Oltre i firewall: il ruolo delle persone nella ISO 27001

Il 70% degli incidenti informatici è causato da errore umano.
È uno dei motivi per cui la ISO 27001 dedica un ruolo centrale a formazione, consapevolezza e cultura aziendale, non solo alla tecnologia.

Durante un audit di certificazione ISO 27001, un CEO mi ha detto una frase che non dimenticherò mai:

“Abbiamo speso 50.000 euro in sistemi di sicurezza.
E poi Giulia dell’amministrazione ha cliccato su una mail di phishing e abbiamo rischiato che ci svuotassero il conto corrente.”

Benvenuti nel paradosso della cybersecurity moderna: possiamo avere i migliori firewall del mondo, crittografia militare, sistemi di backup ridondanti… e poi basta un clic sbagliato per vanificare tutto.

ISO 27001: perché le persone sono il vero sistema di gestione

C’è un concetto che ripeto in ogni audit, e che molte aziende faticano ad assimilare: l’organizzazione senza le persone è una scatola vuota.

Il certificato ISO 27001 lo prende l’azienda, certo.

Ma chi applica le policy? Le persone.
Chi rileva gli incidenti? Le persone.
Chi decide come gestire un’emergenza? Le persone.
Chi può vanificare anni di investimenti con un momento di disattenzione? Sempre le persone.

La ISO 27001 lo sa bene. Per questo dedica interi controlli alla gestione delle risorse umane, alla formazione, alla consapevolezza.
Non sono capitoli “di contorno”. Sono il cuore del sistema.

Il problema della segnalazione: “Ho paura di dire che ho sbagliato”

Immaginate questa scena, che ho visto ripetersi decine di volte.

Lunedì mattina, ore 9:30.
Elena, dell’ufficio acquisti, apre una mail che sembra provenire dal fornitore abituale.

“Abbiamo cambiato coordinate bancarie, ecco le nuove.”

Clicca sul link, inserisce le credenziali per “verificare l’ordine”.
Poi, un dubbio.

“Ma… questa mail era vera?”

Panico. Cosa fa Elena?

Scenario A
Corre immediatamente dal responsabile IT.

“Credo di aver fatto una cavolata, ho cliccato su questa mail.”

Sono passati 5 minuti dall’apertura della mail.
L’IT blocca immediatamente l’accesso di Elena, cambia tutte le password, controlla i sistemi.
Il tentativo di phishing viene neutralizzato.

Danno: zero.

Scenario B
Elena ha paura.

“Se lo dico, mi sgridano. Magari non è successo niente.”

Spegne il computer, va a prendere un caffè, prega che passi tutto.
Nel frattempo, chi ha inviato quella mail ha avuto 30 minuti per entrare nei sistemi, scaricare dati, installare malware.

Quando il problema viene scoperto (ore o giorni dopo), è troppo tardi.

Quale scenario è più frequente?
Il secondo, purtroppo.

La regola della “golden hour”

Ho un cliente nel settore bancario che ha risolto brillantemente questo problema.

Ha introdotto la golden hour rule:
se segnali un errore entro un’ora da quando è avvenuto, zero conseguenze disciplinari. Punto.

Non importa quanto grave sia l’errore.
L’unica cosa che conta è risolverlo velocemente.

Risultato?
I tempi medi di rilevamento degli incidenti si sono ridotti del 65%.

Prima: in media 12 ore.
Ora: meno di 4 ore.
In molti casi: pochi minuti.

Perché funziona?
Perché elimina la paura.

Durante gli audit, questa è una delle prime cose che valuto:
esiste una cultura della segnalazione senza colpevolizzazione?

Se la risposta è no, non importa quanto sia tecnicamente impeccabile il sistema di gestione.
Avete un punto cieco enorme.

Due tipi di formazione: entrambi necessari

La ISO 27001 non specifica nel dettaglio che tipo di formazione serva.
Ma dalla mia esperienza, ci sono due filoni fondamentali.

Formazione operativa: “Cosa devo fare io”

Ogni persona nell’organizzazione deve sapere qual è il proprio ruolo nel sistema di gestione della sicurezza.

Se lavori in HR, devi sapere:

• come gestire i contratti con clausole di riservatezza

• come fare background check sui nuovi assunti (dove applicabile)

• come gestire la revoca degli accessi quando qualcuno lascia l’azienda

• quali informazioni sui dipendenti sono sensibili e come proteggerle

Se lavori in amministrazione, devi sapere:

• come qualificare i fornitori dal punto di vista della sicurezza

• come gestire contratti che coinvolgono il trattamento di dati

• come riconoscere tentativi di frode via email

Se lavori in produzione, devi sapere:

• come gestire i dispositivi aziendali (laptop, tablet, smartphone)

• cosa fare in caso di smarrimento o furto

• come proteggere informazioni riservate

Questa formazione è specifica per ruolo.
Non serve che tutti sappiano tutto, ma ognuno deve sapere perfettamente cosa compete a lui.

Formazione generale: “Igiene informatica”

È la formazione che serve a tutti, indipendentemente dal ruolo.

Gestione delle password

• no, “Password123” non è sicura

• sì, una password diversa per ogni servizio

• sì, i password manager sono una buona idea

• no, post-it attaccati al monitor

Riconoscimento del phishing

• come identificare email sospette

• cosa fare prima di cliccare su un link

• come verificare se una richiesta è legittima

• quando dubitare anche delle email apparentemente autentiche

Uso sicuro dei dispositivi

• non lasciare laptop incustoditi in luoghi pubblici

• bloccare sempre lo schermo quando ci si allontana

• non collegare chiavette USB sconosciute

• gestire correttamente il BYOD

Gestione delle informazioni

• cosa può essere condiviso e cosa no

• come proteggere documenti sensibili

• attenzione a ciò che si dice in luoghi pubblici

• social media: cosa non pubblicare mai

Questa formazione va fatta a tutti, almeno annualmente.
Non due slide PowerPoint via email, ma sessioni interattive, esempi concreti e simulazioni.

Il dato che spaventa: 70% di errore umano

Tutti i report internazionali convergono su un dato:
circa il 70% degli incidenti informatici ha come causa principale l’errore umano.

Non vulnerabilità sofisticate.
Non hacker che bucano firewall impenetrabili.

Semplicemente:
qualcuno che clicca dove non dovrebbe.

Questo significa due cose.

Primo: investire milioni in tecnologia senza investire nella formazione è come costruire una fortezza con il portone aperto.

Secondo: la formazione non è un costo.
È l’investimento con il miglior ROI in ambito sicurezza.

Il coinvolgimento della direzione: non opzionale

C’è un ultimo elemento decisivo: il coinvolgimento attivo della direzione.

Non solo firme su documenti di policy, ma coinvolgimento reale:

• conoscenza dei rischi principali

• allocazione di risorse

• comunicazione chiara delle priorità

• partecipazione alle decisioni strategiche

• revisione periodica del sistema

La ISO 27001 richiede formalmente un Riesame della Direzione almeno annuale.

Questo non è burocrazia.
È governance.
È la direzione che dimostra di avere il controllo.