La Cyber Security Awareness (CSA) è una disciplina diventata centrale in tutti i programmi di sicurezza informatica di qualsiasi tipologia di organizzazione sia in ambito pubblico che privato.

In termini essenziali la CSA corrisponde alla necessità di sviluppare programmi di formazione rivolti agli utenti digitali per sviluppare consapevolezza rispetto ai rischi e alle minacce Cyber che fanno leva sul fattore umano per violare i sistemi di sicurezza delle organizzazioni.

Ci sono due dati essenziali che supportano l’esigenza di sviluppare programmi di formazione per dipendenti e collaboratori di un’organizzazione:

• gli attacchi Cyber sono in costante aumento e sono diventati uno dei principali rischi di business di qualsiasi organizzazione;

• la maggior parte di questi attacchi – tutti gli studi convergono su una percentuale tra il 70% e il 90% – traggono origine da un comportamento umano non corretto – come, ad esempio, un click su un link ricevuto su una mail dai contenuti ingannevoli.

L’esigenza di intervenire sul fattore umano, considerato l’autentico anello debole della catena difensiva, attraverso percorsi di formazione è un’esigenza estremamente trasversale che viene recepita anche nelle principali normative (es. GDPR, direttiva NIS, ecc.) e dai principali framework di sicurezza.

L’obiettivo di questi percorsi non può limitarsi però a garantire conformità ad una normativa, ma deve essere quello di aumentare la resistenza degli individui e delle organizzazioni agli attacchi Cyber, trasformando effettivamente i comportamenti di dipendenti e collaboratori.

Considerata la dinamicità sia dello scenario digitale sia delle tipologie di attacco, l’efficacia formativa non può che basarsi su criteri di formazione permanente (Lifelong Learning), con interventi formativi a basso impatto ma erogati con cadenze regolari.

Per garantire però il pieno coinvolgimento degli utenti (da ora in poi anche definiti discenti) è necessario pensare e ripensare le caratteristiche degli oggetti formativi con un orizzonte temporale di lungo termine. La motivazione dei discenti è infatti uno dei pilastri basilari dell’efficacia formativa.

Cyber Guru offre una piattaforma formativa di Cyber Security Awareness di grande efficacia, finalizzata a trasformare il fattore umano da anello debole della catena difensiva a prima linea di difesa contro il cybercrime.

Grazie alla sua piattaforma SaaS e ai suoi tre programmi formativi basati su un approccio metodologico esclusivo, la piattaforma, interamente progettata e sviluppata in Italia, consente alle organizzazioni pubbliche e private di formare e addestrare i propri dipendenti ad un utilizzo corretto delle tecnologie digitali, aumentando il livello di protezione di individui e organizzazioni.

La piattaforma Cyber Guru è stata progettata e realizzata per massimizzare l’efficacia dell’azione formativa, minimizzando l’effetto dispersivo e annullando i costi di gestione. Questo ha contribuito a far sì che oggi sono circa 420 le aziende che hanno scelto la piattaforma di training Cyber Guru con oltre 650.000 utenti coinvolti attivamente, e più di 5.000.000 di lezioni fruite e simulazioni effettuate.

La nuova versione del programma Cyber Guru Awareness (CGA) si è arricchita della sezione Cyber Campus (CC), costituita da una particolare tipologia di percorsi formativi che vengono attivati al completamento dei percorsi formativi proposti agli utenti novizi e contenuti nella Cyber School (CS). Per maggiori dettagli si faccia riferimento a https://www.cyberguru.it/.

Con l’introduzione del Cyber Campus, la metodologia di sviluppo e gestione della conoscenza adottata come base del programma di formazione permanente, ha assunto il paradigma “Progress, Maintenance & Update – PMU”, il cui schema è stato riportato nella figura seguente.

Figura 1 – Progress, Maintenance & Update, la nuova struttura di Cyber Guru Awareness.

Secondo lo schema di erogazione tipico del programma CGA, i percorsi formativi della Cyber School, rispondono alle esigenze di apprendimento per i primi tre anni di fruizione.

Il modello Cyber Campus si attiva in via ordinaria al quarto anno, quando si suppone che il discente abbia raggiunto un livello di conoscenza sufficiente per trarre pieno vantaggio dall’approccio interattivo che caratterizza gli oggetti formativi interattivi del Campus.

Un’ulteriore novità è costituita dalla possibilità di coinvolgere gli utenti in un test di certificazione nel passaggio dal terzo anno della Cyber School al primo anno del Cyber Campus.

Alla luce delle novità precedentemente introdotte, la piattaforma si compone di tre programmi distinti acquistabili separatamente:

1. Cyber Guru Awareness (CGA): programma didattico di Cyber Security Awareness in modalità e-learning che applica il paradigma “Progress, Maintenance & Update”, suddiviso negli ambienti:

   1. Cyber School - piano di formazione in modalità “e-learning” con moduli auto-consistenti, ognuno dedicato a uno specifico argomento, con attivazione mensile, per un periodo massimo di 36 mesi, progettato per sviluppare negli utenti una graduale conoscenza applicando un approccio di tipo scolastico;

   2. Cyber Campus - ambiente costituito da un ampio catalogo di oggetti formativi interattivi, focalizzato sull’obiettivo di mantenere ed aggiornare la conoscenza acquisita nella Cyber School.

2. Cyber Guru Phishing (CGP): programma di apprendimento esperienziale fortemente automatizzato e adattivo, che ha lo scopo di aumentare la resistenza dell’organizzazione agli attacchi Phishing e Smishing e che produce risultati efficaci grazie alla sua metodologia avanzata, pensata per mantenere “allenate” due importanti caratteristiche difensive umane: la prontezza e la reattività.

3. Cyber Guru Channel (CGC): programma di formazione basato su una metodologia induttiva costituito da episodi video di alta qualità, realizzati con tecniche di produzione avanzata tipiche delle serie TV. Grazie all’impiego spinto di una narrazione (storytelling) particolarmente coinvolgente si sviluppa negli utenti la consapevolezza del rischio cyber con 12 episodi per ogni annualità (36 episodi su 3 anni).

In estrema sintesi, le caratteristiche che rendono la proposta Cyber Guru efficace ed idonea ad essere adottata da organizzazioni di qualsiasi dimensione e complessità sono:

• Piattaforma fruibile in modalità SaaS;

• Forte attenzione al coinvolgimento degli utenti discenti con utilizzo di attori coach in tutti i video formativi al posto delle animazioni o delle slide statiche, e lezioni di breve durata (micro-learning);

• Tutti i contenuti sono stati pensati e realizzati nativamente in italiano senza l’impiego forzato di sottotitoli e applicando uno stile culturale riconoscibile nativamente dagli utenti (sono in ogni caso disponibili in piattaforma numerose traduzioni in lingua straniera);

• Contenuti Multilingua, senza alcun ricorso a sottotitoli e con la massima cura per la localizzazione dei diversi programi, disponibili oggi per più di 14 lingue

• Metodologia di addestramento avanzata, progettata per cambiare il comportamento dell’utente, studiata utilizzando principi di psicologia, andragogia, scienza della comunicazione e tecniche multimediali cinematografiche;

• Struttura di formazione continua, utile parimenti per le organizzazioni che avviano nuovi percorsi e per quelle che in passato hanno già attuato percorsi parziali;

• Motore di Machine Learning proprietario che governa automaticamente l’adattività dell’azione di addestramento anti-phishing sulla base della reale capacità degli utenti, ottimizzando l’impegno degli stessi ed il raggiungimento degli obiettivi;

• Sistema premiante per gli utenti con gamification, moduli interattivi e certificazione rilasciata automaticamente dalla piattaforma;

• Sistema di accompagnamento dei discenti (Student-Caring) gestito dalla piattaforma, concepito per sollecitare la partecipazione con toni garbati e comunicazioni personalizzabili;

• Automatismi di gestione del percorso formativo studiati per ridurre notevolmente l’impegno delle figure che hanno in carico l’attuazione dei programmi di cybersecurity awareness;

• Accurato sistema di reporting, progettato per modellare qualsiasi struttura organizzativa e per supportare efficacemente l’analisi dei risultati e l’individuazione delle aree di maggiore rischio per gruppi di utenti;

• Ampie possibilità personalizzazione dei messaggi, per offrire agli utenti un’esperienza di fruizione coerente con il proprio contesto professionale;

• Piattaforma aperta all’inserimento di moduli formativi personalizzati (in formato SCORM), forniti dal cliente finale o creati da terzi per arricchire o specializzare la proposta formativa.

L’interfaccia della piattaforma rivolta agli utenti finali dispone di aree all’interno delle quali sono presenti ulteriori strumenti di utilità:

• “cyber pillole” con contenuti video aggiuntivi, frequentemente aggiornati dall’Accademy Cyber Guru con proposte legate al periodo o al manifestarsi di nuove tecniche di attacco;

• reportistica per l’utente con i punteggi della gamification e il posizionamento del suo percorso rispetto al piano di studi proposto dalla piattaforma stessa.

Nei sotto capitoli seguenti sono descritte ulteriori funzioni trasversali di particolare rilievo.

Tutte le soluzioni dispongono di una dashboard di gestione unificata con sistemi di reportistica estremamente evoluti e funzioni di esportazione dei dati nei più comuni formati (Microsoft® Excel® , CSV, PDF, Microsoft® PowerPoint®2). L’introduzione dell’indice aggregato Cyber Score (cfr. § seguente 2.5.2) affiancato all’applicazione delle tecniche di gaming all’intero percorso formativo rappresentano un valido sistema di misurazione non solo quantitativo, ma anche qualitativo.

Le estrazioni Microsoft® PowerPoint®2 sono progettate per produrre report di taglio executive in pochi minuti, con grafici dinamici e relativi dati sottostanti per una facile post elaborazione e integrazione con valori che possono provenire da altri strumenti. Tale funzione è stata pensata per supportare le attività di produzione di reportistica di sintesi in capo ai soggetti erogatori di servizi (MSP), riducendo drasticamente l’impiego di tempo e risorse.

Figura 2 – Esempio indicativo di pannello di supervisione per il responsabile della squadra.

Cyber Score è un indice sintetico introdotto a seguito di una fase di analisi condotta dal reparto Ricerca & Sviluppo di Cyber Guru su un campione molto ampio di dati raccolti in quasi 4 anni di erogazione dei servizi di formazione in ambito cyber security. È stato progettato per fornire una valutazione aggregata e mediata della forza e della consapevolezza nell’ambito della Cyber Security Awareness per un singolo utente, per un gruppo o per l’intera organizzazione.

Figura 3 - Grafico a radar utilizzato per rappresentare il Cyber Score di un singolo o di un gruppo.

Nello specifico, questo indice è una media dei punteggi ottenuti su 5 differenti dimensioni (raffigurate attraverso un grafico radar come in figura) che concorrono a descrivere il profilo “di sicurezza”: difesa attiva, comportamento, apprendimento, partecipazione e aggiornamento.

I punteggi nelle rispettive dimensioni sono ottenuti dalla registrazione dei comportamenti e dei risultati in tutti i percorsi di formazione e addestramento presenti nella piattaforma. A titolo di esempio: quanti punti sono stati totalizzati nei quiz CGA, quanti episodi sono stato seguiti di CGC, quanti messaggi di phishing hanno generato un clic e quanti sono stati segnalati.

In particolare, difesa attiva e comportamento sono le due dimensioni di assessment sui comportamenti sul fronte phishing. Apprendimento è legato ai risultati totalizzati nei test di CGA mentre partecipazione e aggiornamento tengono conto di quanto il singolo o il gruppo sia allineato con il piano formativo in termini di fruizione di tutti i contenuti già resi disponibili dal sistema di distribuzione automatico della piattaforma.

La nuova architettura della piattaforma Cyber Guru consente l’inserimento e l’impiego di oggetti formativi o informativi forniti dal cliente o da terzi con l’obiettivo di ampliare la proposta introducendo moduli verticali per specifici settori o esigenze.

Gli oggetti formativi personalizzati possono essere distribuiti su una singola organizzazione finale o su un gruppo di esse.

Le modalità previste sono:

• popolamento della sezione personalizzabile dell’organizzazione per inserire contenuti sotto forma di documenti PDF o altri oggetti multimediali (policy aziendali, comunicazioni a sfondo cyber, ecc.);

• inserimento di moduli SCORM, che si possono aggiungere ai percorsi formativi Cyber Guru o possono costituire percorsi autonomi erogati in parallelo al programma standard.

In più occasioni nei capitoli precedenti si è citato il motore di Machine Learning, sviluppato da Cyber Guru per offrire alle organizzazioni uno strumento di formazione realmente adattivo, marcatamente differente rispetto a quanto frequentemente si osserva negli approcci tradizionali della formazione su piattaforme digitali.

Senza entrare in argomentazioni eccessivamente tecniche, si vuole in questa sede sottolineare alcuni aspetti che derivano dall’adozione di un reale sistema di Machine Learning rispetto alla mera analisi dei dati che potrebbe essere affidata ad un algoritmo di tipo tradizionale.

Nel grafico seguente abbiamo riassunto alcune differenze evidenti. La pura analisi dei dati (a sinistra) ci supporta nella produzione di report accurati e certamente ci può aiutare ad individuare “pattern” che permettano di individuare condizioni specifiche, come ad es. l’identificazione di utenti particolarmente deboli. Ma questo, seppure utile per ottimizzare i processi di addestramento, mantiene dei limiti che possiamo superare solamente con l’adozione di un vero e proprio motore di Machine Learning. Con esso la capacità di analisi compie un balzo in avanti e ci permette di ottenere un modello predittivo che possiamo impiegare per prevedere il comportamento futuro degli utenti nel percorso di addestramento, potendo in tal modo proporre ad ogni utente un piano di simulazione di attacco individuale, che lo impegnerà selettivamente sui temi dove è più incerto, ottimizzando lo sforzo complessivo che dovrà essere impiegato per raggiungere il risultato ottimale.

Figura 4 - Data Analytics VS Machine Learning.

Al termine del terzo anno del percorso Awareness è stata introdotta l’opzione facoltativa che propone agli utenti un test di certificazione delle conoscenze. Il test è composto da 50 domande afferenti agli argomenti trattati nelle tre annualità ed è superato rispondendo correttamente ad almeno il 60% dei quesiti posti. L’utente che non dovesse superare il test potrà tornare sui moduli che affrontano i temi dove non ha fornito risposte corrette, che rimangono disponibili in piattaforma, e potrà eseguire un nuovo test quando si sentirà maggiormente sicuro.

La piattaforma rilascia inoltre agli utenti un attestato di completamento per ogni annualità formativa, scaricabile in formato PDF.

La piattaforma dispone di una propria interoperabilità all’interno dei tre programmi formativi CGA, CGP e CGC descritti in precedenza. Essi, pur operando con obiettivi e modalità distinti, sono stati progettati per utilizzare in modo sinergico i dati propri di ogni sottosistema. Con questa logica, i parametri che descrivono gli utenti e la loro appartenenza a gruppi organizzativi o personalizzati sono totalmente interscambiabili. Questo offre agli operatori che hanno in carico la conduzione del progetto un apprezzabile facilitazione nella gestione di tutti i processi di caricamento, aggiornamento e dismissione delle anagrafiche e una visione d’insieme di tutti i risultati prodotti dalle azioni formative e di addestramento.

Oltre ai servizi di interoperabilità interni ai sottosistemi, la piattaforma dispone di interoperabilità:

• dei contenuti, consentendo l’importazione di moduli formativi terzi in formato SCORM;

• delle funzioni, con servizi esterni per l’autenticazione, per la sincronizzazione degli utenti e per l’estrazione di informazioni circa lo stato di avanzamento del programma di formazione.

Più in dettaglio:

• per l’autenticazione è presente un’interfaccia che adotta il protocollo SAML 2.0 verso Identity Provider terzi;

• sempre con la medesima modalità è possibile per forzare l’uscita dalla sessione (Single Log Out);

• la sincronizzazione degli utenti è realizzabile tramite SAML 2.0 (creazione e modifica di alcuni attributi) o tramite API Microsoft Graph® .

Cyber Guru è censita nel registro AGID come fornitore qualificato di servizi cloud per la pubblica amministrazione ed è certificata:

• ISO 9001:2015 settore EA 37, in relazione alla progettazione ed erogazione di corsi sulla Cybersecurity basati su piattaforme di e-Learning (IAF 37, 33).

• ISO/IEC 27001 per la sicurezza delle informazioni, con riferimento alla progettazione e all'erogazione di corsi di formazione in ambito Cyber Security attraverso piattaforme di e-learning.

• ISO/IEC 27017, standard di sicurezza che estende ISO/IEC 27002 definendo controlli integrativi e addizionali per i fornitori dei servizi in cloud.

• ISO/IEC 27018, standard di sicurezza che estende ISO/IEC 27002 definendo controlli di sicurezza integrativi e addizionali specifici per la protezione dei dati personali (PII) per soggetti che erogano servizi in cloud pubblici.

Per gestire i dati rispettando le normative vigenti e le best practice di settore Cyber Guru adotta linee guida, configurazioni e processi avanzati e certificati. Di seguito sono descritti i parametri ed i criteri più importanti:

• Collocazione dei dati - I dati delle piattaforme risiedono su datacenter residenti in Europa nel pieno rispetto delle normative GDPR.

• Cifratura – I dati in transito sono gestiti da connessioni TLS 1.2. I dati residenti nel File System e nel Database sono crittografati.

• VAPT periodici – Le piattaforme e gli applicativi sono sottoposti a verifiche periodiche con attività di Vulnerability Assessment e Penetration Test condotte da terze parti qualificate