Sicurezza informatica e formazione: l’anello che spesso manca

Nel mio lavoro capita spesso di osservare una dinamica ricorrente all’interno delle organizzazioni.

Quando si parla di sicurezza, le aziende tendono a concentrarsi – giustamente – sugli strumenti tecnologici.
Firewall, antivirus, sistemi di protezione della posta elettronica, soluzioni di backup, monitoraggio degli accessi.

Se la domanda è: “Avete un firewall?” la risposta è quasi sempre: sì.

Se la domanda diventa: “Avete formato le persone che questi strumenti li utilizzano ogni giorno?” la risposta, molto spesso, cambia.

La formazione delle persone autorizzate al trattamento dei dati viene ancora vista come qualcosa di accessorio, rinviabile, secondario rispetto agli investimenti hardware e software.
Eppure l’esperienza – e i dati sugli incidenti informatici – raccontano una storia diversa.

Una parte rilevante dei data breach non nasce dall’assenza di strumenti tecnologici, ma da errori umani, distrazioni, comportamenti non consapevoli o da attacchi di social engineering andati a buon fine. Non da firewall mancanti.

È importante ricordare che la formazione privacy non è facoltativa.

Il GDPR prevede espressamente che le persone autorizzate al trattamento dei dati personali operino sotto l’autorità del titolare o del responsabile e sulla base di istruzioni adeguate, che includono anche la formazione (artt. 29 e 32 GDPR).

In altre parole, la designazione degli incaricati non può essere solo formale:

• chi tratta dati personali deve essere messo nelle condizioni di farlo correttamente. La formazione è parte integrante di questo obbligo e rappresenta una misura organizzativa di sicurezza a tutti gli effetti.

La formazione, inoltre, non può essere generica o astratta.
Deve essere costruita sul contesto reale dell’azienda:

• sui sistemi effettivamente utilizzati
• sui flussi concreti di dati
• sui rischi specifici del settore e dell’organizzazione

Accanto ai temi trasversali – phishing, ransomware, tecniche di manipolazione – è fondamentale che le persone comprendano come utilizzare correttamente gli strumenti a disposizione e quali comportamenti evitano di esporre l’azienda a rischi inutili.

C’è poi un aspetto economico che viene spesso sottovalutato.
Poche ore di formazione mirata e ben progettata hanno, nella maggior parte dei casi, un costo inferiore rispetto a soluzioni tecnologiche pensate per “compensare” l’errore umano. Soluzioni che, per definizione, non possono essere infallibili.

Investire in sicurezza senza investire nelle persone significa lasciare scoperta una delle superfici di rischio più critiche, oltre a esporsi a una non conformità sul piano normativo.

Se nella tua organizzazione la formazione degli incaricati è un tema ancora aperto, o se senti la necessità di strutturarla in modo coerente con il GDPR e con i sistemi realmente in uso, contattami per valutare un percorso formativo mirato.