Giorni fa abbiamo pubblicato il videogioco retro RUN CISO RUN. Lo utilizziamo già da alcuni anni nelle nostre partecipazioni a fiere commerciali e congressi. Devo riconoscere che è evoluto molto nel tempo e speriamo continui a farlo, poiché lo troviamo tanto coinvolgente quanto gli altri giochi degli anni ’80 per la sua semplicità (grazie al nostro Gamification Expert Pablo Abratte).
Dinamica del gioco
Nel gioco ci troviamo di fronte a uno schermo diviso verticalmente in tre sezioni:
- A sinistra viene presentato uno scenario di assoluta inattività, dove gli attacchi provengono dall’esterno e solo gli strumenti tecnici cercano di fermare i cybercriminali.
- Al centro c’è il nostro personaggio, il CISO, che corre per generare contenuti e impartire il programma di sensibilizzazione sulla sicurezza informatica agli utenti finali.
- A destra si trova SMARTFENSE come piattaforma di sensibilizzazione, lanciando le campagne in modo costante.
Man mano che la velocità del gioco aumenta, ci troviamo a correre cercando di generare contenuti e distribuirli. Questo avviene in modo reattivo e spesso, nella frenesia del gioco (e del nostro lavoro come CISO), ci rendiamo conto che non lo stiamo facendo in modo efficace né efficiente. E questo gioco che dura appena 90 secondi ci lascia esausti…
Analisi dei risultati
Al termine della partita, possiamo finalmente confrontare i costi di ciascuna delle alternative. Le stesse che affrontiamo nella vita reale come CISO della nostra organizzazione…
A sinistra si può vedere che l’investimento nel caso dell’inattività è stato ovviamente nullo per la sensibilizzazione alla sicurezza informatica degli utenti finali, ma purtroppo le minacce sono state spietate, portandoci a spendere quel denaro risparmiato e molto altro nella remediation.
A destra ha agito SMARTFENSE. Essendo una piattaforma di sensibilizzazione che ci consente di programmare campagne secondo il programma di awareness progettato, assicura che si sviluppino abitudini sicure negli utenti con un basso investimento. In questo modo, è possibile ridurre il rischio di phishing, spear phishing e ransomware.
I risultati sullo schermo centrale dipenderanno da come abbiamo gestito la situazione, se abbiamo risparmiato o investito, e dalla nostra capacità di risposta alle condizioni esterne. In questo caso, evidenziamo che non è facile pensare chiaramente quando agiamo in modo reattivo alla situazione che ci si presenta, e non conosciamo gli effetti fino a che il gioco non termina (o l’anno, nel caso della nostra organizzazione).
È possibile “battere” SMARTFENSE?
Nel videogioco sì, poiché è progettato in modo che le minacce si lancino casualmente, quindi è normale che la sezione a destra, dove si trova SMARTFENSE, riceva attacchi (come può accadere nella vita reale). La situazione al centro dipende da noi, quindi dipenderà dall’expertise di ognuno trovare il modo di investire il meno possibile nella formazione e, allo stesso tempo, fermare gran parte delle minacce. Per farlo, servono molti tentativi di pratica (o anni nella vita reale). Tuttavia, saremmo sempre di corsa… è ciò che vogliamo?
Questa è la domanda che mi sono posto molti anni fa e la risposta è stata un “no” deciso. In effetti, è stato il motivo per cui abbiamo creato SMARTFENSE. Per chi non lo sapesse, molti anni fa lavoravo come CISO e mi ritrovavo sempre di corsa senza sapere quanto fosse efficace il nostro sforzo. Rendendoci conto di ciò, abbiamo notato che, nel migliore dei casi, realizzare un programma di sensibilizzazione di qualità ed efficienza accettabili ci avrebbe richiesto anni. E alla fine saremmo diventati esperti in qualcosa che avremmo potuto esternalizzare fin dall’inizio, con molta più qualità, efficacia e controllo.
Tenendo presente quanto detto, la carenza di personale di sicurezza informatica e sapendo che molti altri CISO si trovavano nella stessa situazione, abbiamo deciso di smettere di lamentarci e agire, in questo caso creando una piattaforma di sensibilizzazione specifica.
All’inizio della nostra attività, abbiamo anche rilevato che la maggior parte dei CISO era sopraffatta dalle attività, e per quanto semplice fosse la soluzione, in molti casi non trovavano il tempo neanche per implementarla. Per questo motivo abbiamo trovato il partner perfetto nei partner che forniscono valore aggiunto, accompagnandoli, non solo nell’implementazione e nella risoluzione dei problemi, ma anche nella definizione della linea base, nella programmazione, nell’analisi e nella generazione e adattamento di contenuti specifici. Oggi ci risulta difficile pensare di lavorare senza questo contributo di valore, poiché ogni organizzazione che vuole generare abitudini sicure negli utenti finali ha bisogno di una diagnosi precisa e di un messaggio adattato alla sua realtà, ed è per questo che il partner integratore gioca un ruolo chiave.
Conclusioni finali
Sebbene il gioco tratti della sensibilizzazione degli utenti, ogni CISO si trova quotidianamente in questa situazione su vari fronti, quindi speriamo che il gioco possa aiutare a fare una retrospettiva e riflettere su cosa si desidera dalla propria area di sicurezza informatica e dalla propria qualità della vita.
Lascia un commento