L’automazione dei processi ha reso più raro l’intervento umano, rendendolo al contempo ancora più significativo ed impattante.

Ecco perché oggi più che mai il fattore umano può rappresentare un elemento di successo o di fallimento per la postura di sicurezza di un’organizzazione e le strategie intraprese a riguardo.

Quel che certamente non può (anzi: non deve) essere è qualcosa da ignorare o affrontare tramite analisi eccessivamente sbrigative o superficiali. Altrimenti, le conseguenze saranno quelle di vedere vanificati tanto gli sforzi quanto gli investimenti compiuti.

Anche se sono approntate e configurate le migliori tecnologie di protezione, ritenere le misure tecnologiche stand-alone è un’illusione piuttosto pericolosa.

Questo porta a sopravvalutare il proprio livello di sicurezza, ma preso la realtà presenta il conto con un incidente o un attacco informatico che si riconduce al mitologico “fattore umano”.

Che però non vale come scusante, anche perché per quanto invocata non vale a convincere in alcun modo gli stakeholder, fra cui rientrano anche le autorità di controllo, che la causa sia una carenza di gestione.

Cosa che impatta non solo sulla reputazione ma anche sul conto economico, anche perché – eufemisticamente parlando – difficilmente il tutto sarà oggetto di copertura assicurativa. E di certo, non lo possono essere mai e in alcun caso le sanzioni.

Oltre la mitigazione dei rischi: valorizzare il fattore umano

Quello che viene indicato come anello debole della catena, non lo è per natura ma semplicemente è diventato tale nel tempo per effetto dell’essere stato trascurato, vuoi per overconfidence nell’esclusività delle cangianti misure tecnologiche, vuoi per altre allucinatorie convinzioni del caso.

Solo la sinergia fra misure tecniche e organizzative, ovverosia fra le tecnologie disponibili ed impiegate e gli operatori può contribuire ad aumentare il livello complessivo di data maturity e sicurezza dell’organizzazione.

Questo avviene attraverso azioni che hanno come comune denominatore il disciplinare ruoli e responsabilità, ma che poi si traducono in awareness ed emowerment differenziati per cluster di destinatari affinché si possa giungere ad una condivisione della cultura e delle politiche di sicurezza adottate dall’organizzazione.

Ovviamente sono percorsi complessi, ma tale è la sicurezza delle informazioni. Formazione e sensibilizzazioni devono seguire i canoni dell’efficace attuazione e non indulgere in formalismi, promuovendo comportamenti sicuri e delle vere e proprie abitudini di corretta gestione della sicurezza delle informazioni.

Solo così è possibile modificare la narrazione (invero, spesso auto-avverante) e parlare, finalmente, del fattore umano non più come di una criticità da risolvere bensì come un elemento da valorizzare.

L’importante è, infine, che non se ne parli e basta, dal momento che la gestione della sicurezza mal si concilia con elementi meramente cosmetici.