Ho recentemente chiesto ad alcuni manager sia di aziende private, sia della Pubblica Amministrazione, cosa si stia facendo per migliorare la resilienza (uno dei punti chiave del piano della Difesa) delle organizzazioni, sensibilizzando tutto il personale alla identificazione e gestione dei possibili rischi.
Ciò in quanto preoccupano le perplessità di molti esperti professionisti; cito, ad esempio, quelle recentemente espresse dall’ing. Alain De Cristofaris (“La Privacy Awareness? Questa sconosciuta!”) nel corso dell’intervista «Il vero problema del GDPR? La poca formazione delle aziende».
Qualche realtà ha già avviato dei corsi, ma non poche con l’obiettivo limitato di essere compliant con il Regolamento sulla protezione dei dati personali: tale ridotto obiettivo, affrontato dopo il 25 maggio e quindi con urgenza, può generare delle perplessità nei riguardi della bontà del relativo progetto, in quanto trascura tanti altri aspetti rilevanti.
Fra questi, la necessità di progettare sistemi sicuri e resilienti: ciò richiede la pianificazione di un adeguato progetto che tenga conto di tutti gli aspetti e di tutte le persone coinvolte (dai process owners, ai scrum masters, dal front office al back office, ecc.).
Colgo l’occasione per citare, a tale proposito, le giuste considerazioni della prof.ssa Elisabetta Zuanelli: “Temi quali la costituzione di un management istituzionale e aziendale interdisciplinare della sicurezza e della protezione dei dati, della creazione di awareness, consapevolezza effettiva comportamentale nel personale tutto, di scelta oculata delle tecnologie difensive, di formazione adeguata, ecc. implicano una policy by design della cybersecurity e del cyber risk” (tratto dall’articolo: “Direttiva NIS e GDPR, compliance e problemi attuativi. Le prossime decisioni del sistema”).
Bisogna tenere conto che le minacce ai dati personali non sono solo cyber e, quindi, sono necessari corsi sulla protezione dei dati a 360°, creando la giusta consapevolezza sui rischi a tutti i livelli.
Tutto ciò mi ha indotto a delle riflessioni che qui di seguito molto brevemente espongo, rendendomi disponibile a parlarne più in dettaglio:
- Il ritardo nell’accoglimento del GDPR, ha in tanti casi fatto sì che gli incarichi di consulenza si siano sostanzialmente dovuti svolgere, purtroppo, senza poter approfondire l’ambiente ricettivo e provocando, spesso, l’adattamento di istruzioni fornite ad altre aziende ed organizzazioni: realtà quindi assai diverse per settore economico, localizzazione, operatività, e soprattutto con personale assai diverso per tradizioni e formazione, vanificandone la possibile utilità per l’organizzazione stessa.
- Un progetto di sensibilizzazione alla protezione dei dati personali più è ampio e correttamente dilazionato nel tempo e più è incisivo; purtroppo, di converso, può essere proporzionalmente via via minore la disponibilità e l’interesse da parte dell’azienda e del personale.
- In alcuni casi che mi sono capitati, ho visto che fu richiesto al fornitore un approccio piuttosto tecnico, specificatamente cybernetico. In un caso, l’approccio scelto fu quello di basare tutto il corso sullo standard ISO27001, in maniera indifferenziata dai ruoli e responsabilità dei partecipanti. I risultati non furono certo entusiasmanti (vi furono forse delle carenze nella pianificazione delle esigenze?).
E quindi, che fare? Le organizzazioni a mio parere devono:
- Trovare un advisor competente e con lunga e provata esperienza che assista nel disegno del percorso di formazione ed informazione il personale;
- Tale percorso deve essere graduato nel tempo, in modo da consentire una agevole assimilazione dell’approccio alla individuazione e gestione delle possibili minacce così come dei principali suggerimenti pratici;
- Assegnare un ruolo centrale all’Enterprise Risk Management, inclusa l’analisi di impatto sul servizio;
- Assicurarsi che nel percorso ampio spazio sia dato alla ricerca di soluzioni di mitigazione e riduzione degli impatti dei possibili rischi.
Successivamente, il percorso, così disegnato ed approvato dal management, può divenire la base per il capitolato di appalto per la fase realizzativa.
Concludo con le parole della dott.ssa Isabella Corradini, tratte da “People&Tech. Buoni propositi per il 2018: che la cybersecurity non sia un farmaco da banco”: “servono professionalità e competenze specifiche in tema di formazione delle persone, che non si improvvisano. Il valore della conoscenza e dell’esperienza è preziosissimo. Se non si comprende, o non si vuole comprendere questo aspetto, c’è davvero il rischio che negli anni a venire continueremo ad autocommiserarci per il numero e la gravità degli attacchi subiti. E sarà ancora una volta un’occasione sprecata”.
Stiamo sprecando l’ultima occasione offerta?
