La cybersicurezza dipende da noi: motiviamo i dipendenti a difendersi

La digitalizzazione rappresenta una grande opportunità per le aziende e la pubblica amministrazione, ma allo stesso tempo comporta anche nuovi rischi. La sicurezza informatica diventa quindi sempre più importante e deve essere affrontata a 360 gradi, coinvolgendo tutti i componenti di un’organizzazione, a ogni livello.

Fin qui nulla di nuovo, verrebbe da pensare. Ma il tema, per essere ben compreso, deve essere osservato in ogni suo aspetto. Digitalizzazione, oggi, non vuol dire solamente tecnologie ma anche interazione tra queste e l’essere umano. Un fattore che resta determinante. A fornire tutta una serie di chiavi di lettura è Marco Strano, psicologo e criminologo, la cui analisi si estende anche al mondo della cybersecurity: «Sì, sono le persone l’elemento fondamentale della sicurezza informatica, anche se le tecnologie ovviamente svolgono un ruolo importante» esordisce.

«Qualsiasi sistema di sicurezza - evidenzia Strano - deve consentire un accesso per poter lavorare, ci deve essere un certo livello di fruibilità. Questa fruibilità fa sì che ci sia una sorta di permeabilità del sistema, in senso positivo. Oltre certi livelli di sicurezza sarà molto difficile arrivare, quindi una parte della sicurezza sarà comunque ancora demandata a coloro che utilizzano il sistema».

Ma attenzione: non basta la “semplice” formazione dei dipendenti sui temi della security per potersi dire soddisfatti. «La formazione altro non è che un trasferimento di informazioni alle persone. Molti lavoratori delle aziende moderne già conoscono le problematiche di sicurezza e come dovrebbero comportarsi. La formazione fine a sé stessa è una soluzione che può apparire anche come uno scarico di responsabilità: tu lavoratore sei stato formato; quindi, in caso di problemi verrò a chiederti conto». Quello che serve è, piuttosto, ciò che Strano definisce una "coscientizzazione".

Per "coscientizzazione" si intende il fatto che le persone si sentano responsabili e siano motivate al rispetto delle norme di sicurezza: «Per formare le persone non basta trasferire le informazioni, motivarle è un lavoro più complesso. Per questo – spiega Strano - propongo anche l'uso degli psicologi, che sono gli unici professionisti in grado di motivare in maniera scientifica le persone al rispetto delle norme di sicurezza».

Le aziende moderne, e non solo le aziende ma anche la pubblica amministrazione, hanno una responsabilità nella sicurezza di tipo condiviso: «Fino alla civiltà analogica, direi fino all’inizio anni '90, la sicurezza era di tipo verticistico, si faceva in modo che i dipendenti applicassero le regole imposte dall’alto. Ora, con la nuova organizzazione del lavoro, questo modello non è più utilizzabile». Il singolo lavoratore che si allontana con il laptop non può essere controllato direttamente dal management ma deve essere responsabile.

Questa responsabilità diffusa fa sì che ogni singola persona diventi un piccolo responsabile della sicurezza di sé stesso e dell'azienda. Nella cultura anglosassone ci si appoggia alle checklist, mentre noi italiani siamo più creativi e meno inclini, in senso positivo, a rispettare alcune policy individuali fatte di checklist.

Dovremo andare verso un cambio di cultura della sicurezza, perché ogni singolo dipendente e componente ha la stessa possibilità di vanificare l'intero sistema di sicurezza dell'organizzazione. «Anche nei corsi che tengo – prosegue Marco Strano – spiego che nella psicologia moderna ci sono strumenti per misurare il grado di motivazione rispetto alle misure di sicurezza».

«Il futuro ci porterà a parlare sempre più di motivazione. E questo non è un lavoro da informatici, ma da psicologi. Statisticamente, nella grande maggioranza delle violazioni delle norme di sicurezza, alla base c'è una prevalenza di personale non motivato e insoddisfatto. Una buona gestione delle risorse umane va di pari passo con la sicurezza, una cosa che può sembrare anomala ma che al contrario non lo è: l’impostazione del passato – chiude il criminologo - non funziona più».