Come incide la formazione nella sicurezza delle informazioni 27001

La formazione delle risorse umane è una potente misura di sicurezza per le informazioni. Nel sistema di gestione 27001 devono essere implementati il Piano di formazione annuale, la progettazione dei moduli formativi e il monitoraggio delle competenze

Per adempiere ai requisiti 7.2 e 7.3 relativi rispettivamente alla competenza e alla consapevolezza delle persone, nel sistema di gestione per la sicurezza delle informazioni, è necessario impiegare una procedura che contempli almeno le seguenti fasi di lavoro:

Formazione
Valutazione della formazione
Monitoraggio della competenza e della consapevolezza

Le persone integrate nell’organizzazione devono iniziare a svolgere la loro attività lavorativa solamente a seguito di sessioni formative iniziali che hanno lo scopo di:

Far comprendere il contesto dell’organizzazione
Illustrare la parte organizzativa (ruoli e mansioni)

La formazione iniziale

È importante sottolineare che la procedura che gestisce la formazione deve integrare necessariamente il controllo dell’Annex A [controllo 7.2.2] Consapevolezza, istruzione, formazione e addestramento della sicurezza delle informazioni. Infatti per tale controllo tutto il personale dell’organizzazione e, quando pertinente, i collaboratori, devono ricevere un’adeguata sensibilizzazione, istruzione, formazione e addestramento e aggiornamenti periodici sulle politiche e procedure organizzative, in modo pertinente alla loro attività lavorativa.

La formazione periodica

Superata la fase iniziale, nel corso delle attività lavorative, le nuove risorse, affinché possano dare un contributo valido e significativo al funzionamento del sistema di gestione, sono formate (e periodicamente aggiornate) su:

I rischi per la sicurezza delle informazioni presenti nell’organizzazione
Gli asset resi disponibili dall’organizzazione per svolgere l’attività operativa in condizioni sicure
Gli obiettivi per la sicurezza delle informazioni e la loro pianificazione
Le procedure gestionali e le procedure di sicurezza delle informazioni

L’addestramento

L’addestramento è un’attività organizzata alla stessa maniera della formazione ma lo scopo è quello di fornire al lavoratore le abilità operativo-metodologiche necessarie ad eseguire le proprie mansioni conformemente a quanto previsto dalle procedure e da eventuali istruzioni di lavoro contemplate nella documentazione del sistema di gestione.

Ai fini dell’efficacia delle misure di prevenzione per i rischi relativi alla sicurezza delle informazioni suggeriamo di orientare le attività di addestramento verso applicazioni pratiche quali:

Controllo di accesso
Le operazioni di login e logout
Le operazioni individuali di crittografia
Utilizzo dei permessi nell’esecuzione del lavoro sul sistema operativo
Utilizzo della modulistica di sicurezza
L’impiego della scrivania pulita
Le attività individuali di backup
Il funzionamento dei dispositivi di alimentazione alternativa
Il settaggio del climatizzatore
I rapporti con il personale della vigilanza (presentazione e identificazione delle guardie giurate)
I controlli individuali sull’antivirus

La valutazione della formazione

La formazione deve essere valutata in base alle conoscenze teoriche effettivamente acquisite dal discente e alle abilità operative metodologiche acquisite mediante l’addestramento. L’attività di formazione tuttavia deve essere sottoposta ad una duplice valutazione:

Da parte del formatore nei confronti dei discenti
Da parte dei discenti nei confronti del formatore

Il monitoraggio della competenza e della consapevolezza

L’azienda, attraverso l’implementazione del sistema di gestione per la sicurezza delle informazioni non deve andare alla ricerca di un miglioramento generico delle potenzialità e delle capacità delle risorse umane ma deve focalizzare lo sviluppo della competenza e della consapevolezza in maniera tale che i contenuti somministrati nell’attività formativa siano strettamente correlati:

Alle policy per la sicurezza delle informazioni
Ai rischi dell’organizzazione
Agli obiettivi dell’organizzazione
Alle attività operative eseguite nei processi

I risultati formativi relativi allo sviluppo della competenza e della consapevolezza devono essere necessariamente essere espressi attraverso degli indicatori quantitativi di cui l’azienda deve monitorarne gli andamenti assicurandone la conformità agli obiettivi stabiliti.

SCARICA I DIMOSTRATVI GRATUITI DELLA MODULISTICA ISO/IEC 27001:2017

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

La formazione del personale per la sicurezza delle informazioni in azienda: come sviluppare il processo formativo per la ISO/IEC 27001:2017

Questo sito utilizza i cookies