Il problema è tra la tastiera e la sedia: questa frase, rappresentata dall’acronimo P.E.B.K.A.C. (Problem Exists Between Keyboard And Chair)[1] sintetizza perfettamente una delle maggiori sfide della cyber security: gli utenti, spesso inconsapevoli, sono il primo punto di vulnerabilità.
Per questo motivo, la Direttiva NIS 2 e il decreto di recepimento (D.lgs. 138/2024) richiedono alle organizzazioni di erogare formazione periodica in materia di cyber security, rivolgendosi sia agli operatori che agli organi direttivi.
Ma è sufficiente limitarsi a rispettare i requisiti minimi? In questo articolo mostreremo come ampliare l’approccio formativo, trasformandolo in un’opportunità strategica per rafforzare la sicurezza aziendale.
La Direttiva NIS 2 e il D.lgs. 138/2024, rispettivamente agli articoli 21 e 23, richiedono che la formazione in materia di cyber security sia erogata a intervalli regolari, coinvolgendo collaboratori, primi riporti e organi direttivi.
Questa formazione è un obbligo legale ma rappresenta anche una misura organizzativa fondamentale per mitigare i rischi informatici.
Tuttavia, è opportuno estendere il perimetro dei destinatari includendo tutti i livelli aziendali e proponendo contenuti personalizzati per ciascun gruppo di utenti.
È dunque utile strutturare percorsi formativi diversificati per dirigenti, team ICT e collaboratori, analizzando i vantaggi di modelli asincroni, sincroni e ibridi.
La formazione destinata ai vertici aziendali si concentra sulle responsabilità strategiche e in particolare su:
Non si tratta solo di acquisire competenze tecniche, ma di comprendere le implicazioni delle decisioni prese e il loro impatto sulla resilienza aziendale.
La formazione rivolta ai dirigenti si caratterizza per l’ampiezza e la complessità dei contenuti trattati.
Da un lato, è indispensabile che essi ricevano la stessa formazione prevista per tutti i collaboratori in materia di cyber security, come descritto di seguito. Dall’altro, è fondamentale che sviluppino una piena consapevolezza delle loro responsabilità specifiche in questo ambito.
Ciò include:
In altri termini, la loro formazione deve includere una piena comprensione delle responsabilità legate al principio di security by design.
È fondamentale che questi soggetti conoscano il peso delle loro decisioni in termini di impatto sulla sicurezza informatica e siano in grado di supportare efficacemente i propri collaboratori.
Inoltre, devono comprendere non solo le conseguenze immediate delle loro scelte sulle attività in corso, ma anche come tali attività evolveranno grazie all’introduzione di nuove misure previste dal piano approvato dall’organo direttivo, un piano che li coinvolge direttamente nella sua applicazione.
Il personale ICT deve essere oggetto di una formazione specifica, mirata ad approfondire le tematiche più recenti e rilevanti per rafforzare il perimetro della cyber security.
Inoltre, è fondamentale fornire tecniche che consentano ai membri del team di acquisire le competenze necessarie per supportare efficacemente i collaboratori aziendali, rispondendo a domande e risolvendo problematiche sollevate da questi ultimi, che spesso dispongono di competenze limitate in materia.
Tale formazione dovrebbe, quindi, anche migliorare la capacità di comunicazione del team ICT all’interno dell’organizzazione e potenziare l’interlocuzione con i fornitori. Questo è particolarmente importante in contesti aziendali in cui l’area ICT è composta da un numero ridotto di persone e opera in settori non specificamente informatici.
Al contrario, nelle organizzazioni che operano nel settore ICT, la formazione deve essere orientata a un costante aumento delle competenze, includendo la rivalutazione continua delle soluzioni adottate per garantire un presidio aggiornato ed efficace.
La formazione per l’intero personale aziendale deve essere pianificata ed erogata a tutti i collaboratori, con un approccio capillare e continuativo.
Questa formazione, da rinnovare periodicamente, può essere resa più coinvolgente attraverso iniziative come la Giornata della cyber security. I contenuti devono includere concetti di base, come il riconoscimento delle minacce di phishing, e misure pratiche per la protezione delle informazioni.
Sul mercato esistono diverse opzioni, che includono:
Inoltre, si possono distinguere percorsi formativi:
Di norma, la formazione personalizzata è erogata in modalità sincrona, con il docente che prepara materiali mirati al contesto aziendale.
Esistono anche soluzioni ibride che combinano materiali asincroni personalizzati con la possibilità di interagire con tutor aziendali per chiarimenti specifici.
La scelta del modello formativo dipende dalle caratteristiche dell’organizzazione e dal budget disponibile.
Per le realtà più esposte ai rischi informatici, è consigliabile adottare soluzioni personalizzate e mirate.
Invece, per aziende con personale poco qualificato sulla cyber security, un modello di base può essere sufficiente per innalzare uniformemente il livello di competenza, creando le basi per una formazione più avanzata in futuro.
Indipendentemente dal modello scelto, è necessario prevedere:
La formazione sulla cyber security è un tema ampiamente discusso, ma spesso si presta poca attenzione alle modalità di erogazione e alle diverse opzioni disponibili.
Con questo articolo abbiamo voluto fornire indicazioni operative per ampliare il bacino dei destinatari e adattare le attività formative alle esigenze specifiche delle organizzazioni.
“La formazione va ripetuta a intervalli regolari” è un principio cardine: solo attraverso un approccio continuativo e mirato è possibile costruire una cultura aziendale solida e resiliente.
[1] L’acronimo poi ha avuto molto successo per la sua semplicità ed efficacia tanto che ne sono stati coniati altri di stretta derivazione. Tra i più famosi P.I.C.N.I.C. “Problem in chair not in computer” – “Il problema è nella sedia non nel computer”.