Dal momento che il trend dei cyberattacchi human-based è in costante aumento, l’attuale panorama dei rischi impone di analizzare e gestire al meglio le risorse umane che si interfacciano con dati e sistemi, così da contribuire ad un significativo miglioramento generale della sicurezza. E dunque, qualunque sia l’analisi dei rischi che si va a condurre sulla sicurezza delle informazioni (ad esempio: in funzione della predisposizione del SGSI; per le misure da applicare ai sensi dell’art. 32 GDPR; nello svolgimento di una valutazione d’impatto privacy ai sensi dell’art. 35 GDPR), nel momento in cui sono analizzate le molteplici minacce collegate al comportamento degli operatori il burnout rappresenta un fattore certamente da non sottovalutare.
Che cosa sia il burnout, in sintesi, è un vero e proprio esaurimento del lavoratore in relazione al carico di lavoro da svolgere. Praticamente: un buffer overflow. Tale evento ha un impatto sulla cybersecurity e costituisce una vera e propria vulnerabilità dal momento che aumenta l’occorrenza di errori e una serie di comportamenti connotati da incuria e distrazione, interferendo con l’obiettivo di condurre operazioni conformi a procedure e buone pratiche di sicurezza.
Come trattare tale rischio? La sinergia dei programmi di formazione e sensibilizzazione degli operatori con altrettanti interventi di empowerment è una delle soluzioni preventive che possono essere predisposte e declinate pressoché in ogni organizzazione. Una definizione chiara dei ruoli e delle responsabilità è un ulteriore intervento che contribuisce a ridurre il rischio di burnout, in quanto spesso è collegato ad un’asimmetria fra la percezione della mansione, il suo svolgimento in concreto da parte del lavoratore e il feedback da parte dei superiori.
È inoltre di significativa importanza per l’organizzazione essere in grado di analizzare i fattori scatenanti di questo fenomeno, ad esempio monitorando i carichi di lavoro e l’ambiente lavorativo individuando – per quanto possibile – gli interventi di miglioramento e di riorganizzazione da predisporre al fine di prevenire situazioni di stress. Il tutto tenendo conto del contesto operativo in cui la prestazione di lavoro è resa, nonché dell’eventuale impatto che quel determinato operatore può avere sulla sicurezza dei sistemi tenendo anche conto delle privilege escalation, ovviamente.
Nello smart working, il diritto alla disconnessione del lavoratore è stato espressamente previsto dall’art. 1-ter inserito dalla L. 6 maggio 2021 n. 61, ai sensi del quale: “al lavoratore che svolge l’attività in modalità agile il diritto alla disconnessione dalle strumentazioni tecnologiche e dalle piattaforme informatiche, nel rispetto degli eventuali accordi sottoscritti dalle parti e fatti salvi eventuali periodi di reperibilità concordati. L’esercizio del diritto alla disconnessione, necessario per tutelare i tempi di riposo e la salute del lavoratore, non può avere ripercussioni sul rapporto di lavoro o sui trattamenti retributivi”. Tale misura, vista in ottica di cybersecurity, può essere facilmente presa come esempio e spunto per la sua declinazione – previa analisi e adeguamento – come possibile intervento organizzativo atto a prevenire il rischio di burnout.
