La maggior parte delle aziende combatte le minacce informatiche con la tecnologia e il controllo totale sui propri dipendenti, ma la ricerca di Emmanuel Anti dimostra che l’empatia può essere molto più efficace. Nella sua tesi di dottorato presso l’Università di Vasa, studia il fenomeno della deviazione interna e spiega come prestare attenzione al fattore umano contribuisca a costruire una sicurezza informatica più resiliente e onesta.
Le minacce interne si verificano quando dipendenti, collaboratori o ex dipendenti abusano intenzionalmente o erroneamente del loro accesso ai sistemi aziendali. Il lavoro di Anti sui sistemi informativi dimostra che paura, stress, cultura aziendale, dilemmi morali ed esaurimento emotivo sono spesso alla base di tali incidenti. Questi includono non solo azioni dolose, ma anche semplici errori che possono portare a fughe di notizie e incidenti.
Secondo il ricercatore, non sempre le persone pianificano di infrangere le regole. Inviare accidentalmente un’e-mail riservata al destinatario sbagliato o cliccare su un link di phishing spesso deriva dalle stesse cause: pressione costante, scadenze, carichi di lavoro elevati e la sensazione che ammettere le proprie debolezze e chiedere aiuto non sia accettabile all’interno dell’azienda. In un simile contesto, la sicurezza passa facilmente in secondo piano rispetto al desiderio di “chiudere tutto”.
 Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀
Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮.
Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Un problema a parte è la cosiddetta “creatività deviante” dei dipendenti che trovano modi ingegnosi per aggirare la sicurezza in nome della comodità o della velocità. Conoscendo i processi interni, le persone escogitano trucchi rischiosi ma familiari: ad esempio, inviare documenti di lavoro all’email personale per completare più velocemente un’attività da casa. Il sistema potrebbe non riconoscere tali file come sensibili e bloccarne l’invio, ma sono proprio queste soluzioni alternative che aprono la porta a minacce reali.
Quando le policy di sicurezza e le misure tecniche sembrano troppo rigide e ostacolano il loro lavoro, i dipendenti iniziano a percepirle come un ostacolo piuttosto che come una protezione. Invece di una conformità consapevole, si manifestano resistenze nascoste: gli utenti cercano scappatoie, disabilitano le notifiche e ignorano i requisiti di password o autenticazione a più fattori. Il sistema appare formalmente sicuro, ma in realtà è minato dall’interno da compromessi quotidiani.
La risposta aziendale tradizionale consiste nell’implementare nuove tecnologie di controllo, inclusi sistemi basati sull’intelligenza artificiale che monitorano l’attività dei dipendenti. Tuttavia, secondo Anti, questo approccio spesso si ritorce contro. Gli algoritmi possono travisare la qualità del lavoro, premiando la velocità rispetto alla precisione: chi lavora con attenzione e cura viene percepito come “lento” dal sistema. Questo genera gradualmente un senso di ingiustizia, stanchezza e sfiducia nei confronti del datore di lavoro, il terreno ideale per la devianza interna come forma di protesta silenziosa o autodifesa.
Il ricercatore avverte che, invece di prevenire gli incidenti interni, tali strumenti a volte li incoraggiano. Le persone che si sentono costantemente monitorate e i cui sforzi vengono valutati da algoritmi basati su metriche dubbie sono più propense a nascondere gli errori, cercare soluzioni alternative e prendere le distanze dai valori aziendali. Di conseguenza, l’organizzazione riceve un resoconto roseo sul suo controllo, ma perde la cosa più importante: la fiducia.
Nella sua tesi, Anti propone un’alternativa: un modello di sicurezza empatico basato sui principi del design thinking. Invece di imporre regole dall’alto, suggerisce di coinvolgere i dipendenti nello sviluppo congiunto di policy e procedure, esplorando onestamente i loro reali bisogni, motivazioni e stati emotivi. Questo approccio ci insegna a vedere la sicurezza attraverso gli occhi di chi la vive ogni giorno, non solo attraverso le interfacce SIEM e i report SOC.
L’empatia in questo contesto non è sinonimo di debolezza, ma di uno strumento di protezione sostenibile.
Quando i dipendenti si sentono ascoltati e compresi, sono più propensi a segnalare i propri errori piuttosto che a insabbiare gli incidenti per paura di essere puniti. Le persone iniziano a percepire i requisiti di sicurezza come parte di una comprensione condivisa che hanno contribuito a creare, piuttosto che come l’ennesimo insieme di divieti assurdi. A lungo termine, sottolinea Anti, sono la fiducia e il rispetto per il fattore umano, non un ulteriore livello di sorveglianza, a offrire alle organizzazioni una reale possibilità di proteggersi dalle minacce interne.
Seguici su Google News, LinkedIn, Facebook e Instagram per ricevere aggiornamenti quotidiani sulla sicurezza informatica. Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
