In collaborazione con |
Preparare e formare le persone rispetto ai rischi e in un’ottica di prevenzione e multidisciplinarietà permette di affrontare le emergenze e le sfide della sicurezza informatica inmodo efficace. Ne abbiamo parlato con la Dottoressa Isabella Corradini psicologa e crimnologa, docente e Direttrice del Centro Ricerche Themis.
L’approccio centrato sulle persone e sulla loro preparazione, informazione, formazione e sulla corretta comunicazione nel day by day, può incidere in modo efficace sulla resilienza e sulla prontezza nelle condizioni emergenziali. Il periodo di lockdown pandemico ha evidenziato chiaramente questi aspetti in relazione alle reazioni e comportamenti delle persone rispetto al virus e alla sua pericolosità. Ma volendo trarre degli insegnamenti anche nel campo della sicurezza informatica scopriamo che non è necessario spostarsi molto in termini di approccio. Infatti, come per la pandemia, così per le minacce Cyber, sviluppare un approccio resiliente non è frutto di improvvisazione, ma di preparazione e formazione appropriata, progettata per tempo, erogata in modo organizzato e sistematico e rivalutata periodicamente per apportare correttivi.
La awareness delle minacce da sola non basta, se non si contribuisce a modificare quei comportamenti che possono ragionevolmente consentire un cambiamento efficace. Ne parliamo con la Dott.ssa Isabella Corradini che da anni si occupa di tematiche legate alla formazione e all’approccio corretto verso la salute e sicurezza. Con lei abbiamo voluto comprendere meglio come i cambiamenti imposti durante il lockdown possano costituire una solida base di ripartenza a patto di fare tesoro di quanto sperimentato in questa esercitazione generale globale.
L’intervista
Il periodo pandemico ha evidenziato molte differenze nel lavoro in smartworking. Che insegnamenti possiamo trarre?
Questo periodo ha evidenziato l’esigenza di familiarità con gli strumenti digitali e ne ha enfatizzato il valore. Molti fino al momento di lockdown della pandemia non lo avevano capito. È importante anche puntualizzare una differenza fra smartworking e telelavoro. Il lavoro agile (smart working) si fonda su caratteristiche di flessibilità e sulle tecnologie ma è anche caratterizzato dall’assenza di vincoli spaziali temporali in funzione del risultato, con una maggiore conciliazione vita privata e lavorativa. In queste condizioni tutti noi abbiamo riflettuto sulla situazione che stavamo vivendo ed anche io mi sono soffermata a ragionare sulla esigenza di smartworking anche come approccio organizzativo, perché richiede di essere progettato affinché la sua esecuzione sia efficace. Ma questo, nelle fasi iniziali dell’emergenza, non è stato possibile. Inoltre, lo smartworking richiede una ottimizzazione di costi, di spazi e soprattutto un rapporto di fiducia tra il management e i lavoratori, fondato su obiettivi condivisi e su controlli dei risultati e non sulla presenza o il tempo passato al PC. Attenzione anche al discorso della flessibilità perché se è vero che lavorare da casa abbatte i tempi morti, è anche estremamente facile che accada un mancato rispetto delle pause e dei tempi di lavoro, rischiando di lavorare ininterrottamente.
Da queste osservazioni cosa andrebbe cambiato nelle organizzazioni per il lavoro futuro e che tipo di riflessioni e prospettive del lavoro in relazione alle percezioni dei lavoratori possono scaturire?
Sicuramente c’è un diverso approccio organizzativo da strutturare. Se il rischio maggiore dello smartworking è stare troppo tempo davanti al pc senza rispettare le pause, allora la conseguenza è che i colleghi non si vedono mai fisicamente e possano patire stress e alienazione. Infatti, la socialità un elemento mancante nello smartworking quindi dovrebbe in qualche modo essere regolato ed è ulteriormente necessario tenere presente come la socialità intermediata dal video possa rivelarsi molto più impegnativa. Dal punto di vista del benessere organizzativo è invece prioritario intervenire sulla percezione di insicurezza sul futuro che ora è stata sperimentata e toccata con mano. È necessario lavorare sulle persone per ristabilire le corrette interazioni fra le persone fra il prima-COVID e post COVID. Le persone si devono riadattare ad un ambiente di lavoro che potrà ridiventare fisico, ma che potrebbe rimanere in modalità smartworking, con la possibilità di situazioni ibride che comprendano entrambe le modalità. Molto importante da considerare è anche la diversa percezione del rischio rispetto alla pandemia con effetti globali che hanno messo in discussione le certezze delle persone. Non si ha più quella zona di confort percepita sul posto di lavoro ed è necessario ricrearla dalla postazione a casa oppure dall’assetto che le diverse organizzazioni vorranno dare ai loro dipendenti. La riflessione da parte delle aziende dovrà essere fatta anche su questi elementi e le organizzazioni si devono preparare secondo il tipo di lavoro svolto dai dipendenti, dai limiti imposti dai rischi (di qualsiasi natura) per riportare al centro il benessere del dipendente.
Il cambiamento in questo senso e secondo queste prospettive nuove, potrà influenzare in termini di beneficio anche l’approccio alla cybersecurity?
Il ripensamento da fare per il futuro secondo il cambiamento avvenuto, porta delle conseguenze anche in ottica cybersecurity. Però ancora una volta, dobbiamo proiettare quanto imparato nelle attività del prossimo futuro. Nella pandemia il contagio si è ridotto quando le persone hanno seguito le regole di distanziamento a dimostrazione che le persone possono fare la differenza indipendentemente dagli strumenti personali o dell’azienda. Anche in ambito Cyber si dovrebbe lavorare sulle persone per un approccio organizzativo diverso che coinvolga direttamente le persone perché siano rese consapevoli e rappresentino “strumenti fisiologici” di prevenzione. In futuro infatti, saremo sempre più immersi nelle tecnologie digitali, quindi si dovrebbe essere pronti e proattivi al cambiamento, ma anche alle sue conseguenze. I “fatti della vita” ci insegnano la resilienza. Mutuando questa dinamica se le persone diventano responsabili perché consapevoli, allora diventa più facile far passare certi messaggi ma è necessario condividere il percorso, implementarlo operativamente e curando con grande attenzione la comunicazione in ogni passaggio.
Ci può raccontare di questi temi trattati nel suo ultimo libro e della sua genesi?
Dopo anni accumulati fra progetti formazione per la safety e sicurezza fisica e cyber, ho voluto esporre questo approccio diverso dal solito nelle organizzazioni perché risente della mia esperienza accademica ma anche dell’operatività sul campo collaborando con le aziende e nelle università, nazionali e internazionali. Così è nato il libro “Building a Cybersecurity Culture in Organizations” in cui ho voluto fornire una visione diversa centrata sulla multidisciplinarietà delle competenze e delle esperienze. Non più piu’ funzionare il concetto “a orticello”, in cui ogni divisione dell’organizzazione pensa ai suoi obiettivi ed ai suoi risultati in modo segregato, senza un approccio comune alla Cybersecurity poiché i risultati, i breach, i problemi che sono sulle prime pagine dei giornali, non fanno altro che confermare quello che non sta funzionando a dovere. Per cambiare si deve partire dalla consapevolezza di cosa non abbia funzionato nella gestione della Cybersecurity fino ad oggi, analizzando e mantenendo ciò che di buono è stato fatto e togliendo invece gli elementi inefficaci. In psicologia la consapevolezza è un passaggio fondamentale per cambiare. Altrimenti non solo non esiste una vera maturazione, ma si può arrivare a peggiorare in modo critico ostinandosi a seguire vecchie regole e dinamiche inefficaci. Mai minimizzare o mettere toppe, (come ad esempio basarsi su un corso di formazione singolo e isolato), ma dobbiamo lavorare sul senso di responsabilità sulla consapevolezza delle persone, superando i pregiudizi, utilizzando strumenti appropriati di formazione senza affidarsi solo all’aspetto tecnologico. La guida è un percorso con delle raccomandazioni per un approccio pratico che non solo renda le organizzazioni resilienti ma ne tuteli anche la reputazione. Il libro è pubblicato in inglese edito dalla Springer con una diffusione a carattere internazionale. Sto anche seguendo una serie di articoli di ricerca che approfondiscono alcuni dei temi riportati nel libro. Ad esempio, nel mondo della scuola sarebbe un primo importante passo di preparazione alla cybersecurity, mediante un passaggio dalle basi fondanti della sicurezza e degli strumenti digitali. A volte è necessario fare un passo indietro e ripartire dall’ABC ammettendo gli errori e gettando le basi per costruire un futuro più solido.