La Direttiva NIS2, approvata a livello europeo e presto anche a livello nazionale, rappresenta uno sforzo collettivo per aumentare la sicurezza delle reti e dei sistemi informatici degli Stati membri, imponendo nuove e più stringenti misure di gestione del rischio.
Tuttavia, nonostante il tentativo del legislatore di scatenare con la legge una serie di effetti positivi sul mercato digitale, un elemento che spesso blocca le aziende, oltre a questioni di risorse economiche, è il fattore umano. È facile concentrarsi sulle soluzioni tecnologiche e sulla preparazione di nuove e scintillanti procedure operative, ma alla base di ogni processo aziendale ci sono sempre delle persone con le loro idee, attitudini, competenze e anche difetti.
Con questo breve contributo vogliamo esplorare l’idea di un approccio più umano-centrico alla Governance, Risk & Compliance nel settore della cybersecurity, come elemento saliente per integrare con successo i nuovi requisiti previsti dalla NIS2. L’obiettivo è mostrare come il coinvolgimento attivo delle persone possa portare a un sistema sostenibile e adattato alla realtà dell’organizzazione, creando sinergie tra esperti di sicurezza e dipendenti.
La Direttiva NIS2 e l’Articolo 21: misure di gestione del rischio
La Direttiva NIS2 è un quadro che in qualche modo cerca di portare nel panorama normativo le best practices internazionali sulla sicurezza delle informazioni, come quelle previste dalla ISO 27001 o da altri framework di cybersicurezza. Pertanto, il percorso di compliance richiesto è sufficientemente complesso.
Tra i suoi vari articoli, l’articolo 21 in particolare prevede misure dettagliate per la gestione del rischio, indirizzando le organizzazioni a implementare una serie di strategie e procedure specifiche, come a titolo esemplificativo:
- Politiche di analisi dei rischi e di sicurezza dei sistemi informatici: La direttiva sottolinea l’importanza di politiche ben strutturate per l’analisi dei rischi e la protezione dei sistemi informatici. La creazione di un processo di analisi costante permette di identificare i punti deboli dell’organizzazione e mitigare i rischi prima che possano trasformarsi in incidenti reali.
- Gestione degli incidenti: La capacità di rispondere efficacemente a un incidente di sicurezza è fondamentale. La NIS2 richiede procedure chiare e ben definite per l’individuazione, la gestione e la mitigazione degli incidenti.
- Continuità operativa e gestione delle crisi: La continuità operativa, come la gestione del backup e il ripristino dei dati, è essenziale per garantire che l’azienda possa continuare a operare anche in caso di attacchi o disastri. La NIS2 richiede che le organizzazioni sviluppino piani di emergenza e strategie di recupero.
- Sicurezza della catena di approvvigionamento: La sicurezza non riguarda solo i sistemi interni di un’azienda, ma anche la catena di fornitori e partner esterni. La direttiva sottolinea l’importanza di valutare i rischi derivanti dalle relazioni commerciali, creando un ecosistema sicuro.
- Pratiche di igiene informatica e formazione continua: Uno dei pilastri della NIS2 è la formazione continua del personale sulle buone pratiche di sicurezza informatica. Senza un’adeguata consapevolezza dei rischi e delle procedure corrette, nessun sistema potrà essere veramente sicuro.
L’Approccio Umano-Centrico alla cybersecurity: mettere le persone al centro
Nei processi di Governance, Risk & Compliance alla NIS2, la tecnologia è solo un mezzo; le persone sono la chiave del successo.
Quasi nessuna azienda oggi ha al suo interno un team con le competenze necessarie per portare avanti un percorso di questo tipo. Ciò significa, per molti, trovarsi a lavorare con consulenti esterni – esperti di queste materie ma inesperti per tutto ciò che riguarda la specifica realtà aziendale. Si verrà così a creare un contesto in cui da una parte ci saranno i dipendenti, esperti della propria azienda, e dall’altra i consulenti, esperti di cybersicurezza e NIS2. Entrambi i gruppi dovranno conoscersi nel tempo e trovare un modo per lavorare insieme, tenendo in considerazione i reciproci punti di forza e debolezze.
L’approccio umano-centrico è un elemento nevralgico per la buona riuscita di qualsiasi progetto di Governance, Risk & Compliance che richieda l’intervento di consulenti esterni. Senza questo, ogni speranza di implementare correttamente un sistema capace di sostenere il carico della NIS2 rischia di esser vana. L’approccio umano-centrico richiede un coinvolgimento attivo e una cooperazione tra le varie componenti aziendali e i consulenti, in particolare per alcuni aspetti fondamentali:
- Collaborazione e coinvolgimento attivo: La cybersecurity non dovrebbe essere una realtà distante dai dipendenti. Sedersi attorno a un tavolo di discussione, coinvolgendo i consulenti e il personale operativo, è essenziale per immaginare insieme e poi adattare le misure di sicurezza alla realtà specifica dell’azienda. Comprendere le sfide quotidiane dei dipendenti e trovare insieme soluzioni pratiche rende l’implementazione della sicurezza informatica più fluida e sostenibile nel corso del tempo. Le riunioni di lavoro sulla NIS2 dovrebbero coinvolgere in prima persona i dipendenti che conoscono a fondo i processi aziendali, soprattutto se riguardano le persone, come le risorse umane. La NIS2 richiede un approccio incentrato sul rischio: la conoscenza dell’azienda e la capacità di pianificare scenari realistici sono fondamentali, e ciò richiede una collaborazione tra i vari team aziendali e i consulenti chiamati a portare in azienda la loro competenza.
- L’Umano come catalizzatore del cambiamento: La collaborazione tra persone con competenze diverse, dai tecnici agli operatori sul campo, è la vera forza trainante di un progetto di sicurezza ben riuscito. In questo modo, le persone diventano catalizzatori del cambiamento, contribuendo attivamente alla costruzione di una cultura della sicurezza. Ognuno fa la sua parte, per ciò che gli compete e soprattutto per ciò che gli interessa. Pensare che la sicurezza sia qualcosa da relegare ai tecnici è sbagliato e dannoso: nessuno è escluso, e tutti possono essere “campioni” aziendali per rendere l’azienda un luogo (fisico e digitale) meno pericoloso per tutti, proprio come accade per la sicurezza sul lavoro.
Formazione continua come accrescimento reciproco
La formazione, certamente un punto centrale di ogni progetto di cybersicurezza, deve essere intesa come un processo di apprendimento bidirezionale, dove il consulente apprende le dinamiche dell’azienda e il personale acquisisce competenze di sicurezza. Questo scambio permette di adattare la formazione alle reali esigenze operative. Invece di limitarsi a sessioni di formazione frontali e unidirezionali (che rimangono comunque utili), un approccio umano-centrico potrebbe essere quello di optare per workshop pratici e discussioni interattive che incoraggino i partecipanti a condividere esperienze e idee.
Questa formazione più partecipativa e inclusiva può aiutare a creare un ambiente di apprendimento più dinamico, in cui ogni dipendente può contribuire con la propria esperienza lavorativa e comprendere meglio le necessità di sicurezza. Così facendo, ognuno si sentirà emancipato e più responsabilizzato nel portare avanti il proprio pezzettino di cyber-igiene. La partecipazione proattiva potrà anche determinare il successo o l’insuccesso di azioni di gestione delle crisi in caso di incidente di sicurezza: avere personale formato e pronto ad agire in caso di incidente può fare la differenza tra un disastro informatico e una pronta risoluzione del problema (anche nel caso in cui il problema sia risolto grazie a consulenze esterne).
ISO 27001 e l’importanza della Leadership
Un parallelo interessante con questo approccio umano-centrico può essere tracciato con la ISO 27001, uno standard di gestione della sicurezza delle informazioni che sottolinea l’importanza del coinvolgimento attivo della leadership. Così come nella NIS2, la ISO 27001 richiede che la Leadership aziendale si impegni proattivamente a supportare la gestione della sicurezza delle informazioni, definendo le priorità e le risorse necessarie. Questo coinvolgimento permette di creare una cultura aziendale in cui la sicurezza non è percepita come un onere o come una semplice voce di spesa, ma come parte integrante del modo di lavorare.
La formazione non deve essere solo un obbligo da rispettare, ma un’occasione di crescita personale e professionale. Capire come le persone lavorano, interagiscono e percepiscono la sicurezza informatica è la chiave per una formazione efficace e coinvolgente. Anche la Leadership aziendale dovrebbe partecipare ai momenti di formazione, ed anzi dare il buon esempio.
Inoltre, come già menzionato, ogni azienda è unica e ha bisogno di soluzioni di Governance, Risk & Compliance che siano adatte alle proprie esigenze specifiche. Un approccio umano-centrico governato da una Leadership presente e proattiva permette di sviluppare politiche di sicurezza su misura, che tengano conto delle risorse, delle competenze e delle esigenze dell’organizzazione. È fondamentale in questo senso riuscire a creare un canale di comunicazione aperto e continuativo tra tutti i livelli aziendali e tra Leadership e consulenti esterni, cosicché ognuno possa dare il proprio contributo attivo alla buona riuscita del progetto.
Conclusione
La Direttiva NIS2 e la ISO 27001 rappresentano linee guida essenziali per la gestione della sicurezza informatica, ma la loro implementazione non può essere efficace senza il coinvolgimento delle persone.
In definitiva, è il fattore umano a fare la differenza. Troppe volte progetti ambiziosi e ben fatti sulla carta rimangono lettera morta a causa del poco coinvolgimento delle persone, o della scarsa connessione tra consulenti e Leadership aziendale. Migliorare la cybersecurity in azienda, e rispettare gli stringenti standard qualitativi di leggi come la NIS2, richiede certamente un approccio umano-centrico. Solo così si potrà costruire una base solida per un sistema di governance della cybersicurezza sostenibile ed efficace.