Politica di consapevolezza e formazione sulla sicurezza delle informazioni

La Politica di consapevolezza e formazione sulla sicurezza delle informazioni (P08) stabilisce un quadro formale, a livello di organizzazione, per garantire che tutto il personale, i contraenti e gli agenti terzi comprendano le proprie responsabilità in materia di sicurezza delle informazioni. Impone una formazione completa che supporta la conformità a ISO/IEC 27001:2022 e ad altri principali framework globali. Il documento descrive un approccio basato sul rischio, richiedendo che la sensibilizzazione alla sicurezza sia affrontata in modo continuo tramite onboarding, formazione periodica di aggiornamento e tattiche di formazione guidate da eventi, adattate all’evoluzione delle minacce e alle richieste normative. Questa politica definisce un ambito chiaro, stabilendo che tutti gli utenti con accesso ai sistemi informativi o alle strutture dell’organizzazione, siano essi dipendenti interni, lavoratori temporanei, contraenti o fornitori, devono partecipare. I requisiti specificano la formazione di sensibilizzazione alla sicurezza in fase di onboarding, moduli specifici per il ruolo per posizioni come sviluppatori o utenti privilegiati e campagne di sensibilizzazione continuative. I meccanismi di erogazione includono e-learning, sessioni virtuali guidate da istruttore, simulazioni e contenuti multimediali, con aggiornamento annuale obbligatorio o formazione aggiuntiva attivata da incidenti o da importanti cambiamenti legali/tecnologici. Requisiti di governance dettagliati garantiscono che tutti gli utenti siano guidati da contenuti formativi accessibili e inclusivi che coprono temi essenziali quali resistenza al phishing, igiene delle password e obblighi normativi. Le funzioni Risorse Umane (HR) e il Responsabile della sicurezza delle informazioni (CISO) sono centrali per mantenere le registrazioni di completamento della formazione, garantire che i nuovi assunti e chi cambia ruolo rispettino le scadenze e tracciare il completamento tramite un sistema di gestione dell'apprendimento. La non conformità porta a misure disciplinari progressive, dai promemoria automatici fino alla revoca degli accessi e alla segnalazione alle Risorse Umane. Sono obbligatorie simulazioni di phishing e campagne di sensibilizzazione periodiche; i risultati guidano il miglioramento dei contenuti e l’escalation verso riaddestramento mirato quando i rischi vengono rilevati ripetutamente. La gestione delle eccezioni è definita tramite un processo di approvazione documentato e basato sul rischio e la politica pone forte enfasi su requisiti di riesame e aggiornamento regolari, aggiornamenti dei contenuti e preparazione all'audit, assicurando un allineamento continuo con ISO/IEC 27001, 27002, NIST SP 800-53, GDPR, NIS2, DORA e COBIT 2019. In questo modo, la politica sostiene una difesa misurabile ed evolutiva contro le vulnerabilità legate al fattore umano, fondamentale per mantenere la resilienza dell’organizzazione.