Dipendenti infedeli? La cybersecurity passa dall’empatia con un approccio innovativo

La maggior parte delle aziende combatte le minacce informatiche con la tecnologia e il controllo totale sui propri dipendenti, ma la ricerca di Emmanuel Anti dimostra che l’empatia può essere molto più efficace. Nella sua tesi di dottorato presso l’Università di Vasa, studia il fenomeno della deviazione interna e spiega come prestare attenzione al fattore umano contribuisca a costruire una sicurezza informatica più resiliente e onesta.

Le minacce interne si verificano quando dipendenti, collaboratori o ex dipendenti abusano intenzionalmente o erroneamente del loro accesso ai sistemi aziendali. Il lavoro di Anti sui sistemi informativi dimostra che paura, stress, cultura aziendale, dilemmi morali ed esaurimento emotivo sono spesso alla base di tali incidenti. Questi includono non solo azioni dolose, ma anche semplici errori che possono portare a fughe di notizie e incidenti.

Secondo il ricercatore, non sempre le persone pianificano di infrangere le regole. Inviare accidentalmente un’e-mail riservata al destinatario sbagliato o cliccare su un link di phishing spesso deriva dalle stesse cause: pressione costante, scadenze, carichi di lavoro elevati e la sensazione che ammettere le proprie debolezze e chiedere aiuto non sia accettabile all’interno dell’azienda. In un simile contesto, la sicurezza passa facilmente in secondo piano rispetto al desiderio di “chiudere tutto”.

Un problema a parte è la cosiddetta “creatività deviante” dei dipendenti che trovano modi ingegnosi per aggirare la sicurezza in nome della comodità o della velocità. Conoscendo i processi interni, le persone escogitano trucchi rischiosi ma familiari: ad esempio, inviare documenti di lavoro all’email personale per completare più velocemente un’attività da casa. Il sistema potrebbe non riconoscere tali file come sensibili e bloccarne l’invio, ma sono proprio queste soluzioni alternative che aprono la porta a minacce reali.

Quando le policy di sicurezza e le misure tecniche sembrano troppo rigide e ostacolano il loro lavoro, i dipendenti iniziano a percepirle come un ostacolo piuttosto che come una protezione. Invece di una conformità consapevole, si manifestano resistenze nascoste: gli utenti cercano scappatoie, disabilitano le notifiche e ignorano i requisiti di password o autenticazione a più fattori. Il sistema appare formalmente sicuro, ma in realtà è minato dall’interno da compromessi quotidiani.

La risposta aziendale tradizionale consiste nell’implementare nuove tecnologie di controllo, inclusi sistemi basati sull’intelligenza artificiale che monitorano l’attività dei dipendenti. Tuttavia, secondo Anti, questo approccio spesso si ritorce contro. Gli algoritmi possono travisare la qualità del lavoro, premiando la velocità rispetto alla precisione: chi lavora con attenzione e cura viene percepito come “lento” dal sistema. Questo genera gradualmente un senso di ingiustizia, stanchezza e sfiducia nei confronti del datore di lavoro, il terreno ideale per la devianza interna come forma di protesta silenziosa o autodifesa.

Il ricercatore avverte che, invece di prevenire gli incidenti interni, tali strumenti a volte li incoraggiano. Le persone che si sentono costantemente monitorate e i cui sforzi vengono valutati da algoritmi basati su metriche dubbie sono più propense a nascondere gli errori, cercare soluzioni alternative e prendere le distanze dai valori aziendali. Di conseguenza, l’organizzazione riceve un resoconto roseo sul suo controllo, ma perde la cosa più importante: la fiducia.

Nella sua tesi, Anti propone un’alternativa: un modello di sicurezza empatico basato sui principi del design thinking. Invece di imporre regole dall’alto, suggerisce di coinvolgere i dipendenti nello sviluppo congiunto di policy e procedure, esplorando onestamente i loro reali bisogni, motivazioni e stati emotivi. Questo approccio ci insegna a vedere la sicurezza attraverso gli occhi di chi la vive ogni giorno, non solo attraverso le interfacce SIEM e i report SOC.

L’empatia in questo contesto non è sinonimo di debolezza, ma di uno strumento di protezione sostenibile.

Quando i dipendenti si sentono ascoltati e compresi, sono più propensi a segnalare i propri errori piuttosto che a insabbiare gli incidenti per paura di essere puniti. Le persone iniziano a percepire i requisiti di sicurezza come parte di una comprensione condivisa che hanno contribuito a creare, piuttosto che come l’ennesimo insieme di divieti assurdi. A lungo termine, sottolinea Anti, sono la fiducia e il rispetto per il fattore umano, non un ulteriore livello di sorveglianza, a offrire alle organizzazioni una reale possibilità di proteggersi dalle minacce interne.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La Redazione di Red Hot Cyber fornisce aggiornamenti quotidiani su bug, data breach e minacce globali. Ogni contenuto è validato dalla nostra community di esperti come Pietro Melillo, Massimiliano Brolli, Sandro Sana, Olivia Terragni e Stefano Gazzella. Grazie alla sinergia con i nostri Partner leader nel settore (tra cui Accenture, CrowdStrike, Trend Micro e Fortinet), trasformiamo la complessità tecnica in consapevolezza collettiva, garantendo un'informazione accurata basata sull'analisi di fonti primarie e su una rigorosa peer-review tecnica.