Per garantire un adeguato livello di Cyber Security è sempre più necessario investire nel fattore umano. In special modo nella formazione di dipendenti non esperti in sicurezza, con l’obiettivo di creare una maggiore consapevolezza sui pericoli Cyber.

Questo genere di affermazioni stanno diventando una sorta di mantra che si diffonde nella rete con la stessa velocità con cui si diffondono le notizie che narrano attacchi “clamorosi”, che, per la loro portata, conquistano gli onori della cronaca.

Per evitare però che questo concetto di formazione, conosciuto con il termine di Cyber Security Awareness, non sia altro che uno slogan vuoto di significato, è necessario andare oltre la superficie. Una maggiore attenzione va infatti messa sui contenuti della “formazione”. Questa deve essere realmente in grado di incidere sulla capacità delle organizzazioni nel fare fronte alla crescente quantità e qualità (livello di sofisticazione) degli attacchi.

Con l’introduzione del regolamento europeo GDPR e la recente Direttiva NIS, relativa alle infrastrutture critiche, la Cyber Security ha assunto maggiore rilevanza sia a livello internazionale sia a livello di sistema paese, investendo in modo definitivo tutte le organizzazioni pubbliche e private.

La definizione del concetto di “accountability” (responsabilizzazione delle organizzazioni) e la presenza di un regime sanzionatorio sempre più incisivo, hanno costretto le organizzazioni a sviluppare misure tecniche organizzative adeguate al livello di rischio.

Il NIST descrive con chiarezza le esigenze di formazione

“Consapevolezza e formazione (PR-AT): il personale e i partner dell’organizzazione vengono istruiti sulla sensibilizzazione alla sicurezza cyber e sono addestrati a svolgere i propri compiti e responsabilità relativi alla sicurezza informatica coerenti con le politiche, le procedure e gli accordi correlati”.

Con questa definizione risulta chiaro che i dipendenti soggetti alla necessità di essere “istruiti e sensibilizzati rispetto alla Cyber Security” sono tutti i dipendenti, i collaboratori e i partner, cioè tutti coloro che sono utenti delle risorse informatiche delle organizzazioni. Per togliere ogni dubbio, il primo dei sottopunti della specifica PR-AT, ossia il PR-AT-1, recita in modo chiaro: “tutti gli utenti, sono informati e formati”.