I report 2024 sullo stato della Sicurezza delle Informazioni

A fine anno i social sono sempre inondati da valanghe di bilanci personali e professionali sull’anno che sta per concludersi. Non vi si sottraggono neanche importanti enti, che, attraverso i loro report, ci forniscono una bussola sui temi della sicurezza delle informazioni, la cybersecurity e gli incidenti. Sono bilanci di grande importanza perché ci regalano (letteralmente!) i famosi “dati” senza i quali – come diceva Edward Deming, a cui noi tutti tanto dobbiamo – saremmo soltanto “un’altra persona con un’opinione”.

Dunque, oltre ringraziare chi si cimenta nell’aggregazione, analisi e valutazione di migliaia di dati – primi tra tutti Clusit, Enisa, vorremmo condividere con voi alcune brevi riflessioni.

La formazione: obbligo e necessità

In queste analisi è costante il richiamo alla necessità di pianificare ed erogare formazione nelle imprese; una formazione che sia diffusa e mirata. Diffusa a tutti i dipendenti delle Organizzazioni e mirata sui temi di competenza.

Fortunatamente non ne parlano solo i report, ma finalmente, in questi ultimi anni, con maggior ricorrenza, anche le leggi cogenti. Stiamo pensando, per rimanere in tema di cybersecurity alla Direttiva Nis2 e al suo decreto di recepimento, al GDPR.

Due aspetti ci sembrano rilevanti:

• Tutte queste leggi e regolamenti cogenti ne parlano in mezzo a tanto altro, non dando forse la giusta enfasi a come la formazione debba essere immaginata/erogata/fruita. A onor del vero, però, se ne comincia finalmente a richiedere l’obbligatorietà esplicitamente anche nei confronti delle figure apicali, con poteri decisionali e organizzativi, funzione che fino a qualche anno fa aveva spesso la brutta abitudine di auto esentarsi dalla formazione.
• L’altro elemento che vi si rileva in modo costante è l’ottica del rischio. E qui è interessante sottolineare almeno due aspetti che alla formazione si ricongiungono:
  • si riesce a identificare, analizzare e governare i rischi, se si ha una formazione adeguata per farlo (quindi la formazione dovrebbe essere il primo ed essenziale passo verso la compliance normativa) e
  • l’individuazione dei rischi riconduce in maniera quasi automatica alla necessità di fornire formazione allargata alla platea dei dipendenti (e a pretenderla dai fornitori) vista l’incidenza sempre più evidente del fattore umano come elemento di rischio di più arduo governo.

Eppure, il report di #Enisa, pubblicato a inizio dicembre, sottolinea che esiste una forte variazione tra gli Stati UE in relazione alla disponibilità di programmi di formazione sulla Cybersecurity.

Ciò lascia spazio a riflessioni di vario tipo, una tra tutte: in quei Paesi dove sono disponibili e fruiti programmi di formazione approfonditi, il livello di consapevolezza su rischi e buone prassi è più alto; di conseguenza l’intera società ne trae giovamento, sia a livello individuale, sia a livello d’impresa.

Una formazione disponibile a tutti, diffusa, approfondita, di qualità, può essere di fatto uno strumento di sicurezza. E può fare la differenza tra subire o subire meno (“non subire” è un’ipotesi inapplicabile, il rischio zero non esiste!) attacchi significativi per l’intero Paese.

Criteri di scelta

Ma tornando alla considerazione che ci ha spinti a scrivere questo articolo, ci preme stigmatizzare un aspetto che, secondo noi, viene tralasciato o, meglio, non sufficientemente enfatizzato, quando a livello normativo si sottolinea l’obbligo/necessità di formazione (periodica):

la formazione deve essere adeguata. Agli obiettivi, sì, al target, certo.

Ma, anche per i corsi di formazione, dovrebbe valere quello che il Dlgs 138/24 (recepimento della NIS2) dice delle contromisure sui rischi individuati, ossia (devono riguardare) “aspetti tecnici, organizzativi e operativi, (…) essere adeguate e proporzionate (ai rischi), (…) tenere conto delle conoscenze più aggiornate, dello stato dell'arte in materia e delle pertinenti norme nazionali, europee e internazionali”. E (ma solo alla fine di questo elenco) tenere conto dei costi di attuazione.

Traducendo: la formazione deve essere ad alto valore. E se ne deve poter giudicare l’efficacia (anche nel tempo).

Un buon modo per assicurarci che lo sia è rivolgersi a enti riconosciuti, che eroghino corsi accreditati secondo standard di enti a loro volta riconosciuti. Una catena che spinge chi ne fa parte a rispettare criteri e a tendere al miglioramento in modo continuo.

Noi di TÜV NORD Italia ce la metteremo tutta in questo 2025 per esprimere valore in ogni contesto formativo e informativo, che si tratti di corsi strutturati, sia di webinar aperti a tutti.