A chiunque sarà capitato di vivere in prima persona la differenza tra la teoria e la pratica in un percorso di apprendimento.
Imparare la teoria è un primo passo necessario.
Soprattutto per il nostro approccio occidentale abituato a nutrire la parte mentale della conoscenza. Del resto così ci hanno insegnato sin da piccoli. A leggere, ascoltare, studiare, magari anche ripetere quello che ci veniva trasmesso.
C’è però un tipo di conoscenza che si basa su un approccio pratico, fatto di esercizi e di confronto concreto con la materia che, soprattutto per alcuni ambiti non si può pensare di trascurare. Tanto per fare qualche esempio, è difficile immaginare che un musicista possa esprimersi al meglio solo studiando la storia della musica o imparando a memoria uno spartito. O che uno chef possa avere successo solo leggendo libri di cucina.
Purtroppo spesso nei nostri modelli formativi questi due approcci vengono separati e così succede che la formazione non è mai completa e c’è sempre una parte di conoscenza che manca.
Un discorso che è tanto più valido per gli adulti che già esercitano una professione e che hanno poco tempo, poca disponibilità mentale, e che pensano di poter imparare qualcosa di nuovo solo leggendo qualche dispensa o ascoltando una lezione teorica.
La cattiva notizia è che questa unilateralità non funziona. Possiamo snocciolare una grande quantità di nozioni teoriche e magari anche presentarle in bella forma ma se non inseriamo nel percorso formativo l’esperienza sul campo, la formazione non sarà mai efficiente.
La buona notizia è che i bravi formatori lo sanno e sono molto attenti a non trascurare nessuno dei due approcci.
Un discorso tanto più vero se parliamo di formazione sulla cyber security, un particolare apprendimento costituito da una importante parte teorica ma anche da una determinante parte pratica e di esercizi, senza la quale non può esserci la certezza di essere pronti ad affrontare la minaccia cyber sempre più insidiosa, perché continuamente mutante e perché trova sempre nuovi modi per fare breccia nelle vulnerabilità umane e nella mancanza di abitudine a gestire il flusso continuo di problemi.
Per costruire la competenza necessaria a rendere un utente pienamente consapevole, che può sfruttare al massimo le opportunità della dimensione digitale riducendo al minimo i rischi per la sicurezza sua e della sua organizzazione, dobbiamo sviluppare tutte le abilità necessarie, agendo sul sapere, che è correlato con la conoscenza, sul saper fare, che è correlato con la pratica e con l’esperienza, e sul saper essere, che è correlato con i comportamenti.
L’integrazione tra percorsi diversi, in una logica di formazione continua e aggiornamento permanente, sono la base per curare il sapere a tutto tondo, avendo l’obiettivo di sviluppare la quarta abilità, quella del saper divenire, promuovendo uno stato di auto osservazione e auto riflessività.
L’importanza della “pratica” nella formazione
Maurizio Zacchi, responsabile della formazione di Cyber Guru, spiega l’importanza della formazione pratica e dell’allenamento continuo per riuscire a parare gli attacchi che arrivano da fronti sempre diversi e inaspettati.
“Soprattutto per le email di phishing – dice – ci siamo resi conto che una grande differenza nel livello di preparazione degli individui è conseguenza dell’esercizio sistematico e sempre diverso. Questo infatti mette concretamente alla prova l’apprendimento delle nozioni teoriche e porta nella gran parte dei casi a quella modifica permanente del comportamento che deve essere il risultato di una formazione efficace. Per questo motivo una parte fondante della nostra formazione è costituita dall’invio, ovviamente a sorpresa, di email contenenti tranelli di vario tipo e commisurati al livello di preparazione del discente. Cioè, a seconda di come quest’ultimo reagirà di volta in volta alla simulazione della truffa, gli saranno inviate email di phishing successive che lo metteranno di fronte a sfide sempre più ardue, o comunque rispondenti al suo livello di apprendimento”.
Di fatto si tratta di una formazione ad personam che, proprio perché fondata sull’esperienza personale, è la più efficace nel portare risultati permanenti nella modifica del comportamento. Un processo adattivo che consente di “personalizzare” il percorso formativo.
Gamification
A questo tipo di esercitazioni Cyber Guru aggiunge inoltre una parte ludica, di gioco, attraverso cui i dipendenti dell’azienda possono divertirsi e sfidarsi sul terreno scivoloso del crimine informatico. Un elemento quest’ultimo che fa crescere molto la motivazione e il desiderio di mettersi alla prova.
Una cosa è certa: Cyber Guru ha ben chiaro che la formazione sulla cyber security deve uscire dalle gabbie noiose e sempre più strette dei classici percorsi formativi aziendali che il più delle volte sottopongono per giornate intere i poveri dipendenti a un tour de force di nozioni e teorie che finiscono quasi sempre nel dimenticatoio dopo pochi giorni. Si tratta di uno sforzo inutile per i dipendenti, di un investimento sbagliato per l’azienda nonché di una pericolosa esposizione al rischio di truffe informatiche, visto che la materia vede un’evoluzione rapidissima e sempre più sfidante.
Per sfidare il crimine informatico ci vuole una formazione rivoluzionaria
Per questo la formazione di Cyber Guru può considerarsi rivoluzionaria, perché raccoglie le indicazioni provenienti dalle teorie dell’apprendimento più all’avanguardia e le organizza in percorsi formativi graduali, efficaci e customizzati.
Per i primi tre anni è prevista una vera e propria scuola organizzata con una formazione di circa mezz’ora al mese che miscela sapientemente conoscenze teoriche, esperienze pratiche personalizzate e attività ludiche. In questa fase si impara tutto ciò che c’è da sapere sul tema e si diventa padroni della materia, lasciando a ognuno la libertà di gestire e assimilare il suo percorso formativo con i suoi tempi.
Passato questo periodo inizia la fase del mantenimento, perché la memoria si mantiene attraverso la ripetizione e l’esercizio continuativi. E anche perché parliamo di una materia in continua evoluzione e che non può essere certo relegata a una o due giornate formative nel corso dell’anno.
Per questo dal quarto anno in poi Cyber Guru non prevede più l’approccio didattico ma un cammino personalizzato, che viene di volta in volta organizzato a seconda dei feedback provenienti da ogni singolo discente. Se quest’ultimo dimostra di conoscere quell’argomento si procede in un percorso di rafforzamento delle sue conoscenze, altrimenti si propone un percorso di riordinamento, fino alla completa assimilazione.
Tutto ciò viene svolto attraverso video interattivi che però non impegnano i dipendenti per più di 30 minuti ogni mese.
Per rendere il viaggio formativo ancora più accattivante vengono inoltre organizzati dei giochi seri nei quali il discente viene sottoposto a una serie di quesiti e problemi da risolvere, sulla falsariga dell’Escape Room. Se si indovina e si superano le sfide, si riesce ad uscire dalla stanza, completando con successo il proprio percorso.
“É un modello – spiega Maurizio Zacchi – basato sul processo adattivo, costruito con algoritmi di Intelligenza Artificiale, che consente un adattamento automatico, del percorso formativo al livello di conoscenza e capacità del discente. É il superamento definitivo di un concetto di formazione tradizionale, che in ambito aziendale ha dimostrato tutti i suoi limiti”.