Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
TRAININGS
IN CHE MODO I CORSI ONLINE E GLI APPROCCI BASATI SUI
GIOCHI PROMUOVONO IL SUCCESSO NELL‘APPRENDIMENTO
WHITEPAPER • SECURITY AWARENESS TRAININGS
CONTENUTO
Gli attacchi informatici non ammettono ignoranza 3
Vulnerabilità umana 4
La guida di un’auto e la sicurezza IT hanno molto più in comu- È sorprendente che i criminali informatici si affidino a mal-
ne di quanto si possa pensare. In entrambi i casi, delle misure ware collaudati, alcuni dei quali sono in uso da diversi anni,
tecnologiche aiutano a prevenire gravi incidenti e le loro con- ma vengono costantemente “migliorati”. Le cifre seguenti di-
seguenze. Nelle automobili, queste misure includono gli air- mostrano l’entità del pericolo:
bag, le cinture o gli assistenti alla frenata; nei computer e nelle
reti, invece, troviamo la protezione degli endpoint, i firewall e ၉ Nel 2020 gli esperti di sicurezza informatica di G DATA
i backup. Ma la realtà ci dimostra ogni giorno che anche il fat- hanno identificato oltre 16,1 milioni di campioni di
malware diversi.
tore umano gioca un ruolo centrale nella prevenzione degli in-
cidenti. Un’occhiata mancata allo specchietto retrovisore, una ၉ Rispetto all’anno precedente, rappresenta un aumento
distanza sottovalutata e lo schianto è inevitabile. Solitamente a del 228,6 percento.
scuola guida impariamo come comportarci su strada. Ma qual ၉ Ogni minuto i criminali informatici rilasciano 76 nuove
è il comportamento corretto nello spazio digitale? versioni di un malware.
Il presente White Paper affronta la questione del ruolo dei di- Un sondaggio attuale di G DATA sulle medie imprese rivela che
pendenti nel tema della sicurezza informatica (un ruolo molto le piccole e medie imprese, o i loro dipendenti, non sono suf-
importante) e di come l’e-learning aiuti a migliorare la consa- ficientemente consapevoli dei pericoli informatici. Nonostante
pevolezza delle persone su come gestire l’IT in modo sicuro. l’enorme aumento delle minacce, non si considerano bersagli
interessanti per i criminali informatici. Le conseguenze di ques-
ti errori di valutazione sono fatali: le aziende non si proteggono
SITUAZIONE ATTUALE: MINACCIA in modo adeguato dagli attacchi e vengono colpite ancora più
DI ATTACCHI OGNI SECONDO duramente dagli incidenti di sicurezza informatica.
Negli ultimi anni abbiamo potuto constatare in modo impres- Una scarsa consapevolezza dei rischi e la mancanza di risorse
sionante quanto sia fragile la sicurezza informatica: non solo in necessarie rappresentano un grande ostacolo per le aziende in-
Germania, ma in tutto il mondo, i criminali informatici hanno tervistate.... Circa un quarto delle PMI intervistate adduce come
approfittato dell’incertezza delle persone in seguito alla pande- motivazione il fatto che la propria azienda non sia un obiettivo
mia. Secondo un’analisi delle minacce di G DATA CyberDefense, interessante per i criminali informatici.
il numero di tentativi di attacco scongiurati nella seconda metà
dell’anno 2020 è aumentato dell’85 percento rispetto ai primi
sei mesi dello stesso anno. Questo dimostra che i criminali infor-
matici si sono subito resi conto che lo smart working comporta
nuove vulnerabilità. E le sfruttano a loro vantaggio. Ci sono inol-
tre altri punti deboli: lacune critiche nella sicurezza, aggiorna-
menti mancanti o dipendenti poco attenti sono di solito all’ori-
gine di un attacco messo a segno.
VULNERABILITÀ
UMANA
Uno studio dell’Istituto di ricerca di criminologia della Bassa aveva aperto un allegato di posta elettronica infettato da mal-
Sassonia conclude che il 74 percento degli attacchi malware ware, consentendo agli aggressori di accedere alla rete e criptar-
è riconducibile a un’e-mail di phishing. Basta un clic sbagliato la. Tutti gli schermi dell’azienda sono diventati bianchi e mos-
da parte di un dipendente per scatenare una catastrofe. Questi travano solo un avviso. Come se non bastasse, l’azienda non ha
messaggi contengono spesso un allegato con un file dannoso o potuto ripristinare facilmente i propri dati a causa di un errore
un link a un sito Web con cui viene trasmesso un codice danno- nel sistema di backup. Andando contro il consiglio della polizia,
so oppure vengono “pescati” dati riservati. Le conseguenze pos- l’azienda è stata così costretta a negoziare con i responsabili.
sono minacciare l’esistenza di qualsiasi azienda. Oltre al danno Alla fine, Möhle ha dovuto pagare ben 120.000 euro di riscatto.
finanziario causato dall’arresto forzato della produzione per Senza questo pagamento, non avrebbero potuto accedere ai
giorni o settimane, quando i dati riservati dei clienti (come le in- dati, mettendo in pericolo l’esistenza dell’azienda.
formazioni di login o i dati di pagamento) cadono nelle mani di
terzi, anche l’immagine dell’azienda viene danneggiata. Poiché il phishing è uno strumento di attacco facile e popolare
per i criminali informatici, questo suscita anche molta incertez-
L’esempio seguente mostra quali conseguenze può avere la con- za tra i dipendenti. Ciò è confermato da uno studio condotto
dotta negligente di un singolo dipendente: a febbraio 2020, un dall’iniziativa Deutschland sicher im Netz e.V.. Più del 56 per-
attacco informatico paralizza le operazioni del grossista di mate- cento degli intervistati ha dichiarato di avere timore quando
riale elettrico Möhle a Münster per tre settimane. Un dipendente apre un’e-mail.
Laura Bianchi, da molti anni a capo della contabilità della Nella sfortuna, l’azienda di questo esempio ha avuto
società di consulenza fiscale “Studio Rossi“, è sospetto- fortuna e non è caduta vittima della cosiddetta truffa
sa già a una prima lettura. Da quando il suo capo le dà del CEO. In questa truffa, i criminali fingono di essere la
del tu? Sebbene lavorino insieme da molti anni e ci sia direzione o il dirigente di un’azienda. Con delle e-mail
un rapporto di fiducia, si danno del Lei, così come tutti gli contraffatte, chiedono a dipendenti adeguatamente au-
altri 17 dipendenti. Guardando attentamente, si accorge torizzati della contabilità di trasferire somme consistenti
che la firma del suo capo è diversa dal solito: Il carattere dai conti aziendali. Nella fase di preparazione, gli autori
è diverso e anche il logo dell’azienda è distorto. Stampa raccolgono molte informazioni sull’azienda da attaccare
l’e-mail e ne parla direttamente con lui. La sua risposta: e ottengono così le conoscenze interne necessarie per
“No, questa e-mail non l’ho scritta io!” la loro truffa. Utilizzano queste conoscenze nell’attacco,
causando ingenti danni finanziari.
Insieme, i due controllano gli ulteriori dettagli del mess-
aggio. Un confronto dei codici IBAN mostra che non si
tratta del normale conto aziendale di Hilf & Reich. Anche
l’indirizzo di posta del mittente è sbagliato:
peter.b.kohlemacher@kohlemacher.ru.
၉ Il nuovo modo di lavorare – Lavorare fuori dall’ufficio ၉ Incidenti di sicurezza e rapporti – Incidenti di sicurezza
e in luoghi pubblici informatica e controlli degli accessi
၉ Gestione del rischio e password – Definire e impiegare ၉ Social engineering – In che modo gli hacker manipolano i
correttamente password sicure dipendenti per i loro attacchi
၉ Phishing und malware – Come riconoscere i malware ၉ Dispositivi mobili – Utilizzare smartphone, tablet e altri
e i tentativi di phishing dispositivi in modo sicuro nel lavoro
၉ Classificazione delle informazioni da elaborare e ၉ Gestione delle informazioni – GDPR dell’UE, protezione dei
conservare – Quali dati sono coinvolti? Come sono dati e privacy
classificate le informazioni e perché?
၉ Ransomware, Remote Access Trojan, Keylogger e Rootkit:
၉ Lavorare nel cloud – Social media e lavoro sicuro nel cloud quale malware minaccia le aziende?
MAGGIORE ATTENZIONE
GRAZIE ALL’E-LEARNING
I criminali informatici eseguono attacchi sempre più mirati e si L’esempio precedente mostra i trucchi che i criminali informa-
rivolgono direttamente alle vittime. Le probabilità di successo tici utilizzano per indurre le persone a compiere azioni avven-
sono significativamente più alte rispetto a un attacco di massa. tate. Chiunque pensi che gli attacchi siano insidiosi e che non
esista una protezione efficace, si è già arreso al proprio destino.
Il motivo? Il comportamento umano è influenzato da diversi
fattori esterni. Si tratta di influenze esterne che innescano com- Nessuna misura di protezione tecnica, come una soluzione di
portamenti concreti nelle persone. Tra i fattori scatenanti ritro- sicurezza, può proteggere completamente gli utenti dagli attac-
viamo anche la curiosità, come mostra l’esempio seguente: chi di phishing. Sta alle persone, e in particolare alla loro con-
sapevolezza dei rischi informatici, riconoscere e scongiurare
tempestivamente queste forme di attacco.
Poco prima delle vacanze di Natale, Tina, impiegata
in una compagnia di assicurazioni, riceve un’e-mail. I moderni corsi e-learning forniscono agli utenti una conoscen-
za approfondita dei vari attacchi e delle forme di attacco. Le
Il contenuto è esplosivo: il mittente dichiara di aver
unità didattiche spiegano come si verificano gli attacchi nella
scattato foto compromettenti a Tina durante l’ultima
vita lavorativa quotidiana, quali sono i pericoli e come proteg-
festa aziendale. Le chiede di guardarle e di rispondere
gersi da essi. Il moderno e-learning sulla “Security Awareness”
per evitare che vengano diffuse. Tina ripensa agitata a è strutturato in modo dinamico e, soprattutto, in piccole se-
ciò che è successo alla festa di Natale di quindici giorni quenze di apprendimento (sequenze di apprendimento per la
fa e riflette se fare clic sul link contenuto nell’e-mail. Si qualificazione). Ciò significa che gli utenti possono accedere ai
tratta di un’e-mail di phishing. È sicura che non ci siano corsi in qualsiasi momento e continuare la loro formazione in
foto, eppure il desiderio di sfatare ogni dubbio facendo modo rapido e semplice.
clic sul link è comprensibile. Perché succede questo?
Perché molte persone fanno clic su questo o su mess- Conclusione: non esiste una misura tecnica sufficiente in grado
aggi simili? Ciò è dovuto alla curiosità che abbiamo già di proteggere gli utenti da tutti i pericoli informatici. Le cam-
menzionato. Per quanto la probabilità che questi con- pagne di phishing, in particolare, aggirano i meccanismi tecnici
di protezione prendendo direttamente di mira il fattore umano
tenuti compromettenti esistano sia minima, potrebbe
dell’utente.
sempre essere vero. Altri fattori scatenanti potrebbero
essere la disponibilità o l’avidità. Chi non ha già ricevu-
Ma grazie alle conoscenze approfondite acquisite con i corsi
to nella propria casella di posta elettronica un’e-mail Security Awareness Training sui metodi e sugli obiettivi degli
che prometteva una vincita milionaria o un’eredità? aggressori, i dipendenti sono in grado di non cadere nei tranelli
dei truffatori.
E-LEARNING: STESSE
COMPETENZE PER TUTTI
I corsi Security Awareness Training hanno come scopo insegna- Poiché l’e-learning moderno è accessibile dai dispositivi mobili,
re agli utenti a riconoscere le minacce che li colpiscono diretta- gli utenti possono svolgere i corsi dove e quando vogliono. Qui
mente e contro le quali non esiste una protezione tecnica suf- il motto “l’apprendimento permanente non finisce mai” dimos-
ficiente. La formazione digitale è in continua evoluzione. Con tra tutta la sua validità. Un ulteriore vantaggio: il trasferimen-
il crescente progresso tecnologico e la digitalizzazione sempre to dell’apprendimento è significativamente maggiore rispetto
più incalzante, anche la natura dell’e-learning si è evoluta. all’e-learning classico. Invece di trascorrere il tempo in treno
Sono finiti i tempi in cui i dipendenti dovevano completare e- durante un viaggio di lavoro guardando fuori dal finestrino, le
learning della durata di 60 minuti, scarsamente animati, senza persone possono utilizzare il tempo in modo produttivo e la-
voce e con contenuti aridi. In questi casi, l’apprendimento era vorare sulla loro consapevolezza dei rischi informatici. Grazie a
quasi pari a zero. Il motivo? In media, ogni undici minuti venia- un sistema di gestione dell’apprendimento ben strutturato e a
mo distratti da e-mail, telefonate, colleghi, attività secondarie un’interfaccia utente semplice, gli studenti possono riprende-
o altri rumori. Quindi è sempre più difficile concentrarsi per un re direttamente i contenuti dal punto in cui li hanno lasciati. I
periodo di tempo prolungato e lavorare indisturbati. L’attenzio- corsi sono accessibili in qualsiasi momento e in qualsiasi luogo
ne sta diventando una risorsa sempre più scarsa e preziosa. Il e prevedono piccole ricompense al termine di ciascun corso
microapprendimento (o micro-learning) tiene conto di questo completato. Queste includono i certificati per le unità di ap-
aspetto e facilita l’integrazione di piccole unità di apprendi- prendimento completate. Grazie all’utilizzo di elementi di ga-
mento nella moderna giornata lavorativa. Al contrario, i for- mification e di una narrazione avvincente all’interno dei corsi,
mati di e-learning che durano 45 minuti o più stanno perdendo l’aspetto ludico dell’apprendimento non viene trascurato.
sempre più consenso. Le aziende e i privati si rivolgono sem-
pre più spesso a offerte di apprendimento mobile compatte e Per un argomento centrale come la sicurezza informatica,
intelligenti. questo significa: le persone possono proteggersi efficacemente
dagli attacchi informatici solo se sono costantemente disponi-
L’e-learning moderno è orientato alle esigenze e ai requisiti bili anche le conoscenze necessarie in materia di protezione.
individuali degli utenti. Gli aspetti centrali dell’e-learning con- Pertanto, l’e-learning moderno non solo offre agli utenti l’op-
temporaneo sono: portunità di apprendere in modo efficace, ma li mette anche
in condizione di poter sempre rivedere le proprie conoscenze
၉ Unità brevi poiché le minacce mutano costantemente. I moderni LMS, per-
၉ Narrazione coinvolgente tanto, funzionano come opere di consultazione. In caso di e-
mail sospette, gli interessati possono rivedere il capitolo della
၉ Memorizzazione dello stato di apprendimento
formazione “Caratteristiche delle e-mail sospette” e controllare
၉ Coinvolgimento diretto dell’utente
se un’e-mail presente nella casella di posta presentha tutte o
၉ Molta interazione tra il corso formazione e gli utenti alcune delle caratteristiche. Nel capitolo successivo, imparano
၉ Un approfondimento diretto delle conoscenze come comportarsi in caso di e-mail sospette: segnalare subito
l’incidente al reparto IT.
PERCHÉ LA
NARRAZIONE MIGLIORA
L’APPRENDIMENTO
Sappiamo già dai tempi della scuola che ognuno impara in Per questo motivo, molti corsi di e-learning seguono il cosid-
modo diverso. A qualcuno piace ancora imparare in modo classi- detto approccio narrativo (storytelling). L’argomento dell’unità
co con molti testi e numeri, altri preferiscono imparare in modo di apprendimento è collegato a una storia. Naturalmente nu-
più “esplorativo”, cioè attraverso una storia che viene raccontata meri, dati e fatti importanti sono inclusi nella storia. Lo story-
intorno a un argomento. Alla fine, ognuno impara a modo suo: telling di solito prevede l’uso di personaggi appositamente
non esiste un approccio giusto o sbagliato. Qualsiasi metodo che creati, in modo che gli utenti non solo imparino attraverso una
aiuti una persona ad apprendere qualcosa è quello giusto. storia narrata, ma possano anche collegare ciò che imparano a
delle persone specifiche. Riusciamo a conservare meglio nella
Tuttavia, sembra che la maggioranza prediliga il secondo ap- memoria determinate esperienze ed eventi se sono collegati a
proccio di apprendimento. I giovani, in particolare, tendono a persone e ambienti o ad altri stimoli (odori, ecc.). Per quale mo-
imparare di più in modo “esplorativo” perché sono circondati da tivo? Il nostro cervello non distingue se a vivere gli eventi siamo
storie e dalla narrazione di storie nella vita quotidiana, sui social noi o un personaggio. Ecco perché memorizziamo così bene le
media come Instagram, nelle serie sui portali di streaming e an- informazioni.
che nei giochi per computer. D’altronde, le persone si racconta-
no storie da sempre. Ancora oggi raccontiamo ai nostri bambini In generale, per tutti i vantaggi dello storytelling vale una re-
favole e altre storie per farli addormentare. Consumiamo storie gola: “Non serve allungare il brodo”. Anche la migliore storia
sotto forma di film, serie, libri, fumetti oppure le raccontiamo gli diventa noiosa se ci si dilunga troppo. Questo approccio è par-
uni agli altri. La nostra vita è un insieme di storie: ad esempio, è ticolarmente valido per l’e-learning. Da un lato, è fondamenta-
dimostrato che fino a due terzi delle nostre conversazioni quoti- le trattare un tema, ad esempio il phishing, raccontandolo con
diane sono costituite da storie. Gran parte di queste storie tras- una storia e dei personaggi corrispondenti; dall’altro, sono ne-
mettono consapevolmente o inconsapevolmente conoscenze. Il cessari diversi episodi formativi per coprire tutti i contenuti in
ruolo di mediazione della narrazione come strumento di appren- dettaglio. Le unità didattiche più lunghe di dieci minuti causano
dimento e insegnamento oggi è particolarmente evidente nel un calo del livello di attenzione, così come della suspense della
digitale, come nel campo dell’e-learning. storia. Di conseguenza, diminuisce anche l’apprendimento.