Cybersecurity nazionale Malware e attacchi Norme e adeguamenti Soluzioni aziendali Cultura cyber L'esperto risponde News, attualità e analisi Cyber sicurezza e privacy Corsi cybersecurity Chi siamo

l’approfondimento

Tecnologie e processi da soli non bastano: verso una cyber security umano-centrica

Home Cultura cyber
Indirizzo copiato

Il futuro della cyber security richiede il superamento dell’illusione che processi e tecnologie possano sostituire competenza, esperienza e giudizio umano. La lezione è chiara: sono sempre le persone la cosa più importante del mondo

Pubblicato il 2 set 2025
Fabrizio Saviano

CISO ANPS Milano

Cyber security umano-centrica

Il concetto di triangolo d’oro, detto anche PPT (Persone, Processi, Tecnologie), è diventato un paradigma famoso nella cyber security moderna. Ma i numeri dimostrano il suo fallimento: nonostante gli investimenti crescenti in processi e tecnologie, le violazioni aumentano esponenzialmente.

Il problema risiede nell’illusione che i processi siano sufficienti per garantire il successo, ignorando che i sistemi organizzativi sono complessi, imprevedibili e abitati da persone che adattano i propri comportamenti trovando scappatoie per rimanere nella propria zona di comfort.

L’illusione dei processi porta a rigidità, burocrazia e percezione di inutilità – il pretesto perfetto per giustificare le inefficienze. Così le persone diventano il capro espiatorio, i processi sono il comodo alibi per prendersela con la burocrazia, e si finisce a concentrarsi sulle tecnologie come bacchetta magica che risolve tutti i problemi.

Ma la realtà è ben diversa: sono le persone che programmano le tecnologie, disegnano i processi, emanano le leggi e trovano i modi per aggirarle, decidono di essere guardie o ladri.

Ecco perché è nato il “Manuale CISO Security Manager”[1]: per preparare alla certificazione CISSP e rifocalizzare la sicurezza sulle persone, riconoscendo che tecnologie e processi esistono solo per fornire valore agli esseri umani, come insegna il detto Maori «Qual è la cosa più importante del mondo? Sono le persone, sono le persone, sono le persone».

Bias cognitivi e cyber security: quanto è pericoloso il “non ho nulla da nascondere”

Il fallimento del triangolo d’oro: quando PPT diventa TPP

Il triangolo d’oro PPT (Persone, Processi, Tecnologie) è stato per decenni il paradigma di riferimento per la gestione della sicurezza informatica. Tuttavia, i numeri dimostrano inequivocabilmente che questo approccio triangolare non sta funzionando: investimenti crescenti in processi e tecnologie non hanno impedito l’escalation esponenziale delle violazioni di sicurezza.

La realtà è che i luoghi di lavoro sono costituiti da persone che interagiscono tra colleghi, clienti e fornitori, creando dinamiche complesse che sfuggono ai modelli lineari tradizionali.

Tre elementi fondamentali svelano perché l’approccio PPT è inadeguato:

  1. Sistemi complessi: organizzazioni umane, sociali e biologiche non seguono modelli lineari come le CPU. La complessità emergente genera comportamenti imprevedibili che nessun processo può catturare completamente.
  2. Sistemi organizzativi: i contesti lavorativi non sono prevedibili e quindi non possono essere mai del tutto gestibili attraverso procedure standardizzate. L’imprevedibilità è una caratteristica intrinseca da governare, non un bug da correggere.
  3. Persone adattive: gli esseri umani adattano i propri comportamenti quando un modello organizzativo viene imposto, trovando inevitabilmente scappatoie. L’adattamento creativo è la risposta naturale ai vincoli artificiali ed è la base dell’Evoluzionismo, che ci ha fatto sopravvivere fino ad oggi.

L’illusione dei processi: il bias cognitivo organizzativo

L’illusione dei processi rappresenta il bias cognitivo che porta alla convinzione fallace che i processi siano sufficienti per garantire la buona riuscita di un’attività.

Questa convinzione si basa sull’idea errata che i processi possano catturare e formalizzare tutte le conoscenze e competenze necessarie per svolgere attività in modo efficiente e corretto. Inoltre, costituisce una falsa sensazione di sicurezza che può portarci ad abbassare la guardia.

I processi sono importanti per definire attività, tracciarle e identificarne i rischi, ma non sono sufficienti a decretarne il successo. Non possono sostituire conoscenza ed esperienza diretta delle persone, non riescono a garantire qualità dei risultati né a prevenire errori.

Le conseguenze disfunzionali

L’illusione dei processi genera problemi sistemici e scatena altri bias: rigidità nell’adattarsi alle esigenze specifiche dell’organizzazione, sensazione di burocrazia oppressiva, percezione di inutilità delle procedure.

Quest’ultima diventa il pretesto perfetto per giustificare inefficienze e resistenze al cambiamento: è sempre facile dare la colpa alla burocrazia.

Il circolo vizioso del capro espiatorio

Il “bias attore-osservatore” è una tendenza cognitiva che porta le persone ad attribuire i propri comportamenti a cause esterne (situazionali) e i comportamenti degli altri a cause interne (disposizionali). In pratica, tendiamo a giustificare i nostri errori o fallimenti con circostanze esterne, mentre attribuiamo gli stessi errori o fallimenti degli altri a loro difetti personali o caratteristiche di personalità.

In questa dinamica disfunzionale, le persone vengono sempre indicate come il principale punto debole del sistema di sicurezza: è un comodo pregiudizio che deresponsabilizza i progettisti di processi e tecnologie, spostando la colpa sui “fattori umani” invece di riconoscere i limiti sistemici del proprio operato.

Ma anche i processi diventano un comodo capro espiatorio: quando qualcosa va storto, si può sempre dire che il processo non è stato seguito correttamente o che la burocrazia è troppa, invece di interrogarsi sull’adeguatezza del processo stesso alle reali esigenze operative.

È vero che la burocrazia, in quanto organizzazione complessa e strutturata, può diventare lenta, rigida e complessa, rallentando le procedure e limitando la flessibilità. Ma costituisce anche una forma di garanzia, perché mira a garantire imparzialità e trasparenza.

Il risultato finale è la concentrazione ossessiva sulle tecnologie come bacchetta magica e panacea di tutti i problemi. È un approccio che ignora che le tecnologie sono solo strumenti nelle mani di persone che operano all’interno di processi organizzativi.

Il ribaltamento necessario: da PPT a TPP consapevole

Nella pratica, molte organizzazioni hanno già ribaltato inconsciamente il paradigma da PPT (Persone, Processi, Tecnologie) a TPP (Tecnologie, Processi, Persone), privilegiando investimenti tecnologici e standardizzazione procedurale a scapito dello sviluppo umano.

Al contrario, il nuovo approccio deve riconoscere che sono sempre le persone gli architetti del sistema: quelle che operativamente programmano le tecnologie, disegnano i processi, creativamente producono le leggi e trovano il modo per aggirarle, decidono di essere la guardia oppure il ladro.

Lo scopo autentico di tecnologie e processi

Quando la dimensione tecnologica o procedurale prende il posto di quella umana, si perde di vista il vero motivo per cui le tecnologie esistono: fornire valore alle persone, semplificare il loro accesso alle informazioni, fluidificare il modo in cui lavorano.

In ultima istanza, tecnologie e processi devono rendere le persone capaci di prendere decisioni informate. Ogni investimento che non contribuisce a questo obiettivo rappresenta spreco di risorse e potenziale creazione di nuove vulnerabilità.

La saggezza Maori per la cyber security moderna

Un detto Maori insegna: «He aha te mea nui o te ao? Lui tāngata, lui tāngata, lui tāngata» – «Qual è la cosa più importante del mondo? Sono le persone, sono le persone, sono le persone». Una saggezza antica che offre la chiave per una cyber security efficace.

Rifocalizzare la sicurezza sulle persone non significa ignorare tecnologie e processi, ma riconoscere che questi sono strumenti al servizio degli esseri umani, non padroni che li dominano.

Infatti, le tecnologie ci consentono di prioritizzare, riassumere, visualizzare milioni di dati che il nostro cervello non riuscirebbe a digerire, mentre i processi ci consentono di essere svegliati di notte da un allarme rosso e sapere cosa fare.

Verso una cyber security umano-centrica

Il futuro della cyber security richiede superamento dell’illusione che processi e tecnologie possano sostituire competenza, esperienza e giudizio umano.

Questi elementi rimangono complementari, con le persone al centro: solo investendo nello sviluppo, nella formazione e nella valorizzazione delle persone si può costruire una sicurezza realmente efficace che trasformi potenziali vulnerabilità in punti di forza competitivi.

La lezione è chiara: nella cyber security, come nella vita, sono sempre le persone la cosa più importante del mondo.

[1] Per approfondimenti: “Manuale CISO Security Manager”. Per una guida completa alla compliance cyber security e alle competenze normative necessarie ai professionisti della sicurezza, il manuale offre un approfondimento dettagliato su normative nazionali ed europee, strategie di conformità e best practice operative.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

S
Fabrizio Saviano
CISO ANPS Milano
Seguimi su

Leggi anche:

Who's Who

Argomenti

Canali

Con o Senza – Galaxy AI per il business

Tutti
Mobile security
AI per il lavoro
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone

Articoli correlati

  • Dal comandante al CISO: il pensiero analitico come metodo di comando nella sicurezza informatica

  • professioni cyber

    Il profilo del CISO del futuro: l'Italia accelera, ma mancano competenze multidisciplinari

    15 Lug 2025

    di Fabrizio Saviano

    Condividi
  • Ransomware evoluzione della minaccia

  • l'analisi

    Ransomware: evoluzione di una minaccia globale e impatto concreto in Italia

    06 Ago 2025

    di Irina Artioli

    Condividi
  • Copertina

  • Pubbliredazionale

    it-sa Expo&Congress: la fiera leader in Europa nel settore della sicurezza informatica continua a crescere nel 2025

    08 Set 2025

    di Redazione Cybersecurity360.it

    Condividi
  • Cyber security PMI; Cyber attacchi in Italia: 3 pilastri per difendere le Pmi

  • la guida pratica

    La cyber migliora imprese e business: come le PMI possono proteggere il futuro digitale

    06 Ott 2025

    di Alessandro Donelli

    Condividi