Arriva il giorno dell’audit e apri il foglio che hai preparato durante tutto l’anno. Corsi assegnati, corsi completati, una colonna in verde e un totale che rassicura. Lo giri sul tavolo aspettando che il numero parli da sé.
Ma chi è venuto a verificare quasi non guarda il totale. Una percentuale aggregata gli dice poco, perché il suo compito non è confermare che hai adempiuto, ma capire come lo sai. Per questo fa domande concrete, una dopo l’altra, sulle persone che stanno dietro quel numero. Sono quattro, e il foglio non risponde a nessuna con la solidità che un audit richiede.
A chi dovevi erogare la formazione?
La prima domanda va al denominatore: questo elenco è tutta la tua organizzazione o solo la parte che qualcuno ha caricato? Un foglio contiene chi si è deciso di includere a un certo punto, e quella decisione quasi mai coincide con l’azienda di oggi. Restano fuori chi è entrato dopo, le aree meno visibili per la sicurezza, i fornitori con accesso, chi ha cambiato ruolo.
C’è una sfumatura che complica ancora di più le cose: il perimetro non è unico, dipende da cosa stai dimostrando. Una norma che richiede formazione tecnica definisce un perimetro ristretto, per esempio il personale di sistemi e sicurezza. Una policy interna che tutti devono leggere e accettare ne definisce un altro, l’azienda intera. Sulla stessa organizzazione convivono più denominatori a seconda dell’obbligo, e un unico foglio raramente li distingue.
Per questo chi verifica non accetta l’elenco come se fosse il perimetro. Ti chiede di dimostrare come è definito: da dove viene, ogni quanto si rivede, cosa succede quando entra qualcuno di nuovo. E lì il foglio resta senza risposta, perché conosce il proprio elenco, non la tua organizzazione. È lo stesso meccanismo per cui la tua percentuale di conformità può segnare il 100% formando dieci persone su duecento: il numero è esatto sul perimetro sbagliato.
Da quando è coperta ogni persona?
La seconda domanda cambia scala. Non chiede del gruppo, chiede dell’individuo: da quale data è formata ogni persona di questo elenco? Un foglio di solito conserva un unico periodo, quello della campagna annuale, come se tutti fossero entrati lo stesso giorno e fossero rimasti lì senza cambiamenti.
L’organizzazione non funziona così. Una persona ha completato la formazione a febbraio e un’altra è entrata a settembre. Una terza ha cambiato area a maggio e oggi tratta dati che la sua formazione precedente non copriva. Chi verifica vuole vedere quella linea temporale per persona, non un’etichetta d’anno appiccicata all’intero gruppo. Il foglio offre una foto scattata una volta; la domanda esige un film che si aggiorna da solo man mano che le persone entrano, escono e si spostano.
Quella formazione è ancora valida oggi?
La terza domanda è quella che mette più a disagio, perché tocca qualcosa che il foglio non registra mai: la formazione scade. Un corso completato quattordici mesi fa figura come fatto per sempre nella colonna dei completati, anche se il suo contenuto non riflette più le minacce attuali né le policy vigenti.
Chi verifica lo sa e chiede diretto: ciò che questa persona ha imparato conta ancora oggi? Non basta che l’abbia fatto una volta. È esattamente la conformità che crolla a marzo senza che nessuno se ne accorga: il foglio resta verde mentre la copertura reale scade in silenzio. Rispondere bene a questa domanda obbliga a trattare ogni formazione con una data di inizio e una di scadenza, e a far sì che la scadenza riapra l’attività invece di lasciarla chiusa per abitudine.
Dov’è l’evidenza di ogni persona?
La quarta domanda è quella che separa un report da una prova. Chi verifica sceglie un nome dall’elenco, uno qualsiasi, e chiede di vedere cosa ha completato quella persona, quando, e con quale attestazione di averlo effettivamente fatto. Una percentuale non serve, perché una percentuale è una conclusione, non un’evidenza.
La scena diventa scomoda quando l’attestazione va cercata. Qualcuno apre il foglio, incrocia le email del fornitore di formazione, fruga in una cartella condivisa e prova a ricostruire in pochi minuti ciò che avrebbe dovuto essere conservato dall’inizio. L’evidenza vive a livello di persona: chi, quale contenuto, in quale data, con quale registro di lettura e accettazione. Un foglio può reggere un totale, ma raramente regge quel dettaglio senza che qualcuno lo componga a mano, e una ricostruzione dell’ultimo momento è proprio ciò che un audit non vuole vedere. La risposta solida è l’opposto: che l’evidenza per utente esista già, conservata insieme al programma e pronta da esportare quando qualcuno la chiede, non costruita su richiesta.
Il foglio risponde alla domanda che nessuno ti fa
Le quattro domande condividono una radice. Il foglio è progettato per rispondere quanti, e chi verifica chiede chi, da quando, se vale ancora e mostramelo persona per persona. Sono dimensioni diverse, e nessuna si risolve aggiungendo colonne a un Excel: si risolvono cambiando da dove arriva il dato.
La conformità della Cybersecurity awareness smette di essere fragile quando la si legge come uno stato vivo e non come un documento annuale. Il perimetro si deriva dalla directory che già usi e si aggiorna da solo; ogni formazione porta con sé la propria data e la propria validità; e l’evidenza resta registrata per persona fin dal primo giorno. È così che la intendiamo in SMARTFENSE, come parte del rischio umano che si misura su tutta l’organizzazione, non su un campione scelto a mano.
Se vuoi vedere la conformità del tuo programma rispondere a queste quattro domande sul tuo perimetro reale, puoi conoscere la piattaforma o scriverci per una demo sui tuoi dati.
Lascia un commento