Nei miei incontri che riguardano il tema della Cyber Security Awareness, capita a volte di sentirmi ripetere la seguente frase: “su questo tema siamo conformi alle normative“, una frase che viene tipicamente declinata con l’organizzazione di un corso in aula per tutti i dipendenti della durata di 4 ore, da ripetersi ogni anno. Il riferimento alle normative riguarda sia il GDPR, la Direttiva NIS, il framework NIST.
Approcciare il tema della Cyber Security Awareness in questo modo, appiattendolo rispetto a una lettura “burocratica” delle normative significa essenzialmente:
- Non avere recepito il livello di rischio che incombe su tutte le organizzazioni. Attraverso il fattore umano, il vero anello debole di tutta la catena Cyber, possono infatti essere portati attacchi con effetti devastanti. Inutile investire ingenti cifre in tecnologie di Cyber Security se poi non si fa un investimento consistente sugli utenti, adeguando i loro comportamenti alle minacce attuali e future.
- Non avere recepito il principio di accountability che è ormai dominante nelle normative. Non basta più fare il “compitino” per essere conformi a una normativa, ma è necessario dimostrare di aver fatto il possibile per evitare un attacco Cyber. E un corso di 4 ore in aula non potrà mai corrispondere a questo principio.
Ormai è chiaro a tutti che i corsi d’aula non sono efficaci rispetto alla necessità di trasformare i dipendenti di un’organizzazione nella prima linea di difesa della stessa organizzazione, la prima barriera contro il Cyber Crime. Per ottenere un serio miglioramento della postura digitale, per incidere sui comportamenti delle persone, per prepararli al livello della sfida attuale, non è sufficiente fare un intervento formativo di 4 ore oppure di 8.
Per raggiungere questo obiettivo è necessario coinvolgere i dipendenti in un percorso di formazione “continua” con caratteristiche innovative, che rappresenti per loro un addestramento in grado di sviluppare un adeguato livello di consapevolezza e di allenare caratteristiche come prontezza e reattività.
La Cyber Security Awareness non è un tema che può essere ricondotto a una mera applicazione burocratica di normative che sono state costruite con un’importante finalità, quella di elevare il livello di sicurezza e di protezione dei dati delle organizzazioni pubbliche e private, e che quindi richiedono un’applicazione in linea con la loro finalità.
Per comprendere meglio la complessità del tema è la necessità di un intervento formativo efficace, scarica il nostro WhitePaper “Investire sul fattore umano, per garantire la Cyber Security”.