Il problema è tra la tastiera e la sedia: questa frase, rappresentata dall’acronimo P.E.B.K.A.C. (Problem Exists Between Keyboard And Chair)[1] sintetizza perfettamente una delle maggiori sfide della cyber security: gli utenti, spesso inconsapevoli, sono il primo punto di vulnerabilità.
Per questo motivo, la Direttiva NIS 2 e il decreto di recepimento (D.lgs. 138/2024) richiedono alle organizzazioni di erogare formazione periodica in materia di cyber security, rivolgendosi sia agli operatori che agli organi direttivi.
Ma è sufficiente limitarsi a rispettare i requisiti minimi? In questo articolo mostreremo come ampliare l’approccio formativo, trasformandolo in un’opportunità strategica per rafforzare la sicurezza aziendale.
Indice degli argomenti
Formazione in cyber security: un requisito normativo e oltre
La Direttiva NIS 2 e il D.lgs. 138/2024, rispettivamente agli articoli 21 e 23, richiedono che la formazione in materia di cyber security sia erogata a intervalli regolari, coinvolgendo collaboratori, primi riporti e organi direttivi.
Questa formazione è un obbligo legale ma rappresenta anche una misura organizzativa fondamentale per mitigare i rischi informatici.
Tuttavia, è opportuno estendere il perimetro dei destinatari includendo tutti i livelli aziendali e proponendo contenuti personalizzati per ciascun gruppo di utenti.
Destinatari e percorsi formativi diversificati
È dunque utile strutturare percorsi formativi diversificati per dirigenti, team ICT e collaboratori, analizzando i vantaggi di modelli asincroni, sincroni e ibridi.
Formazione per gli organi direttivi
La formazione destinata ai vertici aziendali si concentra sulle responsabilità strategiche e in particolare su:
- approvazione del piano di adeguamento al Decreto NIS 2;
- allocazione del budget;
- monitoraggio delle misure implementate.
Non si tratta solo di acquisire competenze tecniche, ma di comprendere le implicazioni delle decisioni prese e il loro impatto sulla resilienza aziendale.
Formazione per i primi riporti alla direzione
La formazione rivolta ai dirigenti si caratterizza per l’ampiezza e la complessità dei contenuti trattati.
Da un lato, è indispensabile che essi ricevano la stessa formazione prevista per tutti i collaboratori in materia di cyber security, come descritto di seguito. Dall’altro, è fondamentale che sviluppino una piena consapevolezza delle loro responsabilità specifiche in questo ambito.
Ciò include:
- la conoscenza delle misure da adottare;
- il coinvolgimento nella gestione di nuovi processi;
- l’individuazione di fornitori emergenti o la decisione di estendere incarichi a fornitori già qualificati, anche qualora questi ultimi non siano stati preventivamente valutati per le attività in questione.
In altri termini, la loro formazione deve includere una piena comprensione delle responsabilità legate al principio di security by design.
È fondamentale che questi soggetti conoscano il peso delle loro decisioni in termini di impatto sulla sicurezza informatica e siano in grado di supportare efficacemente i propri collaboratori.
Inoltre, devono comprendere non solo le conseguenze immediate delle loro scelte sulle attività in corso, ma anche come tali attività evolveranno grazie all’introduzione di nuove misure previste dal piano approvato dall’organo direttivo, un piano che li coinvolge direttamente nella sua applicazione.
Formazione per il Team ICT
Il personale ICT deve essere oggetto di una formazione specifica, mirata ad approfondire le tematiche più recenti e rilevanti per rafforzare il perimetro della cyber security.
Inoltre, è fondamentale fornire tecniche che consentano ai membri del team di acquisire le competenze necessarie per supportare efficacemente i collaboratori aziendali, rispondendo a domande e risolvendo problematiche sollevate da questi ultimi, che spesso dispongono di competenze limitate in materia.
Tale formazione dovrebbe, quindi, anche migliorare la capacità di comunicazione del team ICT all’interno dell’organizzazione e potenziare l’interlocuzione con i fornitori. Questo è particolarmente importante in contesti aziendali in cui l’area ICT è composta da un numero ridotto di persone e opera in settori non specificamente informatici.
Al contrario, nelle organizzazioni che operano nel settore ICT, la formazione deve essere orientata a un costante aumento delle competenze, includendo la rivalutazione continua delle soluzioni adottate per garantire un presidio aggiornato ed efficace.
Formazione per tutti i collaboratori
La formazione per l’intero personale aziendale deve essere pianificata ed erogata a tutti i collaboratori, con un approccio capillare e continuativo.
Questa formazione, da rinnovare periodicamente, può essere resa più coinvolgente attraverso iniziative come la Giornata della cyber security. I contenuti devono includere concetti di base, come il riconoscimento delle minacce di phishing, e misure pratiche per la protezione delle informazioni.
Soluzioni formative disponibili
Sul mercato esistono diverse opzioni, che includono:
- formazione asincrona (corsi preregistrati, materiali scaricabili, esercitazioni offline);
- formazione sincrona (webinar o lezioni in diretta, in presenza o a distanza).
Inoltre, si possono distinguere percorsi formativi:
- indipendenti dal contesto aziendale, con contenuti generici;
- fortemente connessi e integrati al contesto organizzativo, con richiami a procedure e misure specifiche.
Di norma, la formazione personalizzata è erogata in modalità sincrona, con il docente che prepara materiali mirati al contesto aziendale.
Esistono anche soluzioni ibride che combinano materiali asincroni personalizzati con la possibilità di interagire con tutor aziendali per chiarimenti specifici.
Pro e contro dei diversi approcci
Formazione asincrona:
- Pro: costi più contenuti e minori complessità organizzative.
- Contro: minore personalizzazione e interattività.
Formazione sincrona:
- Pro: maggiore efficacia grazie all’interazione diretta con il docente, che può adattare i contenuti al contesto aziendale.
- Contro: maggiore impegno organizzativo e costi più elevati.
La scelta del modello formativo dipende dalle caratteristiche dell’organizzazione e dal budget disponibile.
Per le realtà più esposte ai rischi informatici, è consigliabile adottare soluzioni personalizzate e mirate.
Invece, per aziende con personale poco qualificato sulla cyber security, un modello di base può essere sufficiente per innalzare uniformemente il livello di competenza, creando le basi per una formazione più avanzata in futuro.
Elementi fondamentali per una formazione efficace
Indipendentemente dal modello scelto, è necessario prevedere:
- un registro delle presenze;
- un limite massimo di ore di assenza (anche per i corsi in e-learning);
- un test di valutazione con criteri chiari;
- piani d’azione per chi non supera il test, come ripetizioni di parte o dell’intero corso, incontri con tutor aziendali per approfondimenti e analisi degli errori commessi.
Conclusioni
La formazione sulla cyber security è un tema ampiamente discusso, ma spesso si presta poca attenzione alle modalità di erogazione e alle diverse opzioni disponibili.
Con questo articolo abbiamo voluto fornire indicazioni operative per ampliare il bacino dei destinatari e adattare le attività formative alle esigenze specifiche delle organizzazioni.
“La formazione va ripetuta a intervalli regolari” è un principio cardine: solo attraverso un approccio continuativo e mirato è possibile costruire una cultura aziendale solida e resiliente.
[1] L’acronimo poi ha avuto molto successo per la sua semplicità ed efficacia tanto che ne sono stati coniati altri di stretta derivazione. Tra i più famosi P.I.C.N.I.C. “Problem in chair not in computer” – “Il problema è nella sedia non nel computer”.
