Policy di sicurezza incomprese e non rispettate sono un grande problema per la cyber security aziendale. Serve un cambio generale di visione.
I dipendenti mal sopportano le policy aziendali di sicurezza informatica. Molti le vedono come un ostacolo alla produttività, spesso cercano di aggirarle per portare a termine il lavoro più velocemente. È il dato poco rassicurante che emerge dallo studio HP Wolf Security Rebellions and Rejections, basato su un sondaggio condotto da Toluna su 1.100 decision maker IT di Regno Unito, Stati Uniti, Canada, Messico, Germania, Australia e Giappone, e su un sondaggio YouGov condotto su 8.443 adulti negli Stati Uniti, Regno Unito, Messico, Germania, Australia, Canada e Giappone.
Il tema è quello dell'ormai consolidato contrasto tra dipartimenti IT e dipendenti aziendali che lavorano da casa. Da una parte l'esigenza di tenere in sicurezza gli asset aziendali. Dall'altra le esigenze di chi produce.All'inizio della pandemia, pur di assicurare la produttività, i dipartimenti IT hanno "chiuso un occhio" sulla sicurezza pur di favorire la continuità del business.
Ora che il lavoro da remoto è consolidato, tuttavia, hanno provveduto ad alzare le barriere di protezione per fronteggiare il ben noto aumento delle minacce informatiche. I dipendenti, a quanto pare, non hanno gradito. Il risultato è che quasi la metà (48%) dei dipendenti concorda sul fatto che le procedure di sicurezza siano spesso una perdita di tempo. Se si considerano solo quelli di età compresa tra i 18 e i 24 anni, tale dato sale al 64%.
Questo perché il 54% dei giovani è più preoccupatodi rispettare le scadenze che di esporre la propria azienda a una violazione dei dati. La conseguenza diretta è che quasi un terzo (31%) di questi cerca di aggirare le policy aziendali per portare a termine più velocemente il proprio lavoro.
Analizzando più a fondo i motivi, si scopre tuttavia che la produttività non l'unica a portare cattivi consigli. Il 39% dei giovani intervistati non conosceva nel dettaglio le policy di sicurezza o non era nemmeno informato che la propria azienda ne avesse. Il 37% invece le riteneva troppo restrittive.
Questo apre le porte a una doverosa riflessione sull'efficacia e la costanza comunicativa delle aziende e sulla mancanza di formazione. Un conto è imporre delle limitazioni all'operatività dei dipendenti, senza addurre motivazioni chiare.
Altra cosa è spiegare ai dipendenti i rischi, coinvolgerli in corsi di formazione continua che li mettano al corrente dei pericoli concreti per l'esistenza stessa dell'azienda. E, solo in ultima analisi, presentare le restrizioni come un beneficio a vantaggio della continuità di business (e del posto di lavoro stesso).
La formazione quindi si rivela per l'ennesima volta una chiave di volta fondamentale per le aziende. Questo sondaggio conferma che imporre policy restrittive stringenti, senza farne comprendere i motivi, aumenta la superficie di rischio spingendo le persone a violare le regole.
A quel punto il lavoro degli ITDM non sarebbe più un "compito ingrato", com' stato definito dall'80% dei rispondenti. E, con la dovuta formazione, i lavoratori in smart working non rappresenterebbero più il potenziale grande rischio di violazione della rete aziendale.