RISORSE UMANE

Cosa abbiamo imparato dal Covid-19. Anche per la cybersecurity

Il fattore umano e la formazione multidisciplinare sono strategici per affrontare le sfide della sicurezza informatica

Le persone possono fare la differenza sempre e dall’essere soggetti vulnerabili, possono rappresentare l’unico determinante punto di forza, a patto di prepararle e comunicare con loro adeguatamente. Questo è stato osservato chiaramente durante la pandemia e vale anche nella Cybersecurity. Se in parte era già noto, oggi tutto questo è stato ulteriormente provato.

Ne parliamo con Isabella Corradini, psicologa e criminologa, docente e Direttrice del Centro Ricerche Themis.  

Cosa ha potuto osservare con i suoi colleghi in relazione al periodo di isolamento durante la pandemia?

Parlerei di un isolamento con conseguente distanziamento fisico, ma non sociale. Anzi, gli strumenti digitali ci hanno salvato dal punto di vista della socialità, consentendoci di acquisire una consapevolezza sull’importanza di questi strumenti come supporto nella quotidianità e nel mantenimento delle relazioni. Mi ha colpito nei primi giorni la serie di video con i caroselli dai balconi, con quel tono di “colore e folclore” orientato alla condivisione e sintetizzato nel messaggio “Uniti ce la faremo, andrà tutto bene”. A partire da quel momento io stessa ho consigliato di mantenere una sorta di quotidianità nell’esercizio fisico, nel rispetto degli orari rispetto al piano della giornata. Infatti, senza riferimenti ci si può demotivare se non anche deprimere. Invece, pensare in termini di progettualità è utile nel day-by-day, ma anche allo sviluppo di piani futuri. Psicologicamente tutto questo è molto importante e permette di allontanare l’ansia e i pensieri negativi. E arriviamo alla resilienza perché è proprio in momenti come questi che si dimostra quanto siamo resilienti. Lo possiamo attribuire ad individui, comunità, imprese. Individualmente o come organizzazione è cruciale la possibilità di fare fronte a situazioni difficili imparando dall’esperienza, soprattutto quella di tipo emergenziale e legata ad un problema serio.

Perché la resilienza è un concetto importante fine a sé stesso e maggiormente in relazione all’ambito pandemico e alla cybersecurity?

Non è detto che tutti l’abbiamo maturata, ma imparare dalle emergenze è fondamentale. La resilienza sviluppata in un momento di crisi è la cassetta degli attrezzi per il proseguimento delle attività. Chi l’ha maturata e si è reso conto della propria resilienza ha raggiunto il livello di autoconsapevolezza, che è sempre un punto di partenza fondamentale per qualsiasi percorso. Se applichiamo questo approccio alla cybersecurity, allora significa che anche le organizzazioni dovrebbero prendere esperienza da quanto accaduto per poi prepararsi in modo resiliente al prossimo futuro. Ovvero le organizzazioni devono rendersi consapevoli che possono essere coinvolte in una situazione critica e quindi preventivamente dovrebbero creare progetti di cyber resilienza, considerando come componente fondamentale quella del fattore umano. Solitamente a questa componente ci si riferisce con termini come “vulnerabilità del fattore umano”, “anello debole”, ma se adeguatamente preparato questo “fattore umano” può diventare un punto di forza. Citiamo la cyber resilienza intendendo il saper reagire; quindi il personale deve essere formato e addestrato per operare correttamente in una situazione di crisi. si può partire con la sensibilizzazione a mezzo awareness, ma non basta avere solo avere l’informazione, è necessario anche comportarsi coerentemente alla formazione ricevuta. In questo senso la cybersecurity awareness come leva per un cambio dei comportamenti e necessaria per sedimentare e interiorizzare il cambiamento.

Perché nelle organizzazioni il fattore umano sembra essere meno pronto in tema cybersecurity?

Perché il fattore umano è quello in cui si investe meno e quando si investe si investe male. Come “una patch di security” malamente applicata in ottica umana. Si deve pensare a dei percorsi di formazione e non a soluzioni puntuali erogate come una giornata singola. In questo senso è necessario ragionare in ottica progettuale. Per gestire il cambiamento si deve avere una idea del processo e sono cruciali le competenze.  Ma non parliamo di tecnicismi bensì competenze relative alle scienze sociali e al comportamento umano. Si deve lavorare sulle dinamiche comportamentali singole e di gruppo per realizzare il tema della preparazione nella cybersecurity coniugata al benessere sui luoghi di lavoro.

Come si può favorire la cultura della cybersecurity nelle organizzazioni? 

Per farlo è necessario mettere al centro le persone e creare ambienti di lavoro sani e collaborativi.  Lavorando su questo tipo di ambienti si conseguono ricadute positive anche nella cybersecurity. Le dinamiche di team sono importantissime. Se non vengono considerate o considerate accessorie, manca una componente. Nel mio libro “Building a Cybersecurity Culture in Organizations” ho raccolto circa venti anni di esperienza nell’ambito della sicurezza iniziando dalla safety, passando per la sicurezza fisica e approdando infine alla cybersecurity. Ho voluto rappresentare una vision della cybersecurity focalizzandomi e partendo dal concetto di cultura perché i termini hanno valore. Ho parlato di costruzione di cultura per colmare il gap di preparazione agli eventi avversi che la cybersecurity a volte comporta. Ci si focalizza sulle credenze, opinioni, e valori delle persone e si rapportano alle tematiche di cybersecurity ma anche ai temi più generali delle tecnologie dell’informazione.

Si tratta di comprendere come le persone si comportano rispetto ai rischi e ai problemi e il livello delle loro percezioni. Se si vuole creare questa cultura per la cybersecurity è necessario saper comunicare correttamente e coinvolgere le persone rendendole partecipi di un processo di cambiamento, come parte integrante della cultura organizzativa, proprio perché questo è un processo richiede tempo risorse e competenze e una chiarezza di visione.

Back to top button
Close
Close