Così come il sonno della ragione genera mostri, l’assenza di disciplinari d’uso della strumentazione IT può generare delle mostruose vulnerabilità di sicurezza.
Anche perché la responsabilità dell’organizzazione non si può limitare a fornire delle dotazioni lavorative, ma si estende anche agli aspetti di safety e security delle stesse.
Certamente, c’è e ci sarà sempre l’ipotesi dell’elusione delle misure organizzative predisposte che la fa venire meno. Attenzione, però, all’adeguatezza delle misure nel tempo dal momento che i rischi possono variare e richiedere così attività di riesame e aggiornamento, nonché l’applicazione di correttivi.
Ovviamente occorre are attenzione agli aspetti giuslavoristici, dal momento che una buona policy di sicurezza richiede sia che lo strumento sia correttamente configurato e ne venga disciplinato l’impiego, sia che vi sia un’attività di monitoraggio a riguardo. Anche perché ogni punto cieco è ben peggiore di una vulnerabilità nota. Salvo eccezioni, ovviamente.
Ma dicono che il signor Occam si spiaccia se ragioniamo troppo per eccezioni e singolarità. E quindi, più che di colpa del dipendente, si dovrebbe pensare alla responsabilità dell’organizzazione.
Dalla colpa del dipendente alla responsabilità dell’organizzazione
Nel momento in cui il dipendente non è posto nelle condizioni di ricevere istruzioni pratiche, comprensibili e disponibili di sicurezza, diventa un punto debole della postura di sicurezza cyber dell’organizzazione.
Con buona pace di policy che non sono mai state tradotte sul piano operativo. Ovverosia, facendo riferimento al contesto di lavoro effettivo, ivi compreso lo smart working ad esempio.
Anche perché un’istruzione troppo vaga e generica non può produrre alcun apporto utile. Anzi, spesso confonde.
Considerato poi che i cyber criminali ricercano la collaborazione di dipendenti scontenti, si sta offrendo loro un campo d’azione piuttosto ampio in cui poter agire. A pensarci bene, infatti, se non si è mai definito un utilizzo accettabile dello strumento come si può sospettare che quell’azione non sia colposa ma dolosa?
Volendo tirare le fila del discorso: se ci sono indisciplinati nell’IT, è quasi certo che la responsabilità sia attribuibile all’organizzazione. Dopodiché, ci sono sempre le eccezioni.
Ma attenzione, perché il signor Occam ha un rasoio e nessuna remora a utilizzarlo.
