La stupidità funzionale (stupidità digitale) nella Cyber Security

Quanto il seguire pedissequamente le procedure aziendale porta a problematiche?

Ci sono soluzioni? Ma quali gli impatti nella gestione della security? Possiamo essere affetti da stupidità digitale?

Ignorare può essere una soluzione?

"Lo faccio semplicemente perché c'è scritto" o anche "Facciamo sempre così".

Ricordo di una volta durante una consulenza dove una persona dovendo produrre delle evidenze, era costretta a fare gli screen di tutte le modifiche fatte alle utenze SAP.

Alla domanda: "per quale motivo?". Perché è definito in procedura. Non sapendo che in SAP esiste un meccanismo di trace e logging specifico delle modifiche fatte.

Può capitare a tutti, a volte, di inserire in pilota automatico senza troppi ragionamenti.

Questo, tuttavia, se viene attivato sempre, può portare alla limitazione del pensiero e quindi uno dei principali indiziati in questo contesto.

Un po' più nel dettaglio il:

• non riflettere, non mettere in dubbio nulla ed accettare tutte le policy e procedure per buone e senza errori
• non chiedersi il perché delle proprie azioni
• non considerare le conseguenze

Attenzione, seguire le procedure non è nocivo, anzi è sicuramente corretto e consigliato. Ma qui non si parla di questo. Si parla di farlo pedissequamente senza porsi alcuna domanda.

A volte anche solo il chiedersi, ma per quale motivo lo stiamo facendo? C'è un modo migliore per farlo? Può essere utile.

Purtroppo, può capitare di risultare "fuori dagli standard". Se chi si occupa di questi aspetti, seguendo l'esempio sopra, prova a sollevare problemi o dubbi, spesso viene visto come un rompiscatole.

Cosa può capitare quindi?

• dire ai riporti ciò che vogliono sentirsi dire, evitando di sollevare problemi
• Se il capo non dà peso a qualcosa, non approfondire ed accettare di lasciar perdere
• limitare il più possibile domande, dubbi

Quanto l'essere fuori dal coro può creare problemi con la leadership? Nessuno vuole nuovi problemi da gestire, ogni giorno già ce ne sono senza sollevarli. Meglio non sollevare polveroni inutili. Meglio prediligere allora essere ignoranti. Quanto però questi aspetti permettono di proteggere realmente la sicurezza dei dati aziendali?

La società del controllo superficiale

Abbiamo seguito le procedure e tutte le policy aziendali. Eppure, qualcosa non ha funzionato come deve. Per quale motivo?

Quanto la definizione delle procedure e policy aziendali viene realmente controllata nella pratica?

Viene consigliato e sicuramente è utile definire tutte le policy (senza esagerare) ma quando e come vengono attuati operativamente i controlli? E quanto invece diventa materiale da presentare alle parti interessate, magari durante ispezioni, senza approfondire più di tanto le applicazioni di queste?

Meglio un power point ben fatto rispetto alla sostanza dei controlli posti in essere?

Quanto il window dressing, in questo contesto, fa parte della tua organizzazione?

Inizia ad ascoltare qui per partire!

Questo articolo è stato ispirato dalle seguenti fonti:

• Allegro ma non troppo- di Carlo Maria Cipolla
• Il paradosso della stupidità. Il potere e le trappole della stupidità nel mondo del lavoro di Mats Alvesson e André Spicer