In quasi ogni formazione sulla sicurezza, sbagliare vale come un voto in rosso. Segni l’opzione sbagliata, il sistema la registra come errore e passa alla domanda dopo. In un videogioco succede qualcosa di diverso. Il personaggio cade, lo schermo dice che hai perso, e proprio quella caduta è la parte in cui qualcosa resta. Riprovi e stavolta schivi la buca che prima non avevi visto.
Sembra un dettaglio di design, ma tocca il cuore di come impariamo a decidere sotto pressione. Un programma di Cybersecurity awareness che premia solo la risposta corretta si perde la metà più succosa della faccenda, cioè quello che succede quando sbagliamo e nessuno ci presenta il conto.
Questo permesso di sbagliare, di imparare dall’errore senza pagarne il prezzo, ha un nome e ha delle evidenze alle spalle. Vale la pena guardarlo da vicino, perché spiega perché un gioco ben pensato lascia un segno che il solito corso non riesce a lasciare.
Perché un videogioco ci lascia sbagliare senza che succeda nulla?
Un videogioco si regge su un patto silenzioso. Puoi sbagliare tutte le volte che vuoi e non si rompe niente di reale. Lo chiamiamo prova senza rischi, la possibilità di provare una decisione, vedere come va storta e ricominciare senza conseguenze fuori dallo schermo. Lì l’errore funziona come informazione per il tentativo successivo, più che come una condanna.
Ogni tentativo fallito ti dice qualcosa sul prossimo. Sei caduto nella buca, ora sai che c’è. Hai aperto il forziere trappola, la prossima volta diffidi di quello che brilla troppo. Nessuno ti manda un’email dalle risorse umane perché sei morto al livello tre (per ora). Quel margine è ciò che rende il gioco un posto comodo per allenare cose che nella vita reale fanno paura. Quando il costo di provare scende quasi a zero, provi di più, e a forza di provare affini l’occhio per la volta dopo.
Nella sicurezza, quello che fa paura è piuttosto concreto. Cliccare dove non andava cliccato, approvare un bonifico che non era da approvare, consegnare una credenziale a chi non doveva riceverla. Un gioco ti fa vivere quelle microdecisioni molte volte, in un ambiente dove il finale peggiore è ricominciare il livello. E allenare la decisione mettendola in pratica, invece di limitarti a leggerne, è ciò che poi tiene in piedi il riflesso.
Cosa dice la ricerca sull’imparare dagli errori?
La ricerca è piuttosto chiara su un punto. Allenare lasciando che la persona commetta errori tende a funzionare meglio che guidarla passo passo perché non sbagli mai. Questo approccio ha un nome poco glamour, error management training, e consiste nel dare spazio all’errore durante la pratica invece di blindare ogni mossa.
Una meta-analisi di Nina Keith e Michael Frese, pubblicata sul Journal of Applied Psychology nel 2008, ha raccolto ventiquattro studi con oltre duemila persone e ha confrontato le due strade. Allenarsi con gli errori ha battuto il metodo che li evita, con un effetto moderato e costante. E qui c’è ciò che più interessa a chi lavora nella Cybersecurity awareness. Quel vantaggio cresceva quando la persona doveva applicare quanto appreso a una situazione nuova, diversa da quella su cui si era esercitata.
Ed è, in fondo, quello che chiediamo a chiunque davanti a un attacco. L’email malevola che arriva non è mai identica a quella dell’esempio del corso. Cambiano il mittente e la scusa, e a volte perfino la lingua in cui è scritta. Riconoscere la trappola nuova a partire da quelle vecchie che hai già vissuto è transfer, ed è proprio il terreno dove l’apprendimento con gli errori prende il vantaggio. Un metodo che ti ha mostrato la risposta corretta una volta sola arriva peggio preparato a quell’appuntamento.
Dietro quel risultato c’è un’intuizione semplice. Quando abbiamo paura di sbagliare, esploriamo di meno. Seguiamo la strada sicura che qualcuno ci ha indicato ed evitiamo di toccare quello che non conosciamo, cioè il contrario di quello che serve per individuare qualcosa di inedito. Un ambiente dove l’errore non costa niente abbassa quella guardia. Lascia che la persona provi, che si azzardi a guardare sotto il tappeto e che si costruisca un criterio suo, invece di memorizzare un’unica rotta corretta che crolla appena la realtà cambia un dettaglio.
Perché un test superato una volta non allena il riflesso?
Un test superato una volta misura quello che ricordiamo quel giorno, non quello che faremo mesi dopo, quando arriverà l’email strana. Segni l’opzione giusta, esce il certificato e l’argomento finisce in archivio. Il dettaglio scomodo è che la sicurezza si gioca nel momento della decisione, e quel momento arriva molto tempo dopo il test.
Quello che ci serve è che alla persona venga il gesto giusto quasi senza pensarci quando compare la trappola, al di là del fatto che sappia rispondere bene a una domanda a scelta multipla. Lo chiamo il riflesso, e il riflesso non si spiega a parole, si allena. Si costruisce ripetendo la stessa microdecisione in contesti simili finché riconoscerla costa poco.
Un test lo tocca una volta. Un gioco te lo fa ripetere senza che sembri una ripetizione, perché avvolge la decisione in una storia e in una sfida che fanno venire voglia di andare avanti. Qui torna un’idea che ripeto spesso, cioè che la noia è un buco di sicurezza. Una pratica che annoia viene abbandonata, e quello che si abbandona non allena niente. Il gioco risolve quella parte quasi di nascosto. Mentre la persona vuole superare il livello, in più sta provando la decisione che ci interessa. Su come la ripetizione tiene in piedi ciò che si è imparato ho già scritto, quando abbiamo parlato di microapprendimento e rilascio continuo a piccole dosi.
Come si porta la prova senza rischi in un programma di Cybersecurity awareness?
Il modo pratico per dare alle persone quel permesso di sbagliare è metterle davanti a situazioni realistiche dove l’errore non costa caro ma lascia comunque qualcosa. Ci sono tre modi che si completano bene all’interno dello stesso programma.
Il primo è la simulazione. Un’email di phishing simulata lascia che la persona abbocchi in un ambiente controllato e riceva, sul momento, la spiegazione di cosa l’ha tradita. Ha sbagliato, ma ha sbagliato nella simulazione, che è esattamente dove vogliamo che sbagli, prima che davanti a un attaccante vero. Gli strumenti di simulazione servono a questo, a far sì che il primo clic sfortunato avvenga in una prova.
Il secondo sono i videogiochi di Cybersecurity awareness. Qui la prova senza rischi è quasi letterale. La persona prende decisioni di sicurezza dentro una storia, sbaglia, vede la conseguenza dentro il gioco e riprova. Nella nostra libreria di videogiochi di awareness la meccanica è proprio questa, allenare il criterio giocando invece di ascoltare una lista di divieti. E siccome ogni gioco costruisce il proprio mondo, la stessa idea si può raccontare in modi molto diversi senza stancare, una cosa che avevamo già visto passando in rassegna le meccaniche di gamification che cambiano i comportamenti e guardando i videogiochi come power-up del programma.
Il terzo è il momento educativo. Quando una persona compie un’azione a rischio, per esempio cliccare su una simulazione di phishing, quell’istante è la migliore lezione possibile, perché l’attenzione è al massimo. Il momento educativo entra proprio lì, appena si verifica l’errore, e le spiega quale azione a rischio ha compiuto e come riconoscere l’inganno la prossima volta. È la stessa logica del gioco, mostrarle cosa è successo e offrirle la via d’uscita all’istante, senza la solita predica, che di solito arriva tardi e che oltretutto nessuno ascolta fino in fondo.
Conviene non confonderlo con il nudge, che è un elemento diverso. Il nudge lavora prima, come prevenzione, con una spinta discreta che compare nel momento della decisione per orientare senza obbligare. Il momento educativo arriva dopo, come reazione, quando l’errore è già avvenuto e c’è una lezione ancora calda da sfruttare. Svolgono funzioni diverse e si rafforzano a vicenda quando convivono nella stessa campagna, qualcosa che abbiamo già approfondito in come i nudge e i momenti educativi modellano il comportamento.
C’è una cosa da non perdere di vista in tutti e tre. La prova senza rischi insegna solo se l’errore lascia una lezione chiara. Un gioco che ti lascia perdere senza spiegarti perché intrattiene per un po’ e non cambia niente. La conseguenza dentro lo schermo deve puntare alla decisione che vuoi allenare, e il nuovo tentativo deve arrivare in fretta, mentre l’esperienza è ancora calda.
L’errore insegna quando la persona capisce perché ha sbagliato. Senza quella spiegazione resta solo un momento di intrattenimento, e questa differenza è ciò che separa un gioco che forma da uno che fa solo passare il tempo. È anche il punto in cui conviene misurare se le persone hanno imparato qualcosa o si sono soltanto divertite.
Come piattaforma di Cybersecurity awareness, in SMARTFENSE vediamo questo schema in continuazione. I programmi che spostano di più l’ago della bilancia di solito sono quelli che lasciano allenare la decisione, più di quelli che la spiegano meglio. L’errore controllato, precoce e senza costi reali finisce per essere uno dei migliori maestri che abbiamo a disposizione.
Torniamo al voto in rosso dell’inizio. In un test quel segno è la fine della storia. In un gioco è l’inizio del tentativo successivo, e con un po’ di fortuna dell’apprendimento che cercavamo. A fare la differenza è aver avuto un posto dove sbagliare prima che l’errore fosse reale.
Un buon programma di Cybersecurity awareness assomiglia più a questo che a un test. Lascia esercitarsi e sbagliare tutte le volte che serve, e conta sul fatto che la prossima trappola venga riconosciuta perché l’hai già vissuta in un posto dove cadere non faceva male. È lì che la formazione smette di sembrare una formalità e comincia a prendersi cura di qualcuno.
Il tuo programma lascia spazio alle persone per sbagliare, o le mette alla prova solo il giorno in cui l’errore non ha più rimedio?
Lascia un commento