Da anni ormai, il settore della sicurezza informatica si trova alle prese con una scomoda contraddizione.

I dipendenti vengono spesso descritti come il rischio maggiore per le organizzazioni, eppure la maggior parte delle aziende non ha ancora messo a punto i sistemi, le strutture di supporto o i modelli operativi necessari per aiutare le persone ad agire in modo sicuro negli ambienti in cui lavorano.

Questa tensione è proprio al centro delle difficoltà che molti CISO stanno affrontando. Secondo Ricerca MetaCompliance, Il 68% sostiene che i dipendenti rappresentino il rischio maggiore per la sicurezza informatica della propria organizzazione. Allo stesso tempo, il 75% ritiene che i propri dipendenti non comprendano appieno il ruolo che svolgono nella prevenzione degli incidenti, mentre il 77% ammette di non disporre di un modello chiaro per ridurre il rischio informatico legato al fattore umano.

È chiaro che si riconosce l’importanza del rischio informatico legato al fattore umano, ma quello che manca è la sicurezza su come gestirlo in modo efficace.

Perché il senso di colpa continua a persistere

Quando si verifica un incidente informatico, è naturale che le organizzazioni si concentrino sul momento visibile in cui qualcosa è andato storto.

Un dipendente ha cliccato su un link dannoso. Qualcuno ha condiviso informazioni riservate con la persona sbagliata. Un deepfake è riuscito a eludere i controlli interni.

L’individuo diventa il punto focale perché le azioni umane sono più facili da individuare rispetto alle carenze operative che le stanno alla base. Questo crea una narrazione più semplice, in cui il problema viene attribuito a scelte sbagliate piuttosto che alla cultura aziendale, alla progettazione dei processi, alle priorità contrastanti o alla frammentazione delle responsabilità all’interno dell’azienda.

Molte organizzazioni continuano inoltre ad agire secondo quella che si potrebbe definire la logica dell’“anello più debole”. Le persone sono considerate imprevedibili rispetto ai controlli tecnici, quindi i programmi di sicurezza puntano naturalmente a ridurre gli errori dei dipendenti attraverso la formazione, la sensibilizzazione e l’applicazione delle politiche aziendali.

La sfida sta nel fatto che i dipendenti non lavorano in ambienti controllati e non sono tutti esposti agli stessi rischi o alle stesse pressioni che vengono solitamente illustrati nella maggior parte dei programmi di formazione sulla sicurezza. Un addetto alla contabilità che gestisce le fatture deve affrontare minacce molto diverse rispetto a uno sviluppatore che usa strumenti di intelligenza artificiale, a un dirigente che viaggia spesso o a un team dell’assistenza clienti che gestisce dati sensibili a ritmo serrato.

Le decisioni in materia di sicurezza vengono prese nel bel mezzo del lavoro quotidiano, mentre i dipendenti cercano di conciliare priorità contrastanti e spesso devono decidere in pochi secondi, sotto pressione e senza disporre di tutte le informazioni necessarie.

È in parte per questo che la tendenza a dare la colpa agli altri è durata così a lungo. Gli errori umani sembrano concreti e immediati, mentre le carenze organizzative sono più difficili da misurare e spesso coinvolgono più team.

Perché dare la colpa agli altri non riduce il rischio

Dare la colpa a qualcuno raramente cambia il comportamento in modo significativo o duraturo. La maggior parte dei dipendenti non crea rischi di proposito. Anzi, molti cercano di fare la cosa giusta pur lavorando in contesti che rendono difficile mantenere un comportamento sicuro.

Quando le organizzazioni si concentrano sulle attività di sensibilizzazione alla sicurezza senza considerare il contesto più ampio in cui operano i dipendenti, la formazione sulla sicurezza diventa qualcosa che le persone devono semplicemente portare a termine, anziché uno strumento che sostenga davvero il processo decisionale nei momenti di alto rischio.

La nostra ricerca suggerisce che i CISO stanno diventando sempre più consapevoli di questo divario. L’81% ritiene che la formazione sulla sicurezza fallisca perché risulta troppo generica per essere rilevante a livello personale, mentre l’83% afferma che potrebbe ridurre più rapidamente il rischio informatico legato al fattore umano se disponesse di metodi migliori per stabilire chi ha bisogno di quale intervento e quando.

Allo stesso tempo, solo il 24% delle organizzazioni adotta un approccio maturo e integrato alla gestione dei rischi legati alle risorse umane e nessuna ha dichiarato di fornire contenuti di sensibilizzazione dinamici e su misura per i rischi specifici che i dipendenti affrontano ogni giorno.

Questo divario è importante perché la consapevolezza ha i suoi limiti se i sistemi circostanti rimangono immutati.

I dipendenti possono anche capire i principi di sicurezza in teoria, ma metterli in pratica nelle situazioni reali diventa molto più difficile quando il carico di lavoro è elevato, i processi non sono chiari o le pressioni operative privilegiano la rapidità a scapito della prudenza.

Incolpare gli altri porta anche a conseguenze culturali indesiderate. I dipendenti diventano più restii a segnalare errori o a esprimere preoccupazioni se temono critiche o ripercussioni. Col tempo, questo indebolisce la fiducia tra i team di sicurezza e il resto del personale, rendendo più difficile individuare i rischi.

La scienza comportamentale alla base del rischio informatico umano

Uno dei cambiamenti più significativi in atto nel campo della sicurezza informatica è la crescente consapevolezza che il comportamento sia influenzato dall’ambiente.

È raro che le persone prendano decisioni senza tener conto del carico di lavoro, della cultura aziendale, degli incentivi, degli stili di comunicazione o della pressione operativa. Le scienze comportamentali hanno dimostrato che, quando sono sotto stress o in condizioni di sovraccarico cognitivo, gli esseri umani tendono a privilegiare la comodità, la rapidità e l’abitudine.

Questo è importante perché molte aziende si aspettano che i dipendenti riescano a individuare minacce sempre più sofisticate, pur operando in contesti che rendono più difficile prendere decisioni con la dovuta attenzione.

L’intelligenza artificiale sta rendendo questa sfida ancora più impegnativa. Ai dipendenti viene ora richiesto di riconoscere e-mail di phishing altamente personalizzate e tattiche di ingegneria sociale in continua evoluzione, pur continuando a lavorare in modo rapido ed efficiente.

La nostra ricerca ha rilevato che il 46% dei CISO che si sentono meno sicuri nella gestione dei rischi informatici legati al fattore umano rispetto a 12 mesi fa indica l’ingegneria sociale basata sull’intelligenza artificiale come fattore chiave. Gli attacchi stanno diventando più convincenti, più mirati e molto più difficili da individuare nel flusso del lavoro quotidiano.

Il 78% dei CISO ha affermato che i vertici aziendali non comprendono appieno i rischi per la sicurezza rappresentati dai dipendenti. Questo divario crea una situazione difficile in cui la responsabilità di ridurre il rischio informatico legato al fattore umano viene scaricata sui singoli, senza prestare sufficiente attenzione ai fattori organizzativi più ampi che influenzano il comportamento.

La realtà è che i dipendenti sono fortemente influenzati dai sistemi che li circondano. Se i flussi di lavoro sono troppo complessi, le procedure di segnalazione non sono chiare o la produttività viene costantemente privilegiata rispetto alla sicurezza, le persone adattano naturalmente il proprio comportamento di conseguenza.

Adottare comportamenti sicuri diventa più facile quando le organizzazioni li rendono rilevanti e li sostengono nell’ambito del lavoro quotidiano.

Come si presenta un modello basato sul supporto

Le organizzazioni più lungimiranti stanno iniziando ad affrontare il rischio informatico legato alle persone in modo diverso.

Anziché considerare i dipendenti come una fonte di rischio da tenere sotto controllo, stanno iniziando a vederli come parte integrante di un ecosistema di sicurezza più ampio che ha bisogno di supporto e rafforzamento costanti.

Questo cambia completamente il modo in cui le organizzazioni concepiscono la formazione sulla sicurezza.

Invece di affidarsi a campagne generiche e di ampio respiro, applicate in modo uniforme in tutta l’azienda, i team di sicurezza stanno passando ad approcci più contestualizzati e basati sul comportamento. Infatti, l’81% dei CISO concorda sul fatto che la soluzione sia un targeting più mirato, non una maggiore formazione, mentre l’83% afferma che potrebbe ridurre più rapidamente il rischio informatico legato al fattore umano se disponesse di metodi migliori per stabilire chi ha bisogno di quale intervento e quando.

La formazione sta diventando sempre più specifica per ogni ruolo e più in linea con l’esposizione reale al rischio. Tuttavia, molte organizzazioni hanno ancora difficoltà a fare chiarezza su questo aspetto: il 76% dei CISO afferma infatti che non è ancora chiaro quali interventi funzionino meglio per i diversi ruoli o profili di rischio.

Queste organizzazioni stanno inoltre ponendo grande attenzione alla misurazione e alla visibilità. Vogliono capire dove si concentra il rischio informatico legato al fattore umano, quali comportamenti comportano una maggiore esposizione e dove è necessario un supporto aggiuntivo.

È proprio qui che la gestione del rischio legato alle persone sta assumendo un’importanza sempre maggiore.

Noi di MetaCompliance vediamo che le organizzazioni stanno andando oltre le semplici attività di sensibilizzazione per orientarsi verso strategie più mature che combinano analisi comportamentali, interventi mirati e una riduzione misurabile del rischio. L’attenzione si sposta dal dimostrare che la formazione è stata completata al capire se i comportamenti sicuri stanno migliorando nel tempo.

Questo richiede anche una maggiore coordinazione tra i team di sicurezza, risorse umane, dirigenza e operativi. Il rischio informatico legato al fattore umano non può ricadere interamente sui reparti di sicurezza, visto che il comportamento dei dipendenti è influenzato dalla cultura aziendale, dai sistemi, dalla comunicazione e dalle priorità aziendali.

Le aziende che stanno facendo i progressi maggiori sono quelle che si pongono domande diverse. Invece di concentrarsi solo sul motivo per cui i dipendenti hanno commesso degli errori, stanno analizzando quali condizioni abbiano reso più probabile che quegli errori si verificassero in primo luogo.

Il rischio informatico legato alle persone richiede un approccio diverso

Il rischio informatico legato al fattore umano non sta scomparendo. Anzi, sta diventando sempre più complesso e sempre più legato alle operazioni aziendali quotidiane.

Le organizzazioni che continuano a ricorrere all’attribuzione di colpa come risposta principale alle minacce informatiche potrebbero avere difficoltà a compiere progressi significativi, perché la colpa non offre una linea guida per migliorare.

Le organizzazioni che cresceranno più in fretta saranno quelle che smetteranno di vedere i dipendenti come un problema da risolvere e inizieranno a considerare il rischio informatico legato alle persone come una sfida comune da affrontare insieme.

Perché dare la colpa non è un modo per controllare.

Vuoi scoprire tutti i risultati?

Scarica la versione completa “Ripensare il rischio informatico umano” per scoprire come 200 CISO in tutta Europa stanno ripensando la sensibilizzazione alla sicurezza, il rischio comportamentale e il futuro della gestione del rischio umano.