La cyber security ha invertito le priorità: invece di mettere le persone al centro, spesso tecnologie e processi diventano fini a sé stessi.

Questo approccio ignora una verità fondamentale espressa da un antico detto Maori: «Qual è la cosa più importante del mondo? Sono le persone, sono le persone, sono le persone».

Tecnologie e processi esistono per fornire valore agli esseri umani, semplificare l’accesso alle informazioni, fluidificare il lavoro e consentire decisioni informate. Quando questa prospettiva si perde, anche le migliori soluzioni tecniche falliscono.

Per questo motivo, come si evince anche dal “Manuale CISO Security Manager”[1], è importante rifocalizzare la sicurezza informatica sulle persone – quelle che programmano, progettano processi, creano leggi e decidono di essere guardie o ladri – restituendo alla dimensione umana il ruolo centrale che le spetta.

Il rovesciamento delle priorità: da PPT a TPP

L’evoluzione della cyber security ha gradualmente spostato l’attenzione dalle persone alla tecnologia. Il tradizionale modello del “Triangolo d’Oro”, detto anche PPT (People, Process, Technology), è stato spesso interpretato come una gerarchia in cui le persone occupano il primo posto solamente perché devono esercire le tecnologie e devono eseguire i processi.

In un mondo di sistemi sempre più sofisticati e procedure sempre più complesse, le persone sono sempre più marginali. Questo approccio genera inefficienze, resistenze e vulnerabilità proprio dove dovrebbe creare sicurezza.

Il nuovo paradigma TPP (Technology, Process, People) mette le persone in primo piano: le tecnologie aiutano gli esseri umani a superare i propri limiti, mentre i processi aiutano le persone ad impostare un linguaggio comune e a standardizzare la risposta ai rischi.

Le persone come architetti del sistema

Chi scrive codice determina la sicurezza intrinseca dei sistemi. Ogni riga di programmazione riflette scelte umane, competenze, pressioni temporali e priorità aziendali: la tecnologia è sicura quanto le persone che la progettano.

Chi disegna i processi traduce bisogni umani in procedure operative. La qualità di questa traduzione determina se un processo faciliterà il lavoro o creerà ostacoli che spingono verso scorciatoie pericolose.

Chi produce le leggi bilancia esigenze di sicurezza e diritti individuali. La creatività normativa deve anticipare quella criminale, creando regole che proteggano le organizzazioni senza soffocare l’innovazione.

La dimensione umana della sicurezza

Ogni giorno, ogni persona sceglie di essere una guardia (proteggendo informazioni, seguendo procedure, ma anche semplicemente segnalando anomalie) o involontariamente un ladro (bypassando controlli, condividendo credenziali e ignorando protocolli).

Questa scelta non dipende dalle tecnologie ma da consapevolezza, motivazione e cultura aziendale. Anche una negligenza, per quanto piccola, può portare a conseguenze disastrose.

I sistemi informatici amplificano le capacità umane ma non le sostituiscono. Un firewall ti protegge solo se configurato correttamente da una persona competente. Un antivirus funziona solo se aggiornato da utenti consapevoli. La crittografia è sicura solo se le chiavi sono gestite responsabilmente.

I processi come facilitatori, non ostacoli

Semplificazione dell’accesso. I processi dovrebbero rendere più semplice fare la cosa giusta e più difficile fare quella sbagliata. Quando le procedure sono troppo complesse, le persone trovano alternative non autorizzate ma più pratiche.

Fluidificazione del lavoro. La sicurezza non deve rallentare le attività ma renderle più efficienti eliminando i rischi. Processi ben progettati integrano la sicurezza nel flusso naturale del lavoro, invece di aggiungerla come dogana da cui passare per farsi perquisire e pagare dazio.

Decisioni informate. L’obiettivo finale di tecnologie e processi è quello di fornire alle persone le informazioni necessarie per prendere decisioni informate, in modo che possano assumersene la responsabilità. Le dashboard complesse che nessuno consulta sono inutili quanto gli allarmi che suonano troppo spesso.

La saggezza Maori applicata alla cyber security

Il detto Maori «He aha te mea nui o te ao. Lui tāngata, lui tāngata, lui tāngata» racchiude una verità che la cybersecurity moderna ha dimenticato: le persone sono la cosa più importante.

Non come ultimo anello della catena da proteggere, ma come architetti principali della sicurezza.

Questa filosofia implica progettare sistemi che:

• Rispettano i tempi e i modi di lavoro umani.
• Facilitano invece di complicare.
• Educano invece di imporre.
• Coinvolgono invece di escludere.

Implicazioni per le organizzazioni

Questo approccio comporta alcune precise implicazioni per le organizzazioni:

1. Investimenti in capitale umano. Budget significativi devono essere destinati alla formazione, al coinvolgimento, alla motivazione delle persone. Un dipendente formato vale più di un software costoso mal utilizzato.
2. Cultura della sicurezza. La sicurezza deve diventare un valore condiviso, non un’imposizione calata dall’alto. Solo quando le persone percepiscono la sicurezza come protezione e non come limitazione, i sistemi funzionano davvero.
3. Progettazione human-centered. Ogni soluzione tecnologica deve essere progettata partendo dalle esigenze umane, non dalle possibilità tecniche. Chi progetta una tecnologia si chiede «Quale problema posso risolvere per realizzare un guadagno? Cosa può fare la mia tecnologia?». Ma, una volta costruita e commercializzata, la domanda che si farà un hacker non è «Cosa fa questa tecnologia?», ma piuttosto «Cosa posso fargli fare?» e inventerà lui stesso usi non previsti. Quindi, la domanda giusta non è «Cosa può fare questa tecnologia?» ma «Cosa serve alle persone?».

Verso un nuovo equilibrio

Il futuro della cyber security richiede un riequilibrio che riporti le persone al centro. Tecnologie e processi devono tornare al loro ruolo originario: strumenti al servizio degli esseri umani che servono per creare valore, facilitare il lavoro e migliorare le decisioni.

Non si tratta di ridimensionare l’importanza della tecnologia, ma di riorientarla verso il suo scopo ultimo: servire le persone che, alla fine, rimangono gli unici veri decisori in un mondo sempre più automatizzato.

La cyber security del futuro sarà umana o non sarà efficace.

[1] Per approfondimenti: “Manuale CISO Security Manager”. Per una guida completa alla compliance cyber security e alle competenze normative necessarie ai professionisti della sicurezza, il manuale offre un approfondimento dettagliato su normative nazionali ed europee, strategie di conformità e best practice operative.