C’è un nemico di cui quasi non parliamo quando costruiamo un programma di Cybersecurity awareness, ed è la noia. Una formazione che annoia non si trattiene, e ciò che non si trattiene non ci protegge il giorno in cui arriva un’email sospetta. Il corso annuale si porta dietro questo problema dalla nascita. Concentra tutto in una sessione lunga, la persona la fa, la supera (e il certificato finisce dritto in una cartella che nessuno riapre più) e torna al suo lavoro. Mesi dopo, quando serve davvero, di quella sessione non resta quasi nulla.
Non è colpa di nessuno. La memoria funziona così. Conserva ciò che ripassiamo e lascia andare ciò che ha visto una sola volta, per quanto completo fosse il materiale. Ed ecco la parte che tendiamo a saltare. Ciò che sostiene una buona decisione di sicurezza è quanto di ciò che abbiamo appreso resta fresco nel secondo in cui bisogna decidere, e mesi dopo un’unica sessione di fresco non resta molto. Perché qualcosa resti a portata di mano, bisogna tornarci sopra.
È questa l’idea del microlearning. Invece di puntare tutto su un’unica grande sessione, distribuisce l’apprendimento in piccoli pezzi nel tempo, così che il tema non si raffreddi mai del tutto.
Che cos’è il microlearning nella cybersecurity?
Il microlearning è un modo di insegnare in pezzi brevi e autonomi, un video di due minuti, un fumetto di una pagina, un promemoria di tre righe, distribuiti nel tempo invece di ammassare tutto in una lunga giornata. Ogni pezzo va dietro a una sola idea ed entra nella finestra di attenzione che una persona ha davvero, non in quella che immaginiamo ci riserverà.
La differenza con la formazione di sempre non sta nel tema né nella qualità del materiale. Sta nel ritmo. Uno stesso contenuto sul phishing può vivere come un modulo di quaranta minuti visto una volta, oppure come una dozzina di brevi promemoria distribuiti durante l’anno. Il secondo insegna la stessa cosa, ma in un modo che la memoria può trattenere.
E c’è un motivo pratico per preferire il breve. Un pezzo breve si può consumare davvero; un modulo di quaranta minuti compete contro tutta l’agenda della giornata e quella sfida la perde spesso. Lavoriamo con l’attenzione divisa su mille schede e con poco tempo di fila per qualcosa che non sia urgente. Un pezzo che rispetta quel contesto entra. Uno che lo ignora si chiude in due minuti, con o senza certificato.
Perché la formazione annuale non cambia il comportamento?
Più di un secolo fa, lo psicologo Hermann Ebbinghaus descrisse la curva dell’oblio. Senza ripassi, ciò che impariamo cade in fretta nei giorni e nelle settimane che seguono, e cade forte. Una formazione annuale consegna tutto il suo valore in un picco e poi lascia che la curva faccia il suo. Quando arriva l’email malevola, le fondamenta che abbiamo alzato in quel corso sono già crollate.
C’è una seconda ragione, ed è più scomoda. Una ricerca sulla formazione anti-phishing integrata presentata ad ACM CCS 2024 (Lain et al.) ha rilevato qualcosa di scomodo per chi punta tutto sul materiale. Ciò che rende efficace quell’intervento è il suo effetto promemoria, l’avviso periodico che la minaccia è ancora lì, più che il contenuto in sé, che quasi nessuno arriva a consumare per mancanza di tempo. Gli autori lo dicono senza giri di parole, il phishing è un problema di attenzione prima che di conoscenza. Un corso lungo una volta all’anno combatte la battaglia sbagliata, perché cerca di aggiungere conoscenza quando ciò che manca è presenza.
E c’è una trappola che conviene nominare. La formazione annuale supera l’audit, deposita il certificato nella sua cartella e ci regala la sensazione del dovere compiuto. Soddisfa la carta. Ma la carta e il comportamento sono cose distinte, e si può avere tutto il personale formato e, mesi più tardi, un tasso di clic altrettanto alto, semplicemente perché ciò che abbiamo firmato sei mesi fa non è presente nel secondo che conta.
Come fa il gocciolamento continuo a battere la curva dell’oblio?
La psicologia dell’apprendimento ha una risposta vecchia e ben studiata all’oblio, l’effetto di distribuzione (spacing effect). Tratteniamo meglio quando torniamo su un’idea in momenti separati che quando la inghiottiamo tutta in una volta. Il microlearning prende quel principio e lo rende la struttura del programma. Invece di un picco annuale, una serie di brevi contatti che riaccendono il tema prima che si spenga.
Quel gocciolamento fa due cose insieme. Rinforza ciò che si è appreso a ogni ripasso e mantiene la minaccia presente, che è proprio l’effetto promemoria che la ricerca indica come il vero motore del cambiamento. Quando il phishing, il ransomware o la buona gestione delle password compaiono spesso e leggeri, smettono di essere un ricordo lontano e diventano parte del paesaggio mentale della persona.
Col tempo, questo allena un riflesso. Invece di spiegare i segnali di un’email sospetta una sola volta, un programma può tornare sul tema ogni poche settimane e da angolazioni diverse, un fumetto che mostra un caso, più avanti un video che smonta un mittente falso, poi una simulazione che mette alla prova ciò che si è appreso. È lo stesso contenuto centrale, visto tre volte con settimane di mezzo, ed è quella distanza a fissare l’abitudine.
Quanto contenuto, e ogni quanto, senza saturare le persone?
Ecco l’errore che trasforma una buona idea in una brutta esperienza. Continuo non vuol dire costante. Se il gocciolamento si trasforma in un fiume di messaggi sciolti, il cervello fa ciò che sa fare meglio, smette di vederli. È la stessa cecità che abbiamo con i banner, dove ciò che si ripete senza conseguenze diventa invisibile, e dietro quella cecità arriva la stanchezza, quel punto in cui un promemoria in più è un fastidio in più.
Dosare bene è il vero lavoro. Ha a che fare con la cadenza, un ritmo che accompagna senza sovraccaricare, e con la rilevanza, dare a ciascuno ciò che gli tocca in base al suo ruolo, al suo livello e a ciò che ha già visto. Il percorso di chi lavora in finanza non somiglia a quello di un profilo tecnico, e trattarli allo stesso modo consuma l’attenzione di entrambi. La microsegmentazione delle persone è ciò che permette al gocciolamento di essere pertinente e non un messaggio generico per tutti.
In pratica questo si appoggia su due cose. Un catalogo pensato in formati brevi, fumetti, video e newsletter, che nascono già per essere consumati in fretta, e una programmazione di campagne che distribuisce quei pezzi durante l’anno invece di ammucchiarli. Sulla piattaforma di SMARTFENSE, quella distribuzione pianificata e segmentata è ciò che sostiene un programma di Cybersecurity awareness continua senza cadere nella saturazione. Il formato pesa quanto la frequenza, ed è per questo che conviene scegliere quale formato serve per quale comportamento prima di costruire il calendario.
Microlearning e il momento giusto
Il gocciolamento costruisce le fondamenta, ma c’è un istante che nessuna serie di contenuti pianificati riesce a coprire, il secondo esatto in cui qualcuno sta per cliccare su qualcosa di dubbio. Quel vuoto lo riempie il nudge, quella spinta che arriva nel momento giusto, attivato da ciò che la persona ha appena fatto e non dal calendario.
Conviene vederli come due strati dello stesso programma. Il microlearning lavora sullo sfondo, costante e silenzioso, perché il tema non si spenga mai del tutto. Il nudge interviene a caldo, quando la decisione è ancora aperta. E quando qualcosa va comunque storto, il momento educativo che segue l’errore è, in fondo, un’altra pillola breve che arriva quando la persona è più ricettiva. I tre condividono la stessa logica, poco contenuto, molte volte, nel momento opportuno.
Come appare in un programma reale
Un buon programma di microlearning si vede in quanto il tema resta presente durante tutto l’anno. È quello il numero che conta, più della pila di ore di formazione accumulate. Invece di un evento annuale e undici mesi di silenzio, c’è un flusso costante di pezzi brevi, calibrato su ciascun gruppo di persone, con nudge che compaiono nei momenti di rischio e rinforzi che fissano ciò che si è appena appreso.
In un programma così, la persona torna a incrociare il tema ogni poche settimane e da angolazioni diverse. Un fumetto le mostra un caso, più avanti un video breve smonta un mittente falso e, più tardi, una simulazione mette alla prova ciò che ha appreso e le spiega sul momento cosa l’ha tradita. Quando alla fine arriva un’email costruita per ingannarla, il riflesso di controllare mittente, urgenza e link è già allenato, perché l’ha ripassato di recente e non in un corso lontano. È questa la differenza tra sapere una cosa e averla a portata di mano.
Alla fine torniamo allo stesso punto. La noia resta il buco di sicurezza di cui quasi nessuno parla, e nessuna sessione annuale lo copre. Lo copre l’essere presenti, un poco, molte volte, proprio quando serve. Se vuoi vedere come si organizza quel flusso continuo nella pratica, puoi esplorare gli strumenti della piattaforma o le risorse di awareness, che sono già pensate in chiave di gocciolamento e non di abbuffata.
Lascia un commento