top of page

NIS 2: la formazione del personale in materia di cybersicurezza

Immagine del redattore: Leonardo GeneraliLeonardo Generali
4 giorni faTempo di lettura: 3 min

1. Introduzione

Nel parlare di cybersicurezza è necessario porre l’accento non soltanto sull’adozione delle corrette misure di prevenzione e di gestione degli attacchi informatici, ma anche sulla necessaria formazione che le aziende sono tenute a fornire ai propri dipendenti. Come evidenziato da Kevin Mitnick, uno dei più noti hacker statunitensi, il fattore umano rappresenta spesso l'anello più debole nella catena della sicurezza. Infatti, le vulnerabilità nei sistemi aziendali derivano frequentemente da errori umani piuttosto che da carenze tecniche. 

La formazione del personale rappresenta un elemento centrale nel quadro normativo delineato dalla Direttiva NIS 2 e dal Decreto legislativo di riferimento n. 138/2024.

L'articolo 23, comma 2, lettera b), del D.lgs. 138/2024, letto alla luce anche del Considerando 89 della direttiva NIS 2, richiede che i soggetti essenziali e importanti promuovano un’offerta periodica di formazione ai propri dipendenti in tema di sicurezza informatica. Tale obbligo è posto in capo ai vertici aziendali, cioè organi amministrativi e organi direttivi, che svolgono un ruolo chiave nella definizione e nell'attuazione delle strategie di cybersicurezza.

L’obiettivo formativo passa in primo luogo dall’adozione di un corretto piano di formazione del personale, normalmente affidato al responsabile della sicurezza dell’azienda. Il piano si dovrebbe articolare in due fasi principali:

  1. la formazione sulle corrette pratiche di igiene informatica e sulle misure di gestione del rischio;

  2. la formazione sulla gestione dell’incidente in corso.



2. Formazione del personale sulle corrette pratiche di igiene informatica e sulle misure di gestione del rischio

La cybersicurezza aziendale non può prescindere dalla formazione del personale su corrette pratiche di igiene informatica e misure di gestione del rischio. Su questo punto, si rendono necessari, accanto al piano di formazione generale, programmi di sensibilizzazione periodici che stabiliscano corsi e sessioni con diversi contenuti:

  • informazioni sulle principali minacce informatiche, in quanto diventa fondamentale per i dipendenti acquisire una consapevolezza sulle caratteristiche dei diversi attacchi informatici, in modo da adottare misure di prevenzione. Ad esempio, potrebbero rientrare in questo campo insegnamenti sulle tecniche di phishing e di ingegneria sociale, che costituiscono le principali modalità utilizzate per penetrare il sistema di un’azienda. È necessario che tutti i dipendenti siano consapevoli di non dover aprire allegati ad una e-mail, se non si tratta di indirizzi ufficiali o verificati. Allo stesso modo, è necessario far capire che le infor­mazioni preziose dell’azienda devono essere condivise con poche persone e mai telefonica­mente senza aver verificato previamente l’identità di chi chiama;

  • misure di gestione del rischio, tra le quali:

    • la politica di backup dei dati dell’azienda, quindi quali e quanti dati devono essere sottoposti a backup e con quale modalità e frequenza;

    • le modalità di navigazione sicure del web, tramite l’utilizzo di VPN aziendali;

    • le istruzioni relative alla configurazione e al funzionamento sicuro dei sistemi IT, compresi i dispositivi mobili;

  • politiche aziendali di gestione delle credenziali. È importante spiegare la necessità di utilizzare password forti (password con più di 8 caratteri, con maiuscole e minuscole e segni di ortografia e che non rimandino a qualche nostra informazione personale) per accedere ai sistemi aziendali o comunque di avvalersi di altri sistemi di autenticazione controllati, come impronte digitali o riconoscimento facciale.

Il programma di sensibilizzazione dovrà essere periodicamente aggiornato e allineato alle politiche e procedure di sicurezza dell’azienda. Allo stesso modo, i contenuti delle sessioni e dei corsi dovranno essere calibrati in base alla tipologia di professione di ciascun dipendente.



3. Formazione del personale sulla gestione degli incidenti

Particolare attenzione deve essere altresì posta sulla capacità di tutti i comparti aziendali di rispondere tempestivamente ad un eventuale incidente informatico. Le principali attività formative dovrebbero includere:

  • corsi di formazione iniziale per i nuovi dipendenti, necessari soprattutto per far comprendere i fondamentali della gestione degli incidenti;

  • aggiornamenti periodici sulle procedure di emergenza aziendali attraverso lo svolgimento di periodiche sessioni;

  • esercitazioni pratiche e simulazioni di attacchi informatici, che distinguano la fase di gestione in corso dell’incidente dalla fase successiva di ripristino e reintegrazione dell’operatività. Su questo punto, spesso le aziende si affidano a società esterne, le quali creano piattaforme di simulazione che consentono di testare le capacità di reazione del personale e di individuare eventuali aree di miglioramento. All’esito di ogni esercitazio­ne, dovrà essere redatta una scheda che dia conto dei risultati conseguiti: in quanto tem­po l’attacco è stato rilevato, come è stato analizzato, in quanto tempo è stato debellato, l’organizzazione interna dei dipendenti per risolvere il problema.



4. Conclusioni

Un personale adeguatamente formato rappresenta la prima linea di difesa contro le minacce informatiche, contribuendo alla protezione dell'azienda, alla continuità operativa e al rafforzamento della fiducia di clienti e partner commerciali. Solo attraverso un approccio proattivo alla formazione e un aggiornamento continuo e costante sarà possibile affrontare con successo le sfide imposte dal panorama cyber attuale.

Comments

bottom of page