Il fattore H: perché la formazione del personale è l’arma migliore contro gli attacchi cyber

* di LUISA DI GIACOMO

Nel piano di resilienza informatica che deve necessariamente coinvolgere le pubbliche amministrazioni per fare fronte all’aumento degli attacchi cyber in Italia (il documento di sicurezza nazionale del Dipartimento delle informazioni per la sicurezza evidenzia un incremento, negli ultimi due anni, del 20% dei cyber attacchi, di cui l’80% rivolto verso le PA e solo lo scorso anno, il 68% degli attacchi informatici ha colpito le PA) costituisce un pilastro fondamentale la formazione del personale.

Il cosiddetto fattore H costituisce ad oggi uno degli anelli maggiormente deboli della catena di sicurezza informatica e pensare alla sua competenza e formazione continua non è una mera formalità, né una misura di sicurezza minima, al contrario fa parte dei fondamentali e può fare la differenza tra un attacco di successo ed uno sventato.

L’Italia è il primo Paese in Europa per attacchi ransomware e le PA a propria volta sono un bersaglio preferenziale perché non c’è adeguata valutazione del rischio: la corsa alla digitalizzazione non è stata seguita da un conforme adeguamento delle competenze del personale (siamo al terzultimo posto in Europa secondo Michele Fioroni, Coordinatore Commissione Innovazione tecnologica e Digitalizzazione, Conferenza delle Regioni).

Formazione e competenze digitali

Investire nella formazione delle proprie risorse umane potrebbe essere, per migliaia di Enti Locali, una porta verso l’efficienza del funzionamento dell’Ente stesso e un modo per ottimizzare le risorse del proprio bilancio.

Se si pensa al rischio informatico come un rischio economico, che colpisce l’Ente con un impatto dal punto di vista delle risorse finanziarie spese per il ripristino dei sistemi, del tempo impiegato per recuperare la normale funzionalità, delle sanzioni e delle responsabilità derivate, anche in termini di danno erariale, ecco che non può non essere evidente che è necessario, anzi di più, è imperativo avviare un processo di formazione continua delle risorse, perché in una società tecnologica che evolve ogni giorno, non può essere considerato sufficiente cristallizzare le competenze in un unico (e spesso deludente) evento formativo.

Occorre un cambio di passo, per porre le tematiche legate alla formazione in ambito cybersecurity al centro della propria agenda quotidiana: anche i fondi del PNRR vanno in quella direzione, con 1 euro ogni 4 destinato al digitale e con un’attenzione particolare relativa ai piccoli comuni, che vedranno distribuirsi risorse ingenti che devono essere correttamente incanalate.

Purtroppo non è sufficiente prendere i fondi ed organizzare corsi specifici e nemmeno fregiarsi del titolo di “ente digitalizzato” solo per aver modificato in meglio la propria infrastruttura tecnologica. PNRR e digitale e cybersecurity sono tematiche strettamente correlato tra loro e così lo è la formazione del personale: ma non ci sono finanziamenti né corsi che tengano, a meno che non si sia disposti modificare la mentalità, le procedure, la cultura dei processi: è necessario scrivere e dettagliare le procedure e organizzare il flusso per lavoro per processi, perché la complessità della sicurezza richiede un mutamento di organizzazione.

La tecnologia c’è e ci sarà sempre di più, pervasiva, in qualunque momento del nostro lavoro. Ma la tecnologia non soppianterà mai il fattore umano e il tema della consapevolezza e della cultura in ambito cybersecurity devono subire un’accelerazione che vada di pari passo con la tecnologia, anzi, che la superino, se possibile.

Solo dopo aver subito un attacco di successo, di norma, gli Enti Locali acquisiscono consapevolezza piena della vastità del problema e delle sue conseguenze, ma dopo un attacco di successo spesso è troppo tardi per correre ai ripari: consapevolezza, formazione e adeguamento delle procedure sono temi decisivi per il corretto funzionamento di un Ente.

Le Linee guida AgID

Le Linee guida AgID possono favorire il processo, ma solo con la presa di coscienza da parte dei singoli Enti e degli amministratori locali la consapevolezza della cybersecurity e dell’importanza della protezione dei dati potranno diventare efficaci, con tutta la loro portata in tema di efficienza del lavoro e di reale digitalizzazione del Paese.

Formazione del personale, consapevolezza, cambiamento di mentalità: ecco i pilastri per una corretta strategia per la resilienza informatica, perché l’acquisto delle tecnologie sofisticate (firewall, software di protezione e tutti gli altri strumenti di protezione tecnica) diventa infine solamente un corollario.

“Abbiamo sempre fatto così” resta ad oggi il primo nemico da sconfiggere. Del resto lo diceva anche Einstein, che follia è fare sempre la stessa cosa ed aspettarsi risultati diversi.

L’AUTORE

* Luisa Di Giacomo è avvocato da oltre quindici anni, dal 2012 è consulente privacy presso diverse aziende nel nord Italia e dal 2018 ricopre l’incarico di DPO presso diverse Pubbliche Amministrazioni (Comuni, Enti di ricerca, Enti socio assistenziali) e società private. Dal 2022 fa parte del pool di consulenti esperti in Data Protection Law istituito presso l’European Data Protection Board.

Formata nell’ambito del diritto civile e commerciale, negli ultimi dieci anni si è dedicata in via esclusiva al diritto di internet, delle nuove tecnologie, della protezione dei dati personali e della cybersecurity.

Ha svolto periodi di studio e di lavoro all’estero, è docente e formatore per Maggioli spa, responsabile della sezione cybersecurity del portale diritto.it, redattrice per la Gazzetta degli Enti Locali.

Parla inglese e francese a livello madrelingua, ed ha una discreta conoscenza dello spagnolo e del portoghese.

Ama scrivere narrativa e dedicarsi all’attività di formazione in aula e online.

Le piace definirsi Cyberavvocato.

