Determinante è, pertanto, procedere alla mitigazione del rischio connesso ad errori o azioni umane, implementando azioni volte all’innalzamento del livello di consapevolezza del personale in relazione alla gestione e all’utilizzo dello strumento informatico e, così, aumentando il bagaglio di competenze del personale stesso in materia di sicurezza informatica.

È dunque di fondamentale importanza, specie all’aumentare delle dimensioni dell’organizzazione, predisporre un piano di formazione adeguato, allo scopo di educare, formare e sensibilizzare il personale alle tematiche della cybersecurity.
Esempi di attività formative sono: la partecipazione a corsi, l’affiancamento a soggetti più esperti, la rotazione del personale di modo da esporlo a più attività, ecc.
Inoltre, la formazione non può seguire un approccio one-size-fits-all: nell’individuazione, pianificazione e implementazione delle attività formative, è infatti opportuno definire correttamente i destinatari, anche suddividendo per mansioni e competenze (ad esempio, un IT necessiterà di formazione alla cybersecurity diversa rispetto al personale amministrativo) o per età.