Cybersecurity game. Foto Archivio UniTrento

Vita universitaria

Cybersecurity game

Il gioco di ruolo per mettersi alla prova nella risoluzione di criticità aziendali legate alla sicurezza

1 dicembre 2021
Versione stampabile
Diego Ponte
Pierluigi Sartori
di Diego Ponte e Pierluigi Sartori
Rispettivamente: professore del Dipartimento di Economia e Management UniTrento; responsabile security Trentino Digitale.

La Cybersecurity in azienda è una cosa da tecnici o è un fenomeno di interesse critico per le aziende? Sin dagli albori di quella che oggi è una ben distinta disciplina di studio, si è chiaramente compreso che, per garantire un livello adeguato di sicurezza delle informazioni in azienda, fosse assolutamente necessario poter disporre di una squadra multidisciplinare con elevate competenze anche in settori diversi da quelli squisitamente tecnologici.

Per gestire correttamente un evento di sicurezza rilevante per un’organizzazione (prendiamo ad esempio il recente attacco subito dalla regione Lazio) è infatti fondamentale poter disporre dei migliori tecnici informatici, ma anche di una regia attenta e competente che dia indicazioni strategiche e operative corrette e che supporti chi lavora sul campo.

Questa visione che vede la Cybersecurity come un elemento strategico, manageriale e organizzativo e non solo come una questione tecnica, è stata sperimentata dagli studenti e dalle studentesse del corso di Informatica e nuovi modelli di business, tenuto dal professor Ponte all’interno della laurea magistrale in Management, grazie a un gioco di ruolo dove l’ipotetico management di un’organizzazione si trova ad affrontare un evento che può avere gravi conseguenze per la sua sopravvivenza e l’operatività aziendale.

Il gioco è stato sviluppato da un gruppo di professionisti membri del chapter israeliano di ISACA, un’associazione internazionale con quasi 200.000 associati in tutto il mondo e che da oltre 50 anni elabora metodologie e strategie per la governance dei sistemi IT, la gestione delle problematiche di cybersecurity e il monitoraggio dei rischi aziendali. Il dottor Pierluigi Sartori, responsabile security di Trentino Digitale e membro fondatore di uno dei 3 chapter italiani, ha avuto la sua prima esperienza con questo “gioco” nel 2017 e ha chiesto (e ottenuto) ai colleghi israeliani di poterlo utilizzare anche in Italia.

Lo scenario del gioco prevede il cattivo funzionamento di una app rilasciata da un’azienda di investimenti che permette a dei pirati informatici di rubare denaro e dati personali dei clienti. Ad agire per risolvere il problema non sono stati i dirigenti dell’ipotetica azienda finanziaria, bensì 21 studentesse e studenti.

Particolarmente apprezzata la presenza di 7 studentesse in linea con la filosofia di ISACA che, da alcuni anni, ha attivato il programma SheLeadsTech che mira ad aumentare la rappresentanza delle donne nel settore dell’IT in generale e nella Cybersecurity in particolare.

Il piano di azione simulato in aula ha visto in avvio la divisione delle studentesse e degli studenti in quattro gruppi, uno per ciascuna delle aree strategiche dell’azienda: Consiglio di amministrazione; Responsabile dei sistemi informativi; Responsabile della sicurezza informatica, e un quarto team composto da diverse funzioni aziendali (rischi, marketing e audit).

Ogni gruppo doveva superare le tre fasi della crisi: scoperta della criticità della app, il recupero di informazioni e la messa in campo delle azioni correttive e, infine, la comunicazione con gli stakeholders. In base al ruolo e alla fase in corso, gli studenti dovevano effettuare delle scelte tra un ventaglio di 30 opzioni, solo alcune delle quali giuste.

A ciascun gruppo è stato riconosciuto il bonus iniziale di 5 punti, che incrementava di un punto per ogni azione corretta o diminuiva di un altro punto in base agli errori commessi. 

Oltre ad approfondire il tema della Cybersecurity, obiettivo del gioco è stato anche quello di sensibilizzare i partecipanti sul concetto di “squadra” in un’organizzazione, piuttosto che di singolo ruolo decisionale. I diversi gruppi, infatti, non sono in sfida tra di loro ma, al contrario, si supportano vicendevolmente (se un gruppo finisce i suoi crediti, gli altri devono cederne uno a testa per aiutarlo) perché l’obiettivo finale non è la vittoria di un singolo gruppo ma far uscire “l’azienda” da una fase di crisi. In parole povere o si vince tutti o si perde tutti.

Purtroppo, alla terza fase, 2 dei gruppi hanno esaurito i loro crediti e i restanti non ne avevano a sufficienza per soccorrerli. In parole povere l’azienda non è riuscita a superare la crisi. Ma per fortuna era solo una simulazione e, si spera, gli insegnamenti appresi saranno utili se una situazione analoga dovesse, in futuro, capitare a una o uno di loro.

Il Cybersecurity game si è svolto il 25 novembre 2021 presso il Palazzo di Economia a Trento. L’iniziativa è stata organizzata da Dipartimento di Economia e Management (DEM) dell’Università di Trento insieme con Trentino Digitale SpA. Referente scientifico Diego Ponte in collaborazione con Pierluigi Sartori.