Cybersecurity aziendale, come evitare gli errori comuni?

 

Molto poco sino ad ora s’è fatto in due aree principali: il monitoraggio della propensione alla sicurezza dei dipendenti stessi e l’implementazione di set dinamici di minacce e vulnerabilità prese in considerazione nell’analisi dei rischi.

Per ciò che riguarda la prima area – sulla quale ci soffermeremo in quest’occasione – è innanzitutto necessario prendere coscienza che i monitoraggi tradizionalmente compiuti sul personale partono tutti dal presupposto che le regole, una volta divulgate attraverso la formazione e la notifica di istruzioni operative, siano necessariamente rispettate. Ed effettivamente così dovrebbe essere.

Ma nella pratica – e possiamo tornare ancora una volta a citare il fenomeno degli insiders, ad esempio – sappiamo che non sempre succede. Quindi meglio spostare l’attenzione dalla misurazione dell’efficacia della formazione e della percentuale di copertura delle nuove circolari verso parametri più concreti, indicativi e soprattutto oggettivi.

Le persone possono adottare comportamenti poco propensi alla sicurezza, oppure decidere di violare le norme stabilite, per differenti ragioni da distribuire su una scala di intenzionalità. Ad esempio possono avere impatti significativi sulla sicurezza questioni personali di disagio familiare, che si manifestano sotto forma di distrazione al lavoro, producendo errori involontari, oppure questioni di disagio economico, che conducono – nei casi più estremi – alla violazione interna di regole e sistemi per finalizzare una frode contro l’azienda per la quale si lavora.

Al riguardo manca però un metodo (i criteri) del monitoraggio condivisibile tra le organizzazioni anche appartenenti a differenti settori di business e, perché no, in ambito internazionale. La pratica alternativa più diffusa ricade sul buon senso e memoria – due parametri troppo soggettivi per essere accettabili – di qualche scrupoloso uomo dell’ HR non travolto dalle questioni amministrative.

Sarebbe invece addirittura ipotizzabile, come ormai da anni succede per le società – valutabili per affidabilità secondo metodologie di classificazione condivise e basate su parametri di legalità, allineamento agli adempimenti fiscali, solidità economica ed altro – prevedere punteggi ad hoc sulla sicurezza anche per i dipendenti. Questi potrebbero per giunta essere storicizzati ed aggiornati, sulla base di criteri oggettivi e condivisi, dalle differenti società con le quali una persona interagisce durante la propria carriera, configurando una base dati univoca ed attendibile.

Ma perché questo meccanismo funzioni veramente è necessario introdurre un ulteriore elemento: quello della disponibilità reciproca premiante. Il dipendente si impegna a dichiarare preventivamente eventuali debolezze del momento e l’organizzazione a supportarlo in termini organizzativi sul lavoro ed in termini economici attraverso ragionevoli agevolazioni possibili. Cosa che per altro già avviene in gruppi di una certa dimensione, senza però lasciare una traccia storica che consenta di verificare l’efficacia delle azioni intraprese dall’azienda a supporto del dipendente né mettere in evidenza comportamenti più o meno consapevoli e security oriented di alcuni dipendenti piuttosto che altri.

Questo ragionamento, seppur dimostrando in modo inequivocabile il vincolo che si instaura tra il tema della sicurezza e quello della responsabilità sociale d’impresa, evidenzia però chiare difficoltà d’applicazione in termini normativi, soprattutto per ciò che concerne la tutela delle parti. Immaginiamo per un momento quali situazioni paradossali (e catastrofiche) potrebbero venirsi a configurare: un’azienda che utilizza quanto dichiarato da un dipendete per licenziarlo invece di dargli una mano, un dipendente che dichiara un disagio pur di accedere ad un trattamento temporaneo privilegiato ai danni dell’organizzazione che intende supportarlo. E resta poi da definire anche quale possa essere un’agevolazione tanto convincente da indurre un dipendente ormai corrotto (con evidenti vantaggi economici) a fare retromarcia, a confessare un mea culpa. Ammesso poi che possa sussistere un meccanismo del genere in caso di reato.

Essendo impossibile prevedere in tempi celeri un’ipotesi in ambito di contrattazione collettiva nazionale, ci sarebbe da auspicare che almeno possa avere luogo qualche esperimento in ambito di contrattazione collettiva aziendale. Ma anche qui c’è da chiedersi se i sindacati siano preparati ad affrontare una cooperazione in tal senso invece dei continui bracci di ferro ai quali sono tradizionalmente più avvezzi.

Riassumendo ci sono una miriade di ostacoli a questo progetto. L’azienda ci guadagnerebbe oppure sarebbe solo beneficienza? I professionisti della sicurezza e della responsabilità sociale (compresi legislatore e sindacati) parlano due lingue distinte e le competenze per tradurle sono sufficienti? Come gestire la scandalosa minaccia – più che verosimile, considerando gli eventi truffaldini ai quali ci ha abituato il nostro bel Paese – che il mondo delle “certificazioni fasulle”, degli “amichevoli aggiustamenti” e dei “meccanismi facilitatori” invadano anche questo settore? Chi si prenderebbe l’onere di gestire tecnicamente un database tanto sensibile e a quale prezzo? E chi sorveglierebbe in modo indipendente che alla teoria corrisponda la pratica?

Concludo chiedendomi se non sia solo utopia, se veramente non vi sia la possibilità di realizzare questo disegno. Se non esista qualche azienda volenterosa che si azzardi per lo meno, in collaborazione con associazioni e università, a cercare di individuare in campo i primi criteri oggettivi di una valutazione condivisa.

Una traccia che sappia raccontare l’orientamento alla sicurezza delle persone, la loro capacità di ammettere eventuali difficoltà del momento, tutelando l’azienda da inutili perdite economiche, il loro livello di consapevolezza con un approccio orientato alla gestione collettiva del rischio (aziende e dipendenti insieme)  piuttosto che ad un modello d’interesse individuale.

Related Posts

Ultime news