Se la cyber security diventa un gioco

«Questa iniziativa nasce all'interno di un programma di Cybersecurity Awareness, volto alla diffusione della cultura cyber all'interno dell'azienda. L'organizzazione nel suo essere, intesa come insieme di persone, processi, attività, si è dotata di una di una struttura che ha questo compito: preparare, formare, allertare, sensibilizzare, quindi rendere consapevoli le proprie risorse nei confronti dei rischi informatici, ovvero nell'utilizzo degli strumenti informatici. Da un utilizzo errato di quest’ultimi, infatti, possono nascere problemi che vanno a impattare sul corretto funzionamento dell'azienda stessa e minare la sua continuità operativa. Nel 2021 abbiamo cominciato a elaborare questo programma, sottolineando come tra i vari strumenti necessari per completare il nostro disegno ci fosse la necessità di implementare un sistema basato sulla gamification. Con il termine "gamification" si intende l’utilizzo di meccanismi tipici del gioco e, in particolare, del videogioco (punti, livelli, premi, beni virtuali, classifiche), per rendere gli utenti partecipi delle attività di un sito. Terna ha ideato questa soluzione dall’incontro con una startup all'interno del sistema Open Italy. È stato quindi avviato un tavolo di lavoro per disegnare e sviluppare in 12 settimane un prototipo, poi testato e valutato».

«Siamo partiti dall'idea di voler fare un'escape room perché rappresentava un'idea di gioco già nota e applicata in altri ambiti. Tutti noi abbiamo sentito parlare di escape room come forma di intrattenimento. Poi ci siamo concentrati su alcuni temi specifici della cybersecurity. Tra le minacce principali ci sono, per esempio, i ransomware (uno dei temi dell’European Cyber Security Month): una forma di minaccia che va a colpire un'organizzazione per criptarne i dati e il cui veicolo principale è l’email. Questo è un tema che abbiamo deciso di trattare nello storytelling del gioco, insieme al tema delle frodi online, trasferendoli in un contesto che ripercorresse le anime aziendali. Quali sono le strutture che potrebbero patire di più l'impatto di un ransomware? Tecnicamente tutte, ma in un contesto come quello di Terna quelle più vulnerabili potrebbero essere le aree più operative o quelle che hanno a che fare col nostro core business. Così come il tema della frode commerciale riguarda più la struttura di procurement, che riceve migliaia di email anche dall'esterno e potrebbe essere una vittima abbastanza identificabile».

«Nel Terna Cyber Palace, come in tutte le escape room, l’obiettivo è quello di uscire nel minor tempo possibile dal palazzo vestendo a turno i panni sia di un "red team player - in gergo informatico, chi compie un attacco – che di un "blue team player", chi invece studia e usa tutte le mosse possibili per difendersi dagli attacchi. Si gioca in squadra ma in modalità asincrona, cioè non si è vincolati ad accessi programmati e non è necessario che i componenti della stessa squadra giochino tutti insieme contemporaneamente. In questo modo ognuno può apportare il proprio contributo al team in qualsiasi momento».

«L'obiettivo è appunto quello di uscire. Abbiamo immaginato il palazzo Terna, il nostro quartier generale, su tre piani: l'ingresso dal terzo piano per scendere fino all'ultimo e poi uscire dal palazzo. Abbiamo immaginato che l'utente potesse rappresentare sia i panni del difensore (blue team) che dell'attaccante (red team), quindi ogni piano viene giocato in entrambe le vesti. Non c'è un elemento di difficoltà crescente, solo piani tematici con focalizzazioni su diversi argomenti connessi alla cybersecurity. Il gioco consiste essenzialmente nell'entrare in alcune stanze, che sono poi gli uffici di Terna: ogni porta prevede lo sblocco della serratura attraverso una domanda a tema cyber. Ad esempio: “Cos'è il phishing”? Una volta entrati comincia il gioco vero, dove i casi sono diversi a seconda del team di cui si fa parte. Un collega virtuale ti sottopone un caso e l’utente deve giocare delle carte, che sono carte di intelligence o carte di difesa/attacco a seconda del ruolo che viene rivestito in quel momento».

«La gamification è un approccio nuovo ma molto utilizzato nelle aziende, che consente di far avvicinare le persone a all'apprendimento e al training in maniera più “leggera”. L’utente viene coinvolto in un gioco, ma in realtà sta apprendendo. Il concetto di formazione sta cambiando e, in questo senso, è l’esempio perfetto di come le modalità innovative possano essere più efficaci dei metodi tradizionali. Nel tema della cybersecurity, poi, è ancora più funzionale perché non sono importanti le full immersion quanto piuttosto l’erogazione costante della formazione; è necessario stare sempre “in allerta”, dando quindi input continui ai collaboratori. Come quelli che offre il programma di Terna sul tema».

«Il programma si basa su una serie di strumenti che utilizziamo per fare awareness. Tra questi ci sono diverse comunicazioni sulla nostra Intranet, come gli alert su campagne malevole che circolano e che colpiscono gli utenti finali. Abbiamo poi introdotto una piattaforma di training per un allenamento costante fatto di piccoli contenuti mensili che sono erogati agli utenti con un tema diverso ogni mese: 36 argomenti divisi in video formativi brevi di 4/5 minuti, più un questionario. Oltre ai moduli di training, è prevista anche una sezione in cui sono disponibili, sempre a cadenza mensile, delle pillole in formato serie TV dove vengono riprodotte delle situazioni tipiche di incidenti cyber (spesso legati ad avvenimenti di vita reale). Ogni mese pubblichiamo un bollettino interno di cybersecurity con un taglio da non addetti ai lavori, ricco di approfondimenti e interviste».

«La cybersecurity non è più un tema per soli esperti. Oggi tutti noi dobbiamo essere predisposti ad assumere un atteggiamento di utilizzo corretto dei dispositivi e più consapevole di internet. Questa è e deve essere una delle priorità per aziende come Terna. Essere informati oggi è fondamentale: sia per la difesa dell'organizzazione, sia soprattutto per la propria sfera personale».