybersecurity, ma anche per tutti gli altri temi che richiedono “engagement morale” e che non possono essere regolati da sistemi di controllo e sanzioni. Lo vediamo in tanti campi, dalla prevenzione sanitaria, alla responsabilità sociale, alla sostenibilità, al rispetto delle regole…
Cybersecurity Italia. E come si fa ad usare questo metodo come metodo universale?
Maurizio Mesenzani. Da un lato occorre “profilare” le persone in base ai loro interessi e in base alle loro propensioni, dall’altro occorre trasferire messaggi in modo preciso e capace di generare un engagement. La nostra piattaforma Matters permette di trasferire contenuti multimediali, foto, link, paper, all’interno di storie nelle quali l’utente non subisce un corso frontale, ma dialoga all’interno della web app come se stesse chattando via Whatsapp o Telegram. E questo permette alle aziende di trasferire i messaggi chiave e di capire i vissuti e le opinioni/sensazioni della loro popolazione, identificando quindi le aree o i processi nei quali si evidenziano i maggiori rischi cyber.
