Per un’organizzazione identificare con un certo anticipo le minacce alla sicurezza che vengono sferrate dall’interno non è solo una questione di dotazione tecnologica e di strumenti di rilevamento. Gli esperti fanno notare come il sabotaggio informatico abbia una ricorsività di tipo fortemente psicologico. Il malcontento dei dipendenti o dei collaboratori rispetto a certe loro aspettative insoddisfatte è un indicatore importante. I dati confermano come, per vari motivi, la maggior parte dei dipendenti che commettono un crimine informatico è costituita da chi non è contento di lavorare per la propria azienda.
Cybercrime: l’aspettativa insoddisfatta come indicatore potenziale
Gli osservatori indagano le componenti emozionali e psicologiche che concorrono a creare un comportamento malevolo. Il punto di partenza dell’analisi è la genesi dell’insoddisfazione. Cosa crea un’aspettativa insoddisfatta? La risposta è semplice: qualcosa che il dipendente si aspetta e non si avvera oppure non si avvera nel modo in cui il dipendente se lo aspettava. La percezione del fallimento connaturata all’aspettativa mancata non solo si traduce in una mancata gratificazione, ma può arrivare a essere interpretata come una mancanza di rispetto nei propri confronti se non addirittura un insulto personale. Il processo psicologico innesca un senso di insoddisfazione e di infelicità che potrebbe spingere l’insider a punire l’organizzazione.
Esempi di aspettative insoddisfatte possono includere: aspettative di stipendio o bonus, aspettative di promozione, insoddisfazione del lavoro (in cui può rientrare anche il fatto di non aver ricevuto una promozione o di essere stato ripreso per scarso rendimento), richieste da parte di un supervisore, in particolare con un nuovo supervisore.
Spesso, le aspettative non soddisfatte si traducono in comportamenti che possono essere intercettati e osservati nella loro evoluzione. Se il dipendente palesa in qualche modo la sua insoddisfazione c’è un alto margine di probabilità che possa in qualche modo vendicarsi o rivalersi attraverso azioni che possono tradursi nel sabotaggio di informazioni privilegiate.
Nel sabotaggio informatico, un attacco interno è spesso preceduto da un evento (trasferimenti indesiderati, disaccordo con i superiori ecc.) che in qualche modo è stato la causa scatenante di una percezione negativa o minacciosa da parte del dipendente.
Cosa può fare il responsabile della sicurezza?
Un responsabile della sicurezza può gestire queste anomalie comportamentali intercettando le probabilità di potere incappare in minacce scaturite dall’interno. Questo riporta la questione a una sfera più ampia in cui il processo di assunzione e i meccanismi di retention possono fare la differenza, contribuendo a ridurre le motivazioni che possono portare un dipendente a comportarsi male nei confronti della propria azienda.
Un altro punto da chiarire sono le politiche di sicurezza in merito ai temi delle responsabilità e dei limiti dei dipendenti che dovrebbero essere chiaramente comunicate e applicate dall’azienda. L’applicazione non uniforme delle politiche può essere vista come un trattamento preferenziale, che può portare al risentimento e allo scontento dei dipendenti, portando insoddisfazione riguardo a un trattamento diverso, magari considerato più giusto e più equo. Il giudizio negativo, infatti, si può convertire in un’azione potenzialmente dannosa. Le organizzazioni dovrebbero avere politiche chiare in merito alla condotta dei dipendenti, definendo anche i codici da adottare in merito alle segnalazioni di comportamenti potenzialmente sospetti.
Comprendere quali sono le risorse IT più critiche dell’organizzazione
Chi si occupa di sicurezza aziendale deve rivedere i criteri di accesso e i ruoli di chi si occupa delle risorse IT dedicate alle attività più mission critical. L’obiettivo, infatti, è ampiamente condivisibile: si tratta di proteggere l’organizzazione e i suoi dipendenti. È necessario, dunque, che solo i dipendenti profilati ricevano l’accesso a questo tipo di applicazioni, in modo da limitare quanto più possibile i rischi. Per farlo bisogna creare una politica trasparente, coinvolgendo i dipendenti nel processo, arrivando a spiegare come e perché gli accessi sono limitati. Un altro segnale da leggere in fase di revisione degli accessi è rilevare chi può percepire in modo negativo il cambiamento: anche questo potrebbe essere un fattore che può innescare un comportamento anomalo, portando allo scoperto chi sta già in qualche modo danneggiando l’azienda.
Le imprese non possono ignorare una serie di indicatori comportamentali poiché, troppo spesso, questi comportamenti sono nel radar dell’attenzione dei colleghi e dei supervisori anche se, pur troppo, in molti casi non c’è una reazione adeguata. La mancanza di risposta è spesso il risultato di inesperienza o di una scarsa comprensione su come sarebbe giusto comportarsi mentre in altri casi, è solo il desiderio di non essere coinvolti nei problemi personali di un collega o di un subordinato. Tuttavia, non rispondere a questi segnali indicatori è anche una mancata occasione di poter aiutare il dipendente a risolvere i suoi conflitti prima che la rabbia e la frustrazione si convertano in un attacco all’organizzazione.
