“Può succedere anche a me”
L’impatto emotivo che può essere la svolta per imparare
BonelliErede racconta come i programmi Cyber Guru abbiano rotto il muro di disinteresse e fatto raggiungere a tutta la squadra livelli inaspettati di consapevolezza digitale.
Avete presente i grandi studi legali che tutti abbiamo visto nei film americani, quelli che si occupano di cause importanti che riguardano aziende, organizzazioni, istituti finanziari? Quelli in cui lavorano squadre compatte di professionisti che mettono in campo tutti i loro talenti per centrare l’obiettivo?
Ecco, anche da noi, in Italia, esistono queste realtà e rappresentano una forza propulsiva per tutto il sistema Paese. Su tutte spicca BonelliErede, leader in Italia nei servizi legali e fiscali, attivo in tutti i settori del diritto commerciale e nel diritto penale d’impresa, dove rivolge principalmente assistenza alle imprese.
I settori in cui si muove sono svariati: energia, edilizia, finanza, real estate, arte, sport, tanto per citarne alcuni. Una squadra di circa 800 persone, di cui circa 550 avvocati, che si adoperano per cercare sempre la soluzione più adatta per i loro clienti, che si tratti di diritto societario, tributario, del lavoro, problematiche di concorrenza, crisi aziendali e ristrutturazioni del debito, arbitrati internazionali, e molto altro.
Una rete molto fitta, dunque, di relazioni e scambi che avvengono in gran parte via web e che attraversano il mondo, considerato che BonelliErede ha sede a Milano, Roma, Genova, Londra, Bruxelles, Dubai, Cairo e Addis Abeba.
Parliamo di un’organizzazione importante e ben strutturata dal punto di vista della sicurezza informatica, che ha sempre arginato con adeguati sistemi di protezione i tentativi di attacchi che pure ci sono stati negli anni.
Ma anche i migliori hanno un punto debole e per BonelliErede questo era rappresentato dalla difficoltà di trasmettere alla numerosa squadra di professionisti l’importanza di una adeguata formazione dei singoli individui rispetto alle tematiche di cyber security.
L’argomento, si sa, non è appassionante ed è difficile convincere persone con giornate molto dense di impegni e con sfide importanti nella testa a dedicare parte del loro tempo a formarsi su un tema che non li coinvolge direttamente. O almeno così credono.
A raccontare come questa sfida è stata vinta è Mauro Baldoni, direttore IT di BonelliErede.
“L’occasione si è presentata con il percorso iniziato nel 2017 per ottenere la Certificazione ISO/IEC 27001, attestato internazionale del Sistema di Gestione per la Sicurezza delle Informazioni (SGSI). Questa è stata ottenuta nel 2019 dopo un periodo di due anni che ci ha obbligati a rivedere tutte le misure organizzative, tecnologiche e di processo, poiché la certificazione richiede non solo determinati sistemi di sicurezza attiva e passiva ma anche lo sviluppo di una certa consapevolezza.
Da sempre noi addetti ai lavori sappiamo, infatti, che il punto debole della sicurezza si trova tra il monitor del computer e lo schienale della sedia, e cioè è rappresentato dal fattore umano. Ma il problema è come farlo capire a chi, nella vita, si occupa di altro.
Abbiamo così sperimentato diversi approcci: didattica online, PowerPoint, documenti di vario tipo, persino brevi video prodotti internamente. Tutto però è stato fallimentare, non riuscivamo in nessun modo a catturare l’attenzione dei nostri avvocati.”
Le serie TV per un coinvolgimento attivo
“La chiave di volta è stata quando ci siamo accorti che mostrando un episodio della nota serie Black Mirror, prodotta da Netflix, in cui si raccontava un tipico attacco al Ceo avvenuto attraverso l’adescamento del figlio adolescente, tutti sono rimasti incollati al video. La puntata faceva leva su quella parte del cervello più legata agli istinti e alle emozioni. Non c’erano nozioni da ricordare o teorie da capire in modo intellettivo, ma c’era una storia ben raccontata che ha permesso agli utenti un processo di identificazione con quanto narrato.
Insomma hanno capito che tutti loro avrebbero potuto essere le vittime di quella storia. Il tutto è stato poi amplificato anche dalle modalità di lavoro imposte dalla pandemia che ha costretto molti professionisti a condividere i loro device con i figli, magari adolescenti, che seguivano le lezioni scolastiche da casa.”
L’incontro con Cyber Guru
“Abbiamo finalmente capito come catturare l’interesse del nostro target e in quello stesso periodo abbiamo intercettato Cyber Guru, insieme al partner Tormalina, e i suoi diversi programmi formativi.
In particolare, i suoi video, basati sul modello delle serie tv e interpretati da attori professionisti che simulano situazioni di rischio reali e quotidiane mostrando il giusto modo per non cadere nella trappola, facevano senz’altro al caso nostro.
E così abbiamo iniziato questa nuova avventura formativa.
Il nuovo approccio, proprio perché basato su uno storytelling particolarmente coinvolgente, centrato sull’esposizione di casi reali di attacco cyber, è stato molto apprezzato internamente e ha coinvolto in modo trasversale le varie figure professionali e le differenti fasce di età.
La cosa che ci ha più favorevolmente impressionati è che ci sono stati episodi di tentativi di phishing che sono stati immediatamente intercettati anche dai soci meno giovani. Addirittura ottantenni. Un risultato che non ci aspettavamo.”
La Gamification per motivare e gratificare
“Un altro metodo formativo che ha riscosso molto successo, in particolare tra i più giovani, è stato quello del gioco a squadre.
Creare competizione tra i vari settori e dipartimenti e mettere in palio un premio a chi per primo è capace di trovare una soluzione relativa a un problema di sicurezza o a chi finisce prima degli altri un determinato percorso formativo è motivo di grande coinvolgimento.
Il premio può essere un buono regalo oppure viene comunicato internamente a tutti il nome del vincitore, che gode, così, di un piccolo momento di notorietà e successo. Cosa gratificante e quindi di grande motivazione.”
La Security Awareness anche per partner e consulenti
“Noi come studio non ci sentiamo vulnerabili, siamo strutturati e anche a livello di consapevolezza possiamo affermare di aver fatto in questo ultimi 3-4 anni un grande balzo in avanti.
Il problema è che non possiamo fare i conti solo con noi stessi. Quando seguiamo le cause ci sono sempre molte altre persone coinvolte e non tutti hanno un livello adeguato di schermatura tecnologica o di preparazione. Può succedere quindi che qualcuno, che non fa parte dello studio, venga “bucato” e apra le porte al pirata di turno che può intromettersi nel giro delle e-mail spacciandosi, ad esempio, per uno dei nostri avvocati, e creando così anche a noi un danno di immagine.
Fino ad ora tutti i tentativi di attacco sono stati scoperti e fermati, ma il problema non può essere ignorato.
Per questo abbiamo lanciato una campagna verso partner, consulenti, competitor, volta a chiedere a tutti coloro che lavorano con noi di adottare adeguate misure di sicurezza.”
