Il controllo 14 dei CSC si basa sulla “Sensibilizzazione e Formazione sulle Competenze di Sicurezza”, un argomento indubbiamente importante ma anche sorprendente da trovare dentro documenti di questo tipo. Approfondiamone i contenuti.
Controllo #14: Formazione e Competenze di Sicurezza
È oltremodo interessante vedere un controllo di sicurezza basato sulla formazione e la competenza degli utenti. Troppo spesso la formazione è relegata ad un ruolo marginale quando, in realtà, permette di prevenire incidenti e gestire problematiche con un’efficacia quasi uguale a quella garantita dagli strumenti tecnici. Talvolta, infatti, la “componente umana” riesce anche a supplire a carenze tecniche ottenendo risultati straordinari; i CSC chiariscono bene questo concetto.
Gli utenti stessi, più o meno intenzionalmente, possono causare incidenti a causa del non adeguato trattamento dei dati sensibili, inviando una e-mail con dati sensibili al destinatario sbagliato, smarrendo un dispositivo portatile, utilizzando password deboli o impiegando la stessa password che utilizzano su siti pubblici. Nessun programma di sicurezza può fronteggiare efficacemente il rischio informatico senza affrontare questa fondamentale vulnerabilità umana. Gli utenti aziendali a ogni livello hanno rischi diversi: ad esempio i dirigenti gestiscono dati più sensibili, gli amministratori di sistema hanno la capacità di controllare l’accesso a sistemi e applicazioni, infine gli utenti dei settori finanziario, risorse umane e contratti hanno tutti accesso a diversi tipi di informazioni riservate che possono renderli obiettivi.
Il controllo 14 s’inserisce, pertanto, con argomenti più che validi e propone nove salvaguardie sostanzialmente tutte d’interesse per le organizzazioni.
Programmi di Formazione e Security Awareness
Le salvaguardie sopra riportate, possono essere particolarmente utili a progettare percorsi formativi per il personale che, come è possibile notare, riguardano argomenti di assoluta attualità e complessità. Si pensi alla salvaguardia 14.2, ossia alla formazione sull’Ingegneria Sociale. Si tratta di attacchi che stanno crescendo in numero e complessità e di cui si ha poca conoscenza: lo dimostrano gli attacchi a Twitter del 2020, dei casinò della MGM a Las Vegas ma anche quelli più recenti avvenuti in Italia a danno di alcuni correntisti di importanti istituti bancari. La formazione su tecniche di questo tipo è essenziale anche perché, come è noto, non esistono software che, una volta installati, siano in grado di garantire la protezione totale nei confronti di tali dinamiche. La sensibilizzazione alle tematiche legate alla sicurezza informatica fa parte del paradigma dell’accountability. Il punto 14.9 “Effettuare una Formazione Specifica sulle Competenze e per la Sensibilizzazione sulla Sicurezza” è assolutamente importante e arriva alla fine di una serie di salvaguardie che sono ruotate intorno a concetti come la messa in sicurezza delle reti, la gestione dei dispositivi aziendali, la segnalazione degli incidenti di sicurezza, l’esposizione involontaria dei dati. In tal senso è interessante notare come i CSC riescano a tenere in considerazione tanto gli incidenti di natura “dolosa” quanto quelli di natura “colposa” e riescano pertanto a favorire salvaguardie complete con indicazioni utili. A rafforzare questi concetti c’è proprio quanto scritto dai CSC:
Un efficace programma di formazione sulla consapevolezza della sicurezza non dovrebbe ridursi ad un annuale video di formazione preconfezionato, abbinato a regolari test di phishing. Nonostante sia necessaria una formazione annuale, dovrebbero anche essere fornite frequentemente informative e notifiche aggiornate sulla sicurezza.
Conclusioni
La parte dei CSC riservata alla formazione è interessante: ha un approccio più metodologico che tecnico ed è più improntata alla progettazione di contenuti realmente interessanti che all’applicazione di sterili percorsi formativi ormai noti e poco utili. Da notare soprattutto la componente legata alla segnalazione degli incidenti che non fa riferimento solo alle autorità, ma si rivolge soprattutto agli utenti esterni ed interni all’azienda al fine di evitare danni reputazionali e l’aumento di complessità nella gestione dell’incidente.
