Formazione sulla sensibilizzazione alla sicurezza ISO 27001: la guida completa (aggiornamento 2026)

La certificazione ISO 27001 è un riconoscimento che dimostra quanto la vostra organizzazione abbia a cuore la gestione e la protezione delle informazioni sensibili.

Lo standard delinea un quadro di riferimento per la gestione della sicurezza, compreso l'impegno per la sensibilizzazione e la formazione dei dipendenti.

Ma comprendere appieno cosa ci si aspetti esattamente dalla vostra organizzazione può rivelarsi complicato. La norma ISO 27001 è piuttosto corposa. E anche dopo averla letta un paio di volte, potrebbero comunque rimanere dei dubbi.

In questo articolo spiegheremo cosa prevede la norma ISO 27001 in materia di sensibilizzazione alla sicurezza, quali sono le novità introdotte dall'ultima revisione del 2022 (che entrerà pienamente in vigore nel 2026) e come è possibile implementare la formazione sulla sensibilizzazione alla sicurezza ISO 27001 all'interno della propria organizzazione. Abbiamo inoltre incluso una checklist completa per aiutarvi a prepararvi al vostro prossimo audit.

In poche parole: cos’è la norma ISO 27001?

La norma ISO 27001 è uno standard relativo ai sistemi di gestione della sicurezza delle informazioni (spesso denominati ISMS). L'obiettivo di questa norma è fornire un approccio per gestire e proteggere le informazioni sensibili.

Gli elementi fondamentali della norma ISO 27001 sono:

• Valutazione del rischio
• Sviluppo della politica
• Ruoli e responsabilità chiari
• Formazione di sensibilizzazione

Le organizzazioni che scelgono di aderire a questo standard sono spesso agenzie governative, organizzazioni sanitarie, istituzioni finanziarie e qualsiasi altra organizzazione che gestisce informazioni sensibili.

Ottenere la certificazione non è una passeggiata. Comporta un rigoroso processo di audit per verificare la conformità dell'organizzazione allo standard.

Cosa è cambiato nella norma ISO 27001 per il 2026?

La revisione della norma ISO 27001:2022 ha apportato modifiche significative allo standard. Il termine per la transizione era il 31 ottobre 2025, il che significa che a partire dal 2026 tutte le organizzazioni certificate dovranno conformarsi alla versione aggiornata. Ecco cosa è cambiato e in che modo ciò influisce sul vostro programma di sensibilizzazione alla sicurezza.

Modifiche alle disposizioni dell'allegato A

La versione precedente (ISO 27001:2013) prevedeva 114 misure di controllo suddivise in 14 categorie. La revisione del 2022 le ha raggruppate in 93 misure di controllo suddivise in 4 aree tematiche:

• Controlli organizzativi (37 controlli)
• Comandi per le persone (8 comandi)
• Controlli fisici (14 controlli)
• Controlli tecnologici (34 controlli)

Nuove misure relative alla formazione sulla sensibilizzazione

La revisione del 2022 ha introdotto 11 nuovi controlli. Alcuni di essi hanno un impatto diretto sui programmi di formazione sulla sicurezza:

• A.5.7 – Informazioni sulle minacce: le organizzazioni devono ora raccogliere e analizzare le informazioni sulle minacce. La formazione sulla sensibilizzazione dovrebbe riflettere le minacce attuali e reali, piuttosto che scenari generici.
• A.6.3 – Sensibilizzazione, istruzione e formazione in materia di sicurezza delle informazioni: si tratta ora di un controllo a sé stante (in precedenza incluso nel punto A.7.2.2). Esso richiede espressamente un programma formale di sensibilizzazione, con prove documentate della sua efficacia.
• A.8.12 – Prevenzione della fuga di dati: i dipendenti devono comprendere come si verificano le fughe di dati e come prevenirle. Questo argomento deve essere incluso nei contenuti della formazione.
• A.8.23 – Filtro web: il personale deve comprendere i motivi per cui determinati contenuti web sono soggetti a restrizioni e sapere come segnalare siti web sospetti.
• A.5.23 – Sicurezza delle informazioni nell'utilizzo dei servizi cloud: con la crescente diffusione del cloud, i dipendenti necessitano di formazione sull'uso sicuro del cloud, sulla condivisione dei dati e sulla gestione degli accessi.

Cosa significa questo per il tuo programma di allenamento

Se il tuo programma di formazione è stato elaborato sulla base della versione del 2013, devi aggiornarlo. Le azioni principali da intraprendere sono:

• Rivedere e aggiornare i contenuti formativi per includere i nuovi controlli
• Aggiungi moduli relativi all'intelligence sulle minacce, alla sicurezza nel cloud e alla prevenzione della fuga di dati
• Assicurati che la tua formazione rispecchi la nuova struttura a quattro temi
• Aggiornare i riferimenti nella documentazione, sostituendo i vecchi numeri di controllo con quelli nuovi

Cosa prevede la norma ISO 27001 in materia di sensibilizzazione alla sicurezza?

La norma ISO 27001 sottolinea l'importanza della sensibilizzazione alla sicurezza in diverse clausole.

• Clausola 7.2 - Competenza: Lo standard richiede alle organizzazioni di determinare la competenza necessaria dei dipendenti coinvolti nella sicurezza delle informazioni.
• Clausola 7.3 - Consapevolezza: Le organizzazioni devono garantire che i dipendenti siano consapevoli della politica di sicurezza delle informazioni, dei relativi obiettivi e dei loro ruoli e responsabilità nel raggiungimento di tali obiettivi.
• Clausola 8.2 - Comunicazione: La ISO 27001 sottolinea l'importanza della comunicazione interna relativa al sistema di gestione della sicurezza delle informazioni, compresa la promozione della consapevolezza della sicurezza delle informazioni.
• Clausola 8.2.2 - Informazioni Security Awareness, istruzione e formazione: Le organizzazioni devono garantire che il personale sia a conoscenza della politica di sicurezza delle informazioni e sia competente nelle aree di lavoro che riguardano la sicurezza delle informazioni.

Controlli dell'Allegato A della norma ISO 27001 relativi alla sensibilizzazione alla sicurezza

Oltre alle clausole sopra menzionate, diverse misure di controllo dell'Allegato A richiedono espressamente o traggono vantaggio dalla formazione sulla sensibilizzazione alla sicurezza. Comprendere questi aspetti ti aiuta a sviluppare un programma di formazione che copra tutte le aree soggette a verifica.

A.5.1 – Politiche in materia di sicurezza delle informazioni

La politica sulla sicurezza delle informazioni deve essere comunicata a tutti i dipendenti. La formazione deve garantire che ogni membro del team comprenda la politica, cosa comporta per il proprio lavoro quotidiano e quali sono le conseguenze di un'eventuale inosservanza.

A.6.3 – Sensibilizzazione, istruzione e formazione in materia di sicurezza delle informazioni

Questo è il controllo fondamentale della consapevolezza nella revisione del 2022. Esso richiede:

• Un programma di sensibilizzazione formale rivolto a tutti i dipendenti
• Formazione specifica per il ruolo destinata al personale con responsabilità elevate in materia di sicurezza
• Aggiornamenti periodici dei contenuti formativi per tenere conto delle nuove minacce e dei cambiamenti normativi
• Prova documentata del completamento e dell'efficacia della formazione

A.6.8 – Segnalazione degli incidenti relativi alla sicurezza delle informazioni

I dipendenti devono sapere come riconoscere e segnalare gli incidenti di sicurezza. La formazione dovrebbe includere:

• Cosa distingue un evento di sicurezza da un incidente di sicurezza
• Come segnalare gli eventi attraverso i canali appropriati
• L'importanza di segnalare tempestivamente i casi (anche i falsi positivi)
• Cosa succede dopo la presentazione di una denuncia

A.8.7 – Protezione contro il malware

Il personale deve comprendere come si diffonde il malware e come prevenire le infezioni. Gli argomenti della formazione dovrebbero includere il riconoscimento degli allegati sospetti, le buone abitudini di navigazione e l'importanza di mantenere aggiornato il software.

A.5.10 – Uso corretto delle informazioni e delle risorse

I dipendenti devono ricevere una formazione sulla politica di utilizzo corretto: cosa possono e non possono fare con i dispositivi, i dati e i sistemi aziendali. Ciò comprende le politiche relative all'uso personale, le linee guida BYOD e le procedure di trattamento dei dati.

A.8.9 – Gestione della configurazione

Sebbene si tratti principalmente di un controllo tecnico, i dipendenti (in particolare il personale IT) devono ricevere una formazione su come mantenere configurazioni sicure e comprendere perché le modifiche non autorizzate sono vietate.

Come organizzare un corso di formazione sulla sicurezza in conformità alla norma ISO 27001

La norma ISO 27001 fornisce un quadro di riferimento chiaro per aiutare le organizzazioni a gestire la sicurezza delle informazioni. Tuttavia, non specifica in modo esplicito come attuare tali programmi di sensibilizzazione alla sicurezza all'interno della propria organizzazione.

Come si fa a sapere se il proprio programma di formazione sulla sicurezza ISO 27001 è all’altezza?

Possiamo innanzitutto vedere quali sono gli aspetti su cui si concentrano i revisori ISO 27001. Durante gli audit viene valutata la conformità dell’organizzazione ai requisiti della norma ISO 27001, compresi quelli relativi alla sensibilizzazione alla sicurezza.

I revisori cercano spesso quanto segue:

• Documentazione: Avete documentato la vostra politica di sicurezza, gli obiettivi, i ruoli e i requisiti specifici relativi alla consapevolezza e alla formazione?
• Comunicazione: Potete dimostrare che i vostri dipendenti sono a conoscenza della vostra politica di sicurezza, degli obiettivi e dei loro ruoli specifici per raggiungerli?
• Programmi di formazione: Potete dimostrare che la vostra organizzazione ha implementato programmi di formazione?
• Monitoraggio e misurazione: Potete dimostrare che state monitorando e misurando l'efficacia dei vostri programmi security awareness ?

Si può decidere di impostare un proprio programma di formazione o di utilizzare una piattaforma di formazione security awareness , come ad esempio Guardey.

Con Guardey, i tuoi dipendenti affrontano cyber security settimanali cyber security che richiedono fino a tre minuti per essere completate. Le sfide coprono tutti gli argomenti rilevanti come phishing spear phishing, la frode del CEO, la sicurezza delle password e altro ancora. Imparando piccole informazioni ogni settimana, i dipendenti acquisiscono gradualmente conoscenze e security awareness .

Nella sezione dedicata ai report è possibile monitorare le prestazioni dei dipendenti e individuare gli aspetti relativi alla sicurezza che potrebbero richiedere maggiore attenzione. Ciò rende Guardey la soluzione ideale per la formazione sulla consapevolezza della sicurezza conforme allo standard ISO 27001.

→ Pianificate una dimostrazione con uno degli specialisti di cyber security di Guardey.

Lista di controllo ISO 27001 (2026)

Utilizza questa lista di controllo completa per verificare che la tua organizzazione soddisfi tutti i requisiti della norma ISO 27001. Questa lista di controllo è in linea con la revisione ISO 27001:2022 e copre tutti gli aspetti che gli auditor prenderanno in esame: dalle politiche e dalla documentazione alla formazione, al monitoraggio e alla preparazione all'audit.

1. Politica e documentazione

• La politica in materia di sicurezza delle informazioni è documentata e approvata dalla direzione
• Gli obiettivi della formazione sulla sicurezza informatica sono chiaramente definiti e in linea con gli obiettivi aziendali
• Sono stati assegnati i ruoli e le responsabilità relativi alla gestione del programma di sensibilizzazione
• Per l'anno in corso è stato predisposto un programma/calendario di formazione ufficiale
• La politica di utilizzo corretto è documentata e accessibile a tutti i dipendenti
• Le procedure di segnalazione degli incidenti sono documentate e comunicate
• È in vigore una politica di classificazione dei dati e i dipendenti ne comprendono i livelli
• Il programma di sensibilizzazione viene rivisto e aggiornato almeno una volta all'anno

2. Contenuti e argomenti della formazione

Il vostro programma di formazione dovrebbe trattare tutti i seguenti argomenti per soddisfare i requisiti della norma ISO 27001:

• Phishing e ingegneria sociale – Come riconoscere e segnalare le e-mail di phishing, gli attacchi di vishing, smishing e pretexting
• Sicurezza delle password: come creare password complesse, utilizzare i gestori di password e comprendere l'autenticazione a più fattori
• Gestione e classificazione dei dati – Come gestire i dati sensibili, i livelli di classificazione dei dati e le procedure corrette di conservazione e smaltimento
• Segnalazione degli incidenti – Come riconoscere gli eventi di sicurezza e segnalarli attraverso i canali appropriati
• Sicurezza fisica – Politica della scrivania pulita, gestione dei visitatori, stampa sicura e prevenzione dell'accesso non autorizzato
• Sicurezza nel lavoro da remoto: pratiche sicure per l'ufficio a casa, utilizzo della VPN e rischi legati al Wi-Fi pubblico
• Prevenzione del malware: come individuare gli allegati sospetti, navigare in sicurezza e mantenere aggiornati i software
• Sicurezza nel cloud – Utilizzo sicuro dei servizi cloud, migliori pratiche per la condivisione dei dati e gestione degli accessi (novità della revisione del 2022)
• BYOD e sicurezza dei dispositivi mobili – Protezione dei dispositivi personali utilizzati per motivi di lavoro
• Prevenzione della fuga di dati – Comprendere come avvengono le fughe di dati e le misure preventive (novità della revisione del 2022)
• Frodi ai danni degli amministratori delegati e compromissione delle e-mail aziendali – Come riconoscere gli attacchi di impersonificazione e verificare le richieste insolite
• Nozioni di base sulla privacy e sul GDPR – Comprendere gli obblighi relativi al trattamento dei dati personali
• IA e minacce emergenti – Rischi legati al phishing generato dall'IA, ai deepfake e ai nuovi vettori di attacco

3. Modalità e frequenza della formazione

• I nuovi assunti seguono un corso di formazione sulla sicurezza informatica durante il periodo di inserimento (entro la prima settimana)
• Tutti i dipendenti ricevono una formazione continua e regolare (almeno una volta al mese; si consigliano sessioni di micro-apprendimento settimanali)
• Sono disponibili corsi di formazione nelle lingue parlate dal vostro personale
• La formazione è accessibile da diversi dispositivi (computer, tablet, cellulare)
• Viene offerta una formazione specifica per i ruoli ad alto rischio (personale IT, dirigenti, reparto finanziario, risorse umane)
• I dirigenti e i responsabili partecipano al programma di formazione
• I contenuti formativi vengono aggiornati quando emergono nuove minacce o cambiano le politiche
• Gli appaltatori e il personale di terze parti che hanno accesso al sistema ricevono una formazione adeguata

4. Simulazioni di phishing

• Vengono effettuate regolarmente simulazioni di phishing (almeno una volta al trimestre)
• Le simulazioni riguardano diversi tipi di attacchi (phishing via e-mail, spear phishing, phishing via SMS)
• I dipendenti che cliccano su e-mail di phishing simulate ricevono un riscontro immediato e una formazione supplementare
• I risultati delle simulazioni vengono monitorati e comunicati alla direzione
• I tassi di clic mostrano una tendenza al ribasso nel tempo
• I tassi di segnalazione (dipendenti che segnalano le e-mail di phishing) vengono monitorati e sono in aumento

5. Coinvolgimento e partecipazione dei dipendenti

• I tassi di completamento della formazione vengono monitorati e superano il 90%
• Si utilizzano elementi di gamification per aumentare il coinvolgimento (quiz, classifiche, premi)
• È stato elaborato un piano di comunicazione per promuovere la consapevolezza in materia di sicurezza al di là della formazione formale
• La direzione sostiene apertamente il programma di sensibilizzazione e vi partecipa attivamente
• I dipendenti possono porre domande o segnalare eventuali problemi tramite un canale facilmente accessibile
• I comportamenti positivi in materia di sicurezza vengono riconosciuti e premiati

6. Monitoraggio, misurazione e rendicontazione

• I tassi di completamento della formazione vengono monitorati per singolo dipendente e per reparto
• I punteggi dei quiz e delle valutazioni vengono monitorati per misurare il livello di acquisizione delle conoscenze
• I tassi di clic e di segnalazione delle simulazioni di phishing vengono misurati nel corso del tempo
• Le tendenze relative agli incidenti di sicurezza sono correlate alle iniziative di formazione sulla sensibilizzazione
• Alla direzione vengono fornite relazioni periodiche sull'efficacia del programma
• KPIs are defined for the awareness program (e.g., <90% click rate, >95% completion)
• Le azioni di miglioramento vengono documentate sulla base dei risultati del monitoraggio

7. Preparazione alla revisione e documentazione

• I registri relativi alla formazione vengono conservati e sono consultabili almeno per l'ultimo ciclo di certificazione (3 anni)
• Per ogni dipendente sono disponibili attestati di frequenza
• I rapporti sulle simulazioni di phishing vengono archiviati con le date e i risultati
• I moduli di accettazione delle condizioni vengono firmati e archiviati
• I verbali delle riunioni di revisione sulla sensibilizzazione alla sicurezza vengono redatti
• Le azioni correttive derivanti da precedenti audit in materia di sensibilizzazione vengono monitorate e chiuse
• È disponibile la documentazione relativa alla revisione da parte della direzione del programma di sensibilizzazione

8. Miglioramento continuo

• Gli insegnamenti tratti dagli incidenti di sicurezza vengono integrati nei contenuti formativi
• I contenuti formativi vengono aggiornati in base alle nuove minacce e alle informazioni sulle minacce (A.5.7)
• Vengono raccolti i commenti dei dipendenti sulla qualità e la pertinenza della formazione
• Viene eseguita un'analisi annuale delle discrepanze confrontando il programma con i requisiti della norma ISO 27001
• Si prende in considerazione il confronto con gli standard del settore o con organizzazioni simili
• È stata definita la tabella di marcia del programma di formazione per i prossimi 12 mesi

Errori comuni riscontrati durante gli audit di sensibilizzazione sulla norma ISO 27001

Molte organizzazioni non superano l'audit ISO 27001 per quanto riguarda i controlli relativi alla sensibilizzazione. Ecco gli errori più comuni e come evitarli.

1. Allenarsi solo una volta all'anno

I corsi di formazione annuali rappresentano uno dei principali motivi di preoccupazione per i revisori. Una sola sessione all'anno non dimostra l'esistenza di una cultura della sensibilizzazione continua. La norma ISO 27001 richiede un programma continuativo che mantenga la sicurezza al centro dell'attenzione durante tutto l'anno. Le sessioni di micro-apprendimento settimanali o mensili sono molto più efficaci e più facili da documentare.

2. Nessuna prova di efficacia

Avere un programma di formazione non basta. Bisogna dimostrare che funziona. I revisori chiederanno dati che dimostrino che i dipendenti hanno migliorato il proprio comportamento in materia di sicurezza nel corso del tempo. Se non si è in grado di dimostrare una diminuzione dei tassi di clic sui link di phishing, un miglioramento dei punteggi dei quiz o una riduzione del numero di incidenti, il programma potrebbe essere giudicato insufficiente.

3. Formazione standardizzata

Non tutti i dipendenti sono esposti agli stessi rischi. Un membro del team finanziario che si occupa dell'elaborazione dei pagamenti necessita di una formazione diversa rispetto a uno sviluppatore o a un addetto alla reception. La norma ISO 27001 prevede una formazione specifica per ogni ruolo, che affronti i rischi specifici a cui ciascuno di essi è esposto. Una formazione generica per tutti non è sufficiente.

4. Nessuna partecipazione della direzione

Se i vertici aziendali non partecipano al programma di sensibilizzazione, i revisori se ne accorgono. La direzione non deve limitarsi a sostenere il programma, ma deve parteciparvi attivamente. Ciò dimostra il «tono dato dai vertici» richiesto dalla norma ISO 27001.

5. Contenuti obsoleti

Se il vostro materiale formativo fa ancora riferimento alle minacce del 2020 ma trascura il phishing generato dall'intelligenza artificiale, gli attacchi tramite codici QR o i rischi legati alla sicurezza del cloud, i revisori lo segnaleranno. I contenuti formativi devono riflettere le minacce attuali ed essere aggiornati regolarmente.

6. Mancanza di formazione iniziale

I nuovi assunti dispongono spesso di un periodo di prova prima di iniziare la formazione. Ciò rappresenta un rischio e costituisce un punto criticato durante gli audit. La formazione sulla sicurezza dovrebbe essere parte integrante del processo di inserimento nella prima settimana, non qualcosa che inizia mesi dopo.

7. Ignorare gli appaltatori e i terzi

Se il personale esterno ha accesso ai vostri sistemi, anche lui deve seguire un corso di sensibilizzazione. I revisori verificheranno se il vostro programma si estende a tutto il personale che ha accesso ai sistemi, non solo ai dipendenti a tempo pieno.

Come valutare l'efficacia del proprio programma di sensibilizzazione alla sicurezza

La clausola 9.1 della norma ISO 27001 richiede alle organizzazioni di monitorare, misurare, analizzare e valutare le prestazioni del SGSI, compreso il programma di sensibilizzazione. Ecco gli indicatori chiave da tenere sotto controllo.

Risultati della simulazione di phishing

Esegui regolarmente simulazioni di phishing e monitora due indicatori fondamentali:

• Tasso di clic: la percentuale di dipendenti che cliccano sul link di phishing simulato. Un buon obiettivo è inferiore al 5%. Un valore superiore al 15% indica una significativa lacuna nella formazione.
• Tasso di segnalazione: la percentuale di dipendenti che segnalano correttamente le e-mail di phishing. Si tratta probabilmente di un indicatore più importante del tasso di clic. Un tasso di segnalazione elevato dimostra che i dipendenti sono attivamente coinvolti.

Completamento della formazione e punteggi

• Tasso di completamento: obiettivo ≥ 95% in tutti i reparti. Individuare i reparti in ritardo e dare seguito alla questione.
• Punteggi delle valutazioni: monitora i punteggi medi dei quiz per argomento. I punteggi bassi su argomenti specifici indicano dove è necessaria una formazione supplementare.
• Tempo necessario per il completamento: monitora la rapidità con cui i nuovi dipendenti completano il percorso di inserimento.

Indicatori relativi agli incidenti di sicurezza

• Numero di incidenti segnalati: un aumento degli incidenti segnalati (soprattutto dei casi di quasi incidente) spesso indica una maggiore consapevolezza, non una minore sicurezza.
• Tempo medio di segnalazione: con quale rapidità i dipendenti segnalano gli incidenti di sicurezza? Una segnalazione più rapida è indice di personale meglio formato.
• Incidenti causati da errore umano: verificare se gli incidenti legati a errori umani diminuiscono nel tempo man mano che la formazione diventa più consolidata.

Indicatori di coinvolgimento

• Partecipazione volontaria: i dipendenti si impegnano oltre la formazione obbligatoria (ad esempio, leggendo le newsletter sulla sicurezza, partecipando a sessioni facoltative)?
• Punteggi dei feedback: raccogli feedback sulla pertinenza e sulla qualità della formazione. Un basso livello di coinvolgimento spesso indica che i contenuti non riscuotono successo.

Come introdurre la formazione sulla sicurezza ISO 27001 per i propri dipendenti

Una volta scelta una soluzione di formazione sulla sensibilizzazione alla sicurezza conforme alla norma ISO 27001, è il momento di presentarla ai propri dipendenti. Non è sempre un compito facile. Non tutti potrebbero cogliere immediatamente l'importanza della formazione sulla sensibilizzazione alla sicurezza, motivo per cui limitarsi a inviare loro le credenziali di accesso potrebbe non essere sufficiente.

Ecco perché è necessaria un'introduzione forte. Di seguito, abbiamo aggiunto due esempi.

EyeOn ha organizzato una settimana dedicata alla sicurezza informatica per dare il via al proprio processo di certificazione ISO 27001. Durante questa settimana, ogni giornata è iniziata con un colloquio di 15 minuti, denominato «aggiornamento sulla sicurezza». Ogni giorno era dedicato a un tema specifico della sicurezza informatica e, attraverso diverse sfide (sia su Guardey che nella vita reale), i dipendenti potevano guadagnare punti. Al termine della settimana, i dipendenti che hanno ottenuto i migliori risultati sono stati premiati con un trofeo e un piccolo regalo.

Delta Wines ha innanzitutto organizzato una simulazione di phishing . Durante questa simulazione, i dipendenti hanno ricevuto un'e-mail phishing per verificare se avrebbero cliccato sul link e lasciato informazioni personali. Ed è emerso che molti dipendenti hanno fatto proprio questo. Il responsabile IT ha condiviso i risultati finali del test phishing durante una riunione trimestrale, scioccando non pochi colleghi. Questo ha reso molto più semplice l'introduzione di Guardey come soluzione di formazione per security awareness .

Come Fendix ottiene la certificazione ISO 27001 delle organizzazioni con l'aiuto di Guardey

Fendix aiuta le aziende a ottenere la certificazione ISO 27001. Killian Houthuijzen, consulente per la sicurezza informatica presso Fendix, spiega quale ruolo riveste la soluzione di sensibilizzazione alla sicurezza di Guardey in questo processo: «Una parte importante del processo di certificazione ISO 27001 consiste nell’investire nella sensibilizzazione alla sicurezza dei propri dipendenti. Qualche tempo fa, stavamo cercando di creare la nostra versione di un corso di formazione sulla sicurezza in preparazione a ciò. Ma creare tutti quei nuovi contenuti ci avrebbe richiesto almeno 8 ore ogni singolo mese. Non è affatto efficiente.”

E prosegue: "Con Guardey, la formazione su security awareness diventa accessibile e non è necessario investire tempo nella sua creazione. Tutto quello che dovete fare è monitorare le prestazioni del vostro team, il che è facile grazie al sistema di gestione dell'apprendimento di Guardey. Ecco perché spesso consigliamo ai nostri clienti di usare semplicemente Guardey invece di fare tutto il lavoro pesante di impostare la propria formazione".

ISO 27001, NIS2 e SOC 2: confronto tra i requisiti relativi alla formazione sulla sensibilizzazione

Molte organizzazioni devono conformarsi a diversi quadri normativi in materia di sicurezza. Ecco un confronto tra i requisiti relativi alla formazione sulla sensibilizzazione previsti dai tre standard più diffusi.

La buona notizia è che un solido programma di sensibilizzazione alla norma ISO 27001 soddisfa la maggior parte dei requisiti previsti dalle normative NIS2 e SOC 2. Utilizzando una piattaforma di formazione completa come Guardey, è possibile soddisfare i requisiti di tutti e tre i quadri normativi con un'unica soluzione.

Domande frequenti sulla formazione sulla sensibilizzazione alla sicurezza ISO 27001

La formazione sulla sensibilizzazione alla sicurezza è obbligatoria ai fini della certificazione ISO 27001?

Sì. La norma ISO 27001 richiede alle organizzazioni di garantire che i dipendenti siano a conoscenza della politica sulla sicurezza delle informazioni e siano competenti negli ambiti del proprio lavoro che riguardano la sicurezza delle informazioni. La clausola 7.3 (Sensibilizzazione) e il controllo 6.3 dell'Allegato A richiedono esplicitamente un programma formale di sensibilizzazione.

Con quale frequenza i dipendenti dovrebbero seguire corsi di formazione sulla sicurezza?

La norma ISO 27001 richiede una sensibilizzazione continua piuttosto che un'iniziativa isolata. Sebbene la norma non indichi una frequenza precisa, la prassi migliore consiste nell'organizzare corsi di formazione almeno una volta al mese. I micro-corsi settimanali (come le sfide da 3 minuti di Guardey) sono considerati la soluzione ottimale perché mantengono viva l'attenzione sulla sicurezza senza sovraccaricare i dipendenti.

Quali argomenti dovrebbe trattare un corso di formazione sulla norma ISO 27001?

Come minimo, la formazione dovrebbe riguardare: phishing e ingegneria sociale, sicurezza delle password, gestione e classificazione dei dati, segnalazione degli incidenti, sicurezza fisica, sicurezza del lavoro da remoto, prevenzione del malware, sicurezza del cloud e politiche di utilizzo accettabile. La revisione del 2022 pone inoltre l'accento sull'intelligence sulle minacce, sulla prevenzione della fuga di dati e sulla sensibilizzazione al filtraggio web.

La formazione online può sostituire i corsi di sensibilizzazione alla sicurezza in presenza?

Sì. La norma ISO 27001 non prescrive un metodo specifico per lo svolgimento della formazione. Le piattaforme di formazione online come Guardey sono ampiamente accettate dai revisori, soprattutto quando forniscono prove documentate del completamento dei corsi, dei punteggi delle valutazioni e del coinvolgimento costante dei partecipanti. Molte organizzazioni ritengono che i micro-corsi online siano più efficaci delle tradizionali sessioni in aula, poiché consentono di raggiungere tutti i dipendenti in modo uniforme.

Come si dimostra di aver svolto la formazione sulla consapevolezza della sicurezza durante un audit ISO 27001?

I revisori cercheranno prove documentate, tra cui: attestati di completamento della formazione per ciascun dipendente, punteggi delle valutazioni e dei quiz, risultati delle simulazioni di phishing, moduli di accettazione delle politiche, verbali delle riunioni relative alle revisioni dei programmi di sensibilizzazione e prove della partecipazione da parte della direzione. Una piattaforma di formazione dotata di funzionalità di reporting integrate semplifica notevolmente questo processo.

I collaboratori esterni e il personale interinale devono seguire un corso di formazione sulla norma ISO 27001?

Sì, se hanno accesso ai vostri sistemi informativi o trattano dati sensibili. La norma ISO 27001 richiede che tutto il personale che potrebbe influire sulla sicurezza delle informazioni riceva un'adeguata formazione di sensibilizzazione. Ciò include appaltatori, lavoratori temporanei e fornitori di servizi esterni.

Cosa succede se non si supera la parte relativa alla sensibilizzazione di un audit ISO 27001?

Se i revisori individuano una non conformità relativa alla sensibilizzazione alla sicurezza, vi verrà segnalata una non conformità di entità minore o maggiore. Una non conformità di entità maggiore comporta la possibile sospensione della certificazione fino alla risoluzione del problema. Una non conformità di entità minore vi concede un periodo di tempo definito (in genere 90 giorni) per attuare le azioni correttive prima del prossimo audit di follow-up.

Prova la soluzione di formazione sulla sicurezza informatica ISO 27001 di Guardey

La sensibilizzazione alla sicurezza svolge un ruolo fondamentale nella protezione della vostra organizzazione dagli attacchi informatici e nel rispetto della norma ISO 27001. Se state cercando una soluzione formativa che possa essere implementata in poche ore, prendete in considerazione Guardey.

Con il processo di apprendimento gamificato di Guardey, i vostri dipendenti riceveranno micro-apprendimenti di 3 minuti ogni settimana. Nel corso del tempo, impareranno a riconoscere le minacce informatiche e ad agire di conseguenza.

Non lasciate che gli hacker vi superino in astuzia. Iniziate una prova gratuita di Guardey di 14 giorni.