loader image

Cyber-security: perché i dipendenti violano i protocolli di sicurezza

Consulenza d’Impresa

Cyber-security ed errore umano: i motivi che inducono i dipendenti alle violazioni dei protocolli di sicurezza informatica

Una ricerca di questi mesi pubblicata dal National Science Foundation offre nuovi spunti circa i motivi che spingono i dipendenti a commettere violazioni ai protocolli di cyber-security. 

Se è vero che negli ultimi tempi gli specialisti IT, grazie anche ai requisiti imposti dalle nuove normative privacy, stanno aumentando il livello di sicurezza delle aziende per cui lavorano, creando network e sistemi più resilienti e sofisticati, al contempo c’è e ci sarà sempre un rischio fuori dal loro controllo: l’essere umano

Un rischio sempre più crescente anche per la diffusione dello smartworking che allarga il perimetro aziendale e con esso il numero delle possibili minacce.

Le condotte umane che spingono alle violazioni

Violazioni di protocolli di cyber-security

Quali sono le ragioni alla base di condotte umane che si pongono in violazione delle procedure di cyber-security implementate dalle società?

Le conclusioni a cui giunge questa ricerca forniscono una prospettiva nuova sull’argomento, che potrebbe essere la chiave di volta per implementare nuove e più efficienti soluzioni di mitigazione del rischio umano.

Fattore stress

Le policy interne di sicurezza assumono, erroneamente, che i dipendenti siano portati a violare le procedure implementate solo per ignoranza o per intento dannoso, sottostimando un terzo fattore: lo stress

La ricerca evidenzia che nell’85% dei casi i dipendenti hanno consciamente violato i protocolli di cyber-security per concludere i propri task nei tempi previsti, per aiutare un collega o, in generale, per non limitare la propria produttività. Invece, soltanto il 3% lo ha fatto con un intento fraudolento

Sebbene quest’ultimo valore, su un campione di circa 330 dipendenti monitorati in regime di smartworking, rappresenti comunque un dato rilevante (circa 9 dipendenti), il dato più eclatante è sicuramente il primo.

In particolare, alla domanda circa le motivazioni che li hanno indotti a non seguire le politiche di sicurezza informatica, le risposte più frequenti sono state, nell’ordine: “per svolgere meglio i task del mio lavoro”, “per ottenere qualcosa di cui avevo bisogno” e “per aiutare gli altri a portare a termine il loro lavoro”. 

Variante smartworking

Se lo stress, dunque, è il denotare che fa implodere i protocolli di cyber-security, qual è la miccia

Nella ricerca viene sottolineato il ruolo che la pandemia ha assunto in questo senso, sia come ulteriore fonte di stress, sia come causa dell’inasprimento di alcune procedure di sicurezza a seguito dell’introduzione dello smartworking, che espone le aziende a nuove minacce obbligandole ad una revisione e aggiornamento costante delle politiche interne. 

È stato riscontrata, nei dipendenti, una maggiore propensione a violare consapevolmente i protocolli di cyber-security proprio nei giorni in cui hanno accusato un maggiore stress, evidenziando l’esistenza di un legame inversamente proporzionale tra stress e tolleranza a seguire le regole interne. 

Infatti, maggiore è lo stress percepito dal dipendente, minore è la sua soglia di tolleranza nel seguire le policy decise dalla governance aziendale. E, ironia della sorte, tra le fonti di stress rientrano anche le stesse policy, se sono avvertite dai dipendenti come un ostacolo alla loro produttività.

Effetto solidarietà

Altro fattore scatenante, che emerge dalla ricerca, è la solidarietà: il 18% delle violazioni di cyber-security sarebbero dipese da un gesto di altruismo di un dipendente a favore di un collega

In questo senso, sono sempre più frequenti i casi di c.d. BEC (Business Email Compromise), ovvero quegli scenari di attacchi nei quali hacker, attraverso strategie di social engineering, si fingono supervisori o collaboratori stretti e inviano un’email ad alcuni dipendenti con una richiesta urgente di trasferimento fondi. 

La pressione dettata dall’urgenza e il desiderio di aiutare un collega possono spingere i dipendenti a infrangere il protocollo di cyber-security ed effettuare questi trasferimenti senza verificare adeguatamente le richieste.

Insider Threat: la fine del mito

Sembrerebbe quindi cadere anche il mito dell'”Insider Threat”, ovvero quel dipendente che in modo cosciente viola le regole con un intento dannoso. In realtà, nella maggioranza dei casi, una violazione cosciente delle regole può essere frutto di uno stato di stress che non ha nulla a che fare con la volontà di creare un danno alla propria azienda.

Tre principi irrinunciabili per manager e responsabili

Violazioni di protocolli di cyber-security

E allora come reagire a questa nuova “minaccia”? 

La messa in campo di sistemi di cyber-security adeguati non è semplice, perché di fronte ad uno scenario così nuovo c’è bisogno di un vero e proprio cambio di rotta e non di semplici accorgimenti.

Manager e responsabili di sicurezza dovrebbero concentrarsi su tre principi.

Formazione

Una formazione tesa ad offrire istruzioni chiare su cosa fare nel caso in cui il dipendente, magari in una situazione di urgenza, percepisca l’aderenza alle pratiche di cyber-security come un ostacolo allo svolgimento del lavoro e della sua produttività.

Test

Testare le procedure con i dipendenti e non implementarle prima di comprenderne il reale impatto sul loro flusso di lavoro. Troppo spesso i dipartimenti IT sviluppano protocolli adeguati ai più alti standard di sicurezza ma che non sono adatti alla realtà lavorativa in cui dovranno essere applicati e senza tenere conto di come le nuove regole potrebbero interferire con i flussi di lavoro dei dipendenti, creando nuove fonti di stress

Performance

Valutare il costo, in termini di ore, delle nuove prassi implementate, per evitare il burn out dei propri dipendenti, partendo dal presupposto che produttività e cyber-security sono interconnesse e, soprattutto, che la prima non è predominante rispetto alla seconda.

In tempi “di pace” è probabile che i dipendenti abbiano le risorse necessarie per essere produttivi e, allo stesso, conformarsi a tutti i protocolli di sicurezza richiesta. Tuttavia, lo stress a cui siamo esposti a causa della pandemia potrebbe far percepire i protocolli come un ostacolo per il raggiungimento di quelle prestazioni elevate che potrebbero garantire ai dipendenti bonus o promozioni. 

Ed è proprio per questo che la sicurezza dovrebbe essere inclusa tra le metriche utilizzate per misurare la performance lavorative. Una politica di questo tipo, se trasferita adeguatamente a tutto il personale, porterebbe loro enormi benefici in quanto percepirebbero in prima persona il valore che l’azienda dà al tema della sicurezza

Il ruolo fondamentale della percezione del valore dei protocolli 

Violazioni di protocolli di cyber-security

Insomma, istruire i dipendenti sul perché le politiche di cyber-security sono importanti riducendo la percezione che la loro attivazione ostacoli il lavoro quotidiano, assume un’importanza centrale, soprattutto nelle attuali circostanze in cui lo stress può agire da catalizzatore di violazioni.

Per questo lo Studio, nel percorso di adeguamento al GDPR, mette in campo sessioni di formazione allo scopo di aumentare la consapevolezza tra tutti i soggetti coinvolti nel trattamento dei dati, a partire dai dipendenti. 

Una consapevolezza che, se acquisita, tiene alta la soglia di attenzione e di tolleranza verso i protocolli di sicurezza implementati dal datore di lavoro, anche negli eventuali periodi di stress, mitigando alla radice i rischi descritti nella ricerca. 

 

Vorresti una consulenza legale?

Programma la tua Videocall

Articoli recenti

NFT: come creare e vendere senza problemi legali

NFT: come creare e vendere senza problemi legali

Quali possono essere le problematiche legali in merito a come creare, vendere e comprare NFT? E soprattutto, come possiamo fare per non scottarci? Abbiamo messo in fila alcune domande che probabilmente ti stai facendo, provando a fornirti suggerimenti e spunti utili per orientarti tra i Non Fungible Token.

leggi tutto

Scopri anche

Il nostro magazine di approfondimento che racconta i nuovi scenari del diritto applicato al mondo digitale ed alle nuove tecnologie.

Vorresti approfondire ?

Contattaci 

Tipologia