Securopoly: un gioco per l'insegnamento della Cybersecurity .panorama della cybersecurity moderna.

download Securopoly: un gioco per l'insegnamento della Cybersecurity .panorama della cybersecurity moderna.

of 70

  • date post

    18-Feb-2019
  • Category

    Documents

  • view

    213
  • download

    0

Embed Size (px)

Transcript of Securopoly: un gioco per l'insegnamento della Cybersecurity .panorama della cybersecurity moderna.

Alma Mater Studiorum Universit diBologna

SCUOLA DI SCIENZE

Corso di Laurea Triennale in Informatica

Securopoly: un gioco

per l'insegnamento

della Cybersecurity

Relatore:Chiar.mo Prof.Paolo Ciancarini

Presentata da:Mirko Camporesi

Sessione UnicaAnno Accademico 2015/2016

INDICE

1. Introduzione . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3

2. Apprendere concetti di sicurezza informatica utilizzando la gamica-

tion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52.1 La diusione della cybersecurity . . . . . . . . . . . . . . . . . 52.2 Cos' la gamication e come possibile applicarla in contesti

educativi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72.3 Esempi di giochi per l'insegnamento della sicurezza informatica 82.4 Caratteristiche mancanti nei giochi precedenti . . . . . . . . . 10

3. Il Framework Nazionale per la cybersecurity . . . . . . . . . . . . . 123.1 Framework Core . . . . . . . . . . . . . . . . . . . . . . . . . . 123.2 I livelli di Priorit e di Maturit . . . . . . . . . . . . . . . . . 153.3 Le contestualizzazioni del Framework . . . . . . . . . . . . . . 16

4. Securopoly: un gioco simil-Monopoly basato sul Framework Nazionale 174.1 Scopo del gioco . . . . . . . . . . . . . . . . . . . . . . . . . . 174.2 Componenti . . . . . . . . . . . . . . . . . . . . . . . . . . . . 184.3 Preparazione . . . . . . . . . . . . . . . . . . . . . . . . . . . 214.4 Svolgimento . . . . . . . . . . . . . . . . . . . . . . . . . . . . 224.5 Conclusione . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28

5. Simulazione di una Partita . . . . . . . . . . . . . . . . . . . . . . . 29

6. Conclusioni Finali . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51

7. Appendici . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 537.1 Appendice A: Carte "Prolo Attuale" e "Prolo Target" . . . 537.2 Appendice B: Carte "Imprevisto" . . . . . . . . . . . . . . . . 587.3 Appendice C: Carte "Probabilit" . . . . . . . . . . . . . . . . 617.4 Appendice D: Carte "Mercato" . . . . . . . . . . . . . . . . . 647.5 Appendice E: Elenco dei livelli di maturit per ogni Category 66

1. INTRODUZIONE

Nel corso di questa tesi verranno presentati vari argomenti legati al mondodella sicurezza informatica e del suo insegnamento. Lo scopo di questolavoro presentare la tecnica della gamication e la sua applicazione nelpanorama della cybersecurity moderna. Inoltre, verr proposto un gioco disociet chiamato Securopoly che implementa le nozioni descritte e che basato fortemente sul Framework Nazionale per la cybersecurity, undocumento che pone gli standard che ogni organizzazione e ogni aziendadovrebbero soddisfare per essere all'avanguardia nel tentativo di difendersida attacchi informatici.In particolare, nel primo capitolo viene eettuata una disamina sullasituazione odierna della cybersecurity per quanto riguarda la sua diusionee il suo insegnamento. Inoltre, viene denita la gamication comestrumento utilizzato per scopi educativi e vengono elencate lecaratteristiche fondamentali per una sua corretta applicazione. In seguito,vengono mostrati al lettore alcuni esempi di videogiochi e piattaformeesistenti per l'apprendimento della sicurezza informatica. Alla ne delprimo capitolo vengono anche spiegate le ragioni che mi hanno spinto arealizzare Securopoly come strumento per la formazione alla cybersecurity,evidenziando le dierenze principali con gli esempi descritti nel paragrafoprecedente.Nel secondo capitolo viene introdotto il Framework Nazionale per lacybersecurity di cui saranno presi in considerazione e presentati tutti quegliaspetti che sono stati fonti d'ispirazione per la realizzazione del gioco disociet descritto nel capitolo successivo. In particolare, saranno presentatele principali caratteristiche del Framework Core, ovvero la strutturaportante del Framework stesso. Saranno inoltre introdotti temi come ilivelli di maturit e le contestualizzazioni del Framework, le cuicaratteristiche sono state riprese nello sviluppo del gioco.Inne nell'ultimo capitolo viene presentato Securopoly, un giocosimil-Monopoly che si propone di essere un valido strumentonell'insegnamento di concetti base di sicurezza informatica sia per ragazziche vogliono ampliare le loro conoscenze in questo campo, sia soprattuttoper persone adulte impiegate in organizzazioni all'interno delle quali la

1. Introduzione 4

sicurezza informatica gioca un importante ruolo e non un fattore dasottovalutare. All'interno di questo capitolo viene quindi descritto lo scopodel gioco e il suo svolgimento, spiegando al lettore tutte le regole previste ele possibili azioni che i giocatori possono compiere durante il loro turno.Verr poi descritta la preparazione di una partita e fornito un elenco contutti i materiali necessari. Alla ne del capitolo, sono presenti le condizionidi vittoria e le modalit con cui termina una partita. presente inoltre un capitolo dove viene simulata la parte iniziale di unapartita tipo, la quale introduce il lettore ai vari eventi che il gioco ore emostra le principali azioni che i giocatori possono intraprendere durante ilcorso di una partita.Per concludere questo documento, sono presenti quattro appendici in cuivengono elencate tutte le carte che il gioco utilizza, mentre una quintaappendice mostra alcuni elementi del Framework Core che sono stati ripresiin Securopoly.

2. APPRENDERE CONCETTI DI SICUREZZA

INFORMATICA UTILIZZANDO LA GAMIFICATION

2.1 La diusione della cybersecurity

Data la sosticazione e il numero crescente delle minacce informatiche, si fasempre pi attuale la necessit di dare un ruolo attivo anche alle personenon esperte nel campo della sicurezza informatica.Se poi aggiungiamo che Internet ormai parte integrante delle nostre vitequotidiane, evidente che un cittadino non pu rimanere all'oscuro di tuttii meccanismi di protezione che servono per utilizzare in maniera adeguata isistemi e i dispositivi che possiede o con cui ha a che fare. Per questomotivo c' il bisogno di insegnare sia ai ragazzi giovani che alle personeadulte gli aspetti pi importanti del cyberspazio e dei suoi pericoli maggiori.Se non si crede che ci sia necessario, basta pensare che le pi frequentivulnerabilit sono dovute a disattenzioni del singolo utente: ad esempio, il75% delle persone utilizza la stessa password per account diversi, sia a casache al lavoro; il 7% utilizza una password tra le 100 parole pi comuni, il91% tra le 1000 pi comuni e il 99,8% tra le 10000 pi comuni [9].Per tutti questi motivi, al giorno d'oggi, l'utente l'anello debole all'internodella cybersecurity, dato che in generale viene preferito minimizzare ilproprio impegno rendendo le proprie decisioni prevedibili e agendo coningenuit, senza meditare sul potenziale impatto delle proprie azioni. Icittadini del ventunesimo secolo devono invece incominciare a pensare aloro stessi come "cittadini digitali".Se ci vero per una persona generica, lo ancora di pi per tutti ilavoratori di un'azienda o di un ucio. I dipendenti sia di piccole chegrandi organizzazioni devono essere messi al corrente su una vasta gammadi problemi di sicurezza informatica. Purtroppo per molti utentisolitamente non si interessano delle possibili vulnerabilit presenti susistemi che utilizzano giornalmente, pensando che dopotutto potrebberofare molto poco per mitigare questo genere di problemi. Per raggiungere unadeguato livello di consapevolezza della cybersecurity, le organizzazionidevono combattere questa apatia dei loro lavoratori con programmi eettivi

2. Apprendere concetti di sicurezza informatica utilizzando la gamication 6

di addestramento.In generale la consapevolezza sulla sicurezza informatica generata grazie auna o a una combinazione delle tecniche descritte in seguito:

Sessioni teoriche tradizionali: possono essere lezioni frontalitenute da un istruttore, seminari di approfondimento oppurevideo-conferenze;

Corsi on-line: rappresentano un approccio centralizzato e omogeneoper tutti. Il loro svantaggio per quello di diventare una sequenzanoiosa di pagine o di slide che non sono adatte a tenere altal'attenzione dell'utente e in pi non permettono interazioni. Perquesti motivi, spesso l'utente cerca di completare il ciclo di lezioni inmeno tempo e sforzo possibile;

Messaggi di sensibilizzazione: vengono utilizzati nell'ambiente dilavoro per aumentare il livello di consapevolezza riguardo a specicitemi della cybersecurity;

Utilizzo di software interattivo: nella maggior parte dei casi sonovideogiochi e si dividono in due categorie:

giochi con interazioni in prima persona;

simulazioni di gestione delle risorse.

La maggior parte dei giochi fanno riferimento alla prima categoria, incui il giocatore aronta una serie di problemi che richiedono diprendere le decisioni corrette per essere superati. Al contrario, i giochigestionali della seconda categoria chiedono all'utente di amministrareun ambiente virtuale con a disposizione risorse limitate. Se il giocatoreagisce in modo giusto migliorando l'ambiente con gli strumenti adisposizione, il gioco lo premia donandogli risorse addizionali.

Mentre un apprendimento tradizionale basato sui primi tre punti, solotramite l'ultima opzione che gli utenti possono davvero mettere le loroabilit alla prova e prepararsi per gli eventi nel mondo reale, senza rischiaredi subire danni alle attivit e alle risorse coinvolte.Ad ogni modo, mantenere l'attenzione di una platea sucientemente alungo per impartire dei concetti che durino nel tempo una sdaconsiderevole, in particolare quando la formazione obbligatoria e chi staascoltando vede l'argomento distante dalle sue competenze. Per tutti questimotivi giochi e videogiochi sono proposti c