Che la formazione sia un elemento centrale nel sistema di prevenzione tracciato dalla normativa in materia di protezione dei dati personali è cosa nota, così come dovrebbe essere chiaro che, per essere realmente efficaci, le campagne di awareness e sensibilizzazione del personale su sicurezza e protezione dati dovrebbero avere come obiettivo quello di cambiare in modo duraturo ed effettivo i comportamenti delle persone che trattano questi stessi dati personali.
Eppure, se proviamo a valutare quale sia l’efficacia concreta delle campagne di training e comunicazione messe in atto dalle aziende – titolari e responsabili del trattamento – in questo settore, il risultato lascia ancora profondamente insoddisfatti: basti pensare al tristemente noto primato rivestito dall’errore umano nelle classifiche dei fattori scatenanti di incidenti di sicurezza e data breach.
Troppo spesso, infatti, le iniziative in questo settore sono relegate al concetto di “formazione obbligatoria”, da fare “perché si deve fare”, con risorse o strumenti del tutto inadeguati rispetto agli obiettivi. La formazione viene erogata talora esclusivamente in modalità e-learning, con contenuti eccessivamente teorici e inadeguati rispetto al target a cui è destinata.
In tal senso, non dobbiamo dimenticarci che è lo spirito stesso del Regolamento europeo sulla protezione dei dati (GDPR) ad imporre un ripensamento delle modalità di comunicazione tradizionalmente utilizzate dai professionisti dell’area legale e ciò non solo nel linguaggio da utilizzare nelle informative, ma in tutte le forme di comunicazione che devono rispondere ad obiettivi di semplicità, chiarezza e immediatezza, tenendo sempre conto delle caratteristiche personali dell’interlocutore.
In questo contesto, se un corso di approfondimento di taglio giuridico e dottrinale può sicuramente essere adeguato agli addetti ai lavori (es. DPO, privacy manager o addetti all’ufficio privacy), ben difficilmente si potranno utilizzare la stessa metodologia e gli stessi contenuti quando si affronta il tema della protezione dei dati verso la platea dei “profani” che lavorano nei vari dipartimenti aziendali e hanno, spesso, priorità, tempi di apprendimento e linguaggi profondamente diversi da quelli dell’esperto legale.
Sbagliare, quando si parla di formazione, ha un prezzo doppiamente elevato: non solo perché si finiscono per buttare via le risorse investite in un progetto inadeguato, ma anche e soprattutto per i costi indiretti associati all’inefficacia delle strategie di training.
Laddove non si raggiunga l’obiettivo, invero ambizioso, di cambiare i comportamenti delle persone, ci si troverà sempre di fronte al rischio di una condotta inappropriata da cui potrebbe derivare una violazione della sicurezza o dei diritti di un interessato, con evidente rischio di sanzioni da parte dell’Autorità di Controllo.
Se la sfida è dunque quella di creare una cultura diffusa della sicurezza, vediamo quali possono essere nella pratica alcuni fattori chiave per creare e portare avanti strategie formative di successo e campagne di awareness e sensibilizzazione su sicurezza e protezione dati realmente efficaci.
Indice degli argomenti
Tone at the top: si parte sempre dal vertice
Il primo elemento chiave, come per tutte le strategie di compliance, è sicuramente rappresentato da un effettivo e concreto coinvolgimento del vertice aziendale.
Se la protezione dei dati non viene percepita con obiettivo reale ma solo come un fastidioso vincolo regolatorio da chi prende le decisioni, allora le possibilità che le linee operative siano realmente coinvolte negli obiettivi di tutela calano drasticamente fino ad avvicinarsi allo zero.
Per questo, il primo pensiero di chi si occupa di protezione dati in un’azienda o in un ente pubblico deve essere quello di far capire realmente a chi assume le decisioni l’importanza strategica della sicurezza e della prevenzione.
Le leve non mancano: si possono portare numeri, casi concreti di aziende che hanno persino chiuso i battenti a causa di una gestione inappropriata delle sicurezza (e qui purtroppo gli esempi non mancano), divulgare le decisioni e sanzioni comminate dalle Autorità di Controllo, ma soprattutto è necessario far comprendere che se nell’economia digitale i dati sono un asset fondamentale dell’impresa, solamente proteggendoli ed assicurandone una corretta gestione sarà possibile cavalcare la trasformazione digitale e creare valore per i propri stakeholders.
Perciò, via il tabù: protezione dei dati e strategie di business possono e devono andare di pari passo in un’ottica win win di tutela dei diritti e sviluppo durevole e sostenibile.
Chiarire gli obiettivi e comunicarli anche all’esterno
Perché si fa formazione? Una volta chiarito che l’obiettivo non è (o non è solo) quello di adempiere a un precetto normativo, ma quello di creare consapevolezza e ridurre in modo effettivo i rischi a cui è esposto il patrimonio informativo aziendale, la prospettiva cambia considerevolmente.
Avere una chiara politica di prevenzione dei rischi di sicurezza può essere un fattore determinante anche nella gestione dei rapporti con i nostri clienti, i consumatori, investitori e partner commerciali.
A questo scopo può essere utile formalizzare una “politica della protezione dei dati” da comunicare e rendere pubblica anche all’esterno dell’azienda. In questo modo, l’effort riposto nelle strategie di formazione potrà contribuire diventare un fattore competitivo e promozionale per l’impresa, anziché uno sterile onere burocratico.
Poca teoria, tanta pratica
Per verificare l’adeguatezza delle strategie comunicative messe in atto, è necessario prima di tutto a misurare la loro efficacia.
La misurazione può essere effettuata con modalità tradizionali (es. test di verifica o interviste a campione sui fruitori dei corsi per verificare i contenuti assimilati), ma sarà tanto più efficace se si sapranno individuare modalità pratiche, accattivanti e coinvolgenti anche per i fruitori dei corsi.
Ad esempio: una cosa è fornire istruzioni e policy per la corretta generazione e custodia delle password, un’altra è “toccare con mano” l’efficacia della propria credenziale utilizzando un tool per testarla e vedere in quanto tempo un malintenzionato hacker riuscirebbe a decodificarla (si veda, ad esempio, il sito Wow Secure Is My Password?).
Ancora: spiegare cos’è il phishing e come prevenirlo ha sicuramente meno impatto che effettuare un tentativo simulato di “pesca” mostrando immediatamente a chi “abbocca” l’errore commesso (e le conseguenze che ne sarebbero potute derivare).
Analogamente, una campagna diretta a simulare un attacco di tipo baiting (i.e. USB e pendrive compromesse volutamente distribuite all’interno del perimetro aziendale) o vishing (i.e. un attacco di ingegneria sociale finalizzato a carpire informazioni riservate) può essere estremamente efficace nel rivelare le vulnerabilità di una organizzazione e quindi preparare un terreno fertile alla diffusione di comportamenti proattivi e difensivi.
Anche nella costruzione dei contenuti dei corsi si dovrà avere cura di assicurare un taglio pratico e adeguato rispetto alla platea: alla formazione e-learning sarà indispensabile affiancare dei corsi in aula o dei webinar dal contenuto operativo e confezionato su misura per gli operatori delle aree a maggior rischio, che parli il loro linguaggio e tratti tematiche di effettivo interesse, sempre citando casi reali, magari riscontrabili in aziende del medesimo settore, o ripercorrendo le procedure operative che gli addetti alle operazioni di trattamento devono seguire nella loro realtà quotidiana, avendo cura di calare gli istituti normativi e le best practice di sicurezza in un contesto pratico ed efficacemente fruibile.
La stessa durata dei corsi dovrà essere parametrata all’effettiva capacità di comprensione e concentrazione degli interlocutori: ad esempio, si potranno prevedere delle “pillole” formative su temi specifici della durata non superiore a 10-15 minuti per essere sicuri di catturare in modo efficace l’attenzione dei lettori, aumentandone piuttosto la frequenza per evitare che gli operatori “abbassino la guardia”.
Per le nozioni di carattere prettamente giuridico, si dovrà ugualmente privilegiare un linguaggio semplice che non sia semplicemente ripetitivo del dettato normativa ma che “traduca” con esempi concreti e calati nell’esperienza aziendale i concetti giuridicamente rilevanti.
Un’idea pratica potrebbe essere quella di adottare un “glossario” delle principali nozioni previste dalla normativa sulla protezione dei dati, con esempi pratici che aiutino a definire i concetti fondamentali.
Un’altra buona pratica potrebbe essere quella di creare, con l’ausilio di icone, infografiche o Q&A dei “compendi” che riassumano e rendano più fruibili le policy ed i regolamenti aziendali sulla protezione dei dati, spesso piuttosto corposi e di comprensione non immediata per un lettore che non avvezzo alla materia.
Non solo formazione: le campagne di awareness
Per una efficace strategia preventiva, la formazione vera e propria dovrà sempre essere accompagnata da adeguate campagne di informazione e da iniziative dirette ad accrescere la consapevolezza degli addetti al trattamento sulle tematiche di sicurezza e protezione dei dati (campagne di awareness).
Dovrà, ad esempio, essere creata nella intranet o nella bacheca aziendale una sezione dedicata alla policy e procedure rilevanti in materia di sicurezza e protezione dei dati, in modo che tutti i dipendenti sappiano sempre dove trovare la documentazione rilevante.
Potrà essere creata una newsletter interna con notizie o temi di attualità che tengano alta l’attenzione (es. notizie su attacchi informatici rilevanti o sulla diffusione di nuovi e sempre più insidiosi malware).
Estremamente utile può rivelarsi la tecnica del mock dawn raid, che prevede un audit a sorpresa, e dunque senza preavviso per le strutture interessate, condotto con modalità e obiettivi di controllo simili a quelli tipicamente utilizzati in sede di accertamento da parte dell’Autorità di Controllo, verificando in tal modo anche la “prontezza” dell’organizzazione nel reperire e produrre la documentazione idonea a dimostrare l’accountability del titolare del trattamento.
Una attività analoga di verifica “sul campo” può essere realizzata attraverso la simulazione di un incidente di sicurezza, finalizzata a testare la capacità (e soprattutto i tempi) di reazione e coordinamento delle strutture aziendali interessati.
Anche in questo caso, l’effetto “sorpresa” ha la capacità di solleticare e mettere sotto stress in modo realistico la forza reattiva dell’organizzazione, rivelando i punti deboli e consentendo di mettere in atto strategie contenitive che potrebbero rivelarsi preziose in caso di attacco “reale”.
Questo tipo di esperienze sono estremamente efficaci in quanto consentono effettivamente all’organizzazione di mettere alla prova la robustezza del proprio sistema di controllo e, nello stesso tempo, contribuiscono significativamente ad innalzare il livello di percezione del rischio da parte del personale coinvolto grazie all’immedesimazione nella situazione di urgenza che viene simulata.
La sfida culturale per gli esperti di protezione dei dati sarà quella di misurarsi con le nuove skills che la complessità dell’era digitale impone, a cominciare dalla capacità di coordinare le risorse e di trovare in modo creativo le giuste leve motivazionali che consentano di trasformare la conoscenza in un cambiamento comportamentale.
