{"id":29990,"date":"2025-08-29T10:00:48","date_gmt":"2025-08-29T08:00:48","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=29990"},"modified":"2025-08-26T21:05:41","modified_gmt":"2025-08-26T19:05:41","slug":"no-blame-cybersecurity-culture","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/no-blame-cybersecurity-culture\/29990\/","title":{"rendered":"Niente colpe: in che modo la sicurezza psicologica aiuta a migliorare la cybersecurity"},"content":{"rendered":"<p>Anche le aziende con un atteggiamento maturo in materia di cybersecurity e investimenti significativi nella protezione dei dati non sono immuni dai cyberincidenti. Gli autori degli attacchi possono sfruttare <a target=\"_blank\" href=\"https:\/\/securelist.com\/cve-2018-8453-used-in-targeted-attacks\/88151\/\" rel=\"noopener\">le vulnerabilit\u00e0 zero-day<\/a> o <a target=\"_blank\" href=\"https:\/\/securelist.com\/gopuram-backdoor-deployed-through-3cx-supply-chain-attack\/109344\/\" rel=\"noopener\">compromettere una supply chain<\/a>. I dipendenti possono <a target=\"_blank\" href=\"https:\/\/thehackernews.com\/2025\/06\/fbi-warns-of-scattered-spiders.html\" rel=\"noopener nofollow\">essere vittime di sofisticate truffe<\/a> progettate per violare le difese dell\u2019azienda. Lo stesso team di cybersecurity pu\u00f2 commettere un errore <a target=\"_blank\" rel=\"nofollow noopener\" href=\"https:\/\/securelist.com\/compromise-assessment-cases\/114332\/\">durante la configurazione degli strumenti di protezione<\/a> o durante una <a target=\"_blank\" href=\"https:\/\/securelist.com\/incident-response-interesting-cases-2023\/110492\/\" rel=\"noopener\">procedura di reazione agli incidenti<\/a>. Ciascuno di questi incidenti rappresenta tuttavia un\u2019opportunit\u00e0 per migliorare processi e sistemi, rendendo le difese ancora pi\u00f9 efficaci. Non si tratta solo di mettere insieme le idee, ma di un approccio pratico che ha avuto abbastanza successo in altri campi come la sicurezza aerea.<\/p>\n<p>Nel settore dell\u2019aviazione, <a target=\"_blank\" rel=\"nofollow noopener\" href=\"https:\/\/www.ecfr.gov\/current\/title-14\/chapter-I\/subchapter-A\/part-5\">quasi tutti i player del settore<\/a>, dagli ingegneri progettisti agli assistenti di volo, sono tenuti a condividere le informazioni per prevenire incidenti. Non solo riguardo agli arresti anomali o agli errori di sistema; il settore segnala anche potenziali problemi. Questi rapporti vengono costantemente analizzati e le misure di sicurezza vengono adeguate in base ai risultati. Secondo le <a target=\"_blank\" rel=\"nofollow noopener\" href=\"https:\/\/commercial.allianz.com\/news-and-insights\/expert-risk-articles\/how-aviation-safety-has-improved.html\">statistiche di Allianz Commercial<\/a>, questa continua implementazione di nuove misure e tecnologie ha portato a una significativa riduzione degli incidenti mortali, da 40 ogni milione di voli nel 1959 a 0,1 nel 2015.<\/p>\n<p>Sempre nel settore dell\u2019aviazione, \u00e8 stato riconosciuto da tempo che questo modello semplicemente non potrebbe funzionare se le persone avessero avuto, o mai avranno, timore nel segnalare violazioni delle procedure, problemi di qualit\u00e0 e altre cause di incidenti. Ecco perch\u00e9 gli standard aeronautici includono requisiti per <a target=\"_blank\" rel=\"nofollow noopener\" href=\"https:\/\/skybrary.aero\/articles\/national-reporting-systems\">la segnalazione non punitiva<\/a> e una <a target=\"_blank\" rel=\"nofollow noopener\" href=\"https:\/\/eur-lex.europa.eu\/legal-content\/EN\/TXT\/?uri=celex:32014R0376\">cultura corretta<\/a>, il che significa che la segnalazione di problemi e violazioni non dovrebbe portare a una punizione. I tecnici DevOps hanno un principio simile che chiamano <a target=\"_blank\" rel=\"nofollow noopener\" href=\"https:\/\/www.pluralsight.com\/resources\/blog\/tech-operations\/how-conduct-blameless-postmortems-incident\">cultura irreprensibile<\/a>, che utilizzano durante l\u2019analisi degli incidenti rilevanti. Questo approccio \u00e8 essenziale anche nella cybersecurity.<\/p>\n<h2>Ogni errore ha un nome e un cognome?<\/h2>\n<p>L\u2019opposto di una cultura irreprensibile \u00e8 l\u2019idea che \u201cogni errore abbia un nome e un cognome\u201d, il che significa che la colpa \u00e8 di una persona specifica. Con questo approccio, ogni errore pu\u00f2 portare a sanzioni disciplinari, incluso il licenziamento. Questo principio \u00e8 considerato dannoso e non porta a una migliore sicurezza.<\/p>\n<ul>\n<li>I dipendenti temono la responsabilit\u00e0 e tendono a <a target=\"_blank\" rel=\"nofollow noopener\" href=\"https:\/\/web.archive.org\/web\/20220329080055\/https:\/www.tessian.com\/resources\/psychology-of-human-error-2022\/\">distorcere i fatti durante le indagini sugli incidenti<\/a> o addirittura a distruggere le prove.<\/li>\n<li>Prove distorte o parzialmente distrutte complicano la reazione e peggiorano il risultato generale, poich\u00e9 i team di sicurezza non sono in grado di valutare in modo rapido e corretto l\u2019ambito di un determinato incidente.<\/li>\n<li>Azzerare una persona da incolpare durante la revisione di un incidente impedisce al team di concentrarsi su come modificare il sistema per evitare che incidenti simili si ripetano.<\/li>\n<li>I dipendenti hanno paura di segnalare le violazioni dei criteri di sicurezza e IT, facendo perdere all\u2019azienda le opportunit\u00e0 di correggere le falle di sicurezza <em>prima che<\/em> queste causino un incidente critico.<\/li>\n<li>I dipendenti non hanno motivo di discutere di problemi di cybersecurity, istruirsi a vicenda o correggere gli errori dei colleghi.<\/li>\n<\/ul>\n<p>Per consentire davvero a ogni dipendente di contribuire alla sicurezza dell\u2019azienda, \u00e8 necessario un approccio diverso.<\/p>\n<h2>I principi fondamentali di una cultura giusta<\/h2>\n<p>Chiamarla \u201csegnalazione non punitiva\u201d o \u201ccultura irreprensibile\u201d, i principi fondamentali sono gli stessi:<\/p>\n<ul>\n<li>Tutti commettono errori. Impariamo dai nostri errori, invece di punire. Tuttavia, \u00e8 fondamentale distinguere tra un errore onesto e una violazione dannosa.<\/li>\n<li>Durante l\u2019analisi degli incidenti di sicurezza, \u00e8 necessario considerare il contesto generale, le intenzioni del dipendente e tutti i problemi sistemici che potrebbero aver contribuito alla situazione. Ad esempio, se un elevato turnover dei dipendenti stagionali nelle vendite al dettaglio impedisce loro di ottenere account individuali, \u00e8 possibile ricorrere alla condivisione di un unico accesso per un terminale POS (Point of sale). L\u2019amministratore del negozio ha colpe? Probabilmente no.<\/li>\n<li>Oltre alla semplice revisione di dati tecnici e log, \u00e8 necessario intrattenere conversazioni approfondite con tutte le persone coinvolte in un incidente. A tale scopo \u00e8 necessario creare un ambiente produttivo e sicuro in cui le persone si sentano a proprio agio nel condividere le proprie prospettive.<\/li>\n<li>L\u2019obiettivo di una revisione dell\u2019incidente dovrebbe essere il miglioramento del comportamento, della tecnologia e dei processi in futuro. Per quanto riguarda quest\u2019ultimo per gli incidenti gravi, \u00e8 necessario suddividerli in due: <em>reazione immediata<\/em> per mitigare il danno e <em>analisi successiva<\/em> per migliorare i sistemi e le procedure.<\/li>\n<li>Soprattutto, essere aperti e trasparenti. I dipendenti devono sapere come vengono gestite le segnalazioni di problemi e incidenti e come vengono prese le decisioni. Dovrebbero sapere esattamente a chi rivolgersi se vedono o addirittura sospettano un problema di sicurezza. Devono sapere che sia i supervisori che gli specialisti della sicurezza li supporteranno.<\/li>\n<li>Riservatezza e protezione. La segnalazione di un problema di sicurezza non dovrebbe creare problemi alla persona che lo ha segnalato o alla persona che potrebbe averlo causato, a condizione che entrambi abbiano agito in buona fede.<\/li>\n<\/ul>\n<h2>Come implementare questi principi nella cultura della protezione<\/h2>\n<p><strong>Assicurare il consenso della leadership.<\/strong> Una cultura della sicurezza non richiede ingenti investimenti diretti, ma richiede il supporto coerente da parte dei team delle risorse umane, della sicurezza informatica e delle comunicazioni interne. I dipendenti devono inoltre assicurarsi che il top management approvi attivamente questo approccio.<\/p>\n<p><strong>Documenta il tuo approccio.<\/strong> La filosofia della cultura irreprensibile dovrebbe essere contenuta nei documenti ufficiali dell\u2019azienda, da criteri di sicurezza dettagliati a una guida breve e semplice che ogni dipendente legger\u00e0 e capir\u00e0 effettivamente. Questo documento dovrebbe indicare chiaramente la posizione dell\u2019azienda sulla differenza tra un errore e una violazione dolosa. Dovrebbe affermare formalmente che i dipendenti non saranno ritenuti personalmente responsabili per errori onesti e che la priorit\u00e0 collettiva \u00e8 migliorare la sicurezza dell\u2019azienda e prevenire che si ripetano in futuro.<\/p>\n<p><strong>Creare canali per la segnalazione dei problemi.<\/strong> Offrire ai dipendenti diversi modi per segnalare i problemi: una sezione dedicata nella Intranet, un indirizzo e-mail specifico o la possibilit\u00e0 di avvisare semplicemente il proprio superiore. L\u2019ideale \u00e8 anche disporre di una hotline anonima per segnalare problemi senza timore.<\/p>\n<p><strong>Formazione dei dipendenti <\/strong>La formazione aiuta i dipendenti a riconoscere processi e comportamenti non sicuri. Utilizzare esempi reali di problemi da segnalare e illustrare diversi scenari di incidente. \u00c8 possibile utilizzare <a href=\"https:\/\/k-asap.com\/it\/?icid=it_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder____kasap___\" target=\"_blank\" rel=\"noopener\">la nostra Kaspersky Automated Security Awareness Platform<\/a> per organizzare queste sessioni di formazione sulla sensibilizzazione alla cybersecurity. Motivare i dipendenti non solo a segnalare gli incidenti, ma anche a suggerire miglioramenti e pensare a come prevenire problemi di sicurezza nel lavoro quotidiano.<\/p>\n<p><strong><\/strong><\/p>\n<p>Forma la leadership. Ogni manager deve capire come rispondere alle segnalazioni del proprio team. Hanno bisogno di sapere come e dove inoltrare una segnalazione e come evitare di creare isole incentrate sulla colpa in un mare di cultura giusta. Insegnare ai dirigenti a rispondere in un modo che faccia sentire i colleghi supportati e protetti. Le loro reazioni agli incidenti e alle segnalazioni di errori devono essere costruttive. I leader dovrebbero inoltre incoraggiare le discussioni sui problemi di sicurezza nelle riunioni del team per normalizzare l\u2019argomento.<\/p>\n<p><strong>Sviluppare una procedura di revisione equa<\/strong> per gli incidenti e le segnalazioni di problemi di sicurezza. Sar\u00e0 necessario radunare un gruppo eterogeneo di dipendenti provenienti da diversi team per formare una \u201ccommissione di revisione irreprensibile\u201d. Sar\u00e0 responsabile della tempestiva elaborazione dei rapporti, del processo decisionale e della creazione di piani d\u2019azione per ciascun caso.<\/p>\n<p><strong>Premiare la proattivit\u00e0.<\/strong> Lodare e premiare pubblicamente i dipendenti che segnalano tentativi di spearphishing o nuovi difetti scoperti nei criteri o nelle configurazioni, o che semplicemente completano la formazione per sensibilizzare meglio e pi\u00f9 velocemente gli altri membri del proprio team. Menzionare questi dipendenti proattivi nelle comunicazioni periodiche relative alla sicurezza e all\u2019IT, ad esempio nelle newsletter.<\/p>\n<p><strong>Integrare i risultati nei processi di gestione della sicurezza.<\/strong> Le conclusioni e i suggerimenti della commissione di revisione devono avere la priorit\u00e0 ed essere inseriti nel <a target=\"_blank\" href=\"https:\/\/www.kaspersky.com\/blog\/cyber-resilience-101\/53464\/\" rel=\"noopener nofollow\">piano aziendale per la resilienza informatica<\/a>. Alcuni risultati possono semplicemente influenzare le valutazioni dei rischi, mentre altri potrebbero portare direttamente a modifiche dei criteri aziendali o all\u2019implementazione di nuovi controlli di sicurezza tecnici o alla riconfigurazione di quelli esistenti.<\/p>\n<p><strong>Usa gli errori come opportunit\u00e0 di apprendimento.<\/strong> Il <a target=\"_blank\" href=\"https:\/\/www.kaspersky.com\/blog\/vr-interactive-simulation\/40188\/\" rel=\"noopener nofollow\">programma di sensibilizzazione alla sicurezza<\/a> sar\u00e0 pi\u00f9 efficace se utilizza esempi reali della propria organizzazione. Non \u00e8 necessario nominare persone specifiche, ma \u00e8 possibile menzionare team e sistemi e descrivere scenari di attacco.<\/p>\n<p><strong>Misurare le prestazioni.<\/strong> Per garantire che questo processo funzioni e fornisca risultati, \u00e8 necessario utilizzare metriche di sicurezza informatica, nonch\u00e9 KPI delle risorse umane e delle comunicazioni. Tenere traccia dell\u2019<a target=\"_blank\" href=\"https:\/\/encyclopedia.kaspersky.com\/glossary\/mean-time-to-respond-mttr\/\" rel=\"noopener\">MTTR<\/a> per i problemi identificati, la percentuale di problemi rilevati tramite le relazioni dei dipendenti, i livelli di soddisfazione dei dipendenti, il numero e la natura dei problemi di sicurezza identificati e il numero di dipendenti coinvolti nel suggerire miglioramenti.<\/p>\n<h2>Eccezioni importanti<\/h2>\n<p>Una cultura della sicurezza o una cultura irreprensibile non significa che nessuno venga mai ritenuto responsabile. Ad esempio, i documenti sulla sicurezza aerea relativi alle segnalazioni non punitive includono eccezioni cruciali. La protezione non si applica quando qualcuno si discosta consapevolmente e intenzionalmente dalle normative. Questa eccezione impedisce a un insider che ha divulgato dati alla concorrenza di godere della completa impunit\u00e0 dopo aver confessato.<\/p>\n<p>La seconda eccezione si verifica quando le normative nazionali o di settore richiedono che i singoli dipendenti siano ritenuti personalmente responsabili per incidenti e violazioni. Anche con questo tipo di regolamentazione, \u00e8 fondamentale mantenere l\u2019equilibrio. L\u2019attenzione dovrebbe rimanere sul miglioramento dei processi e sulla prevenzione di incidenti futuri, non sull\u2019individuazione della colpa. \u00c8 comunque possibile creare una cultura della fiducia se le indagini sono obiettive e la responsabilit\u00e0 viene applicata solo dove \u00e8 veramente necessario e giustificato.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"kasap\">\n","protected":false},"excerpt":{"rendered":"<p>Le aziende devono creare una cultura della sicurezza, ma ci\u00f2 non \u00e8 possibile quando i dipendenti hanno paura di discutere di incidenti o suggerire miglioramenti.<\/p>\n","protected":false},"author":2722,"featured_media":29999,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2364,2955,2956],"tags":[3812,2982,3887,2500,2189,3296,3570,67],"class_list":{"0":"post-29990","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-azienda","11":"tag-ciso","12":"tag-cyber-resilienza","13":"tag-economia","14":"tag-istruzione","15":"tag-security-awareness","16":"tag-strategia","17":"tag-suggerimenti"},"hreflang":[{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/no-blame-cybersecurity-culture\/29990\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/no-blame-cybersecurity-culture\/29388\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/no-blame-cybersecurity-culture\/24502\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/no-blame-cybersecurity-culture\/12717\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/no-blame-cybersecurity-culture\/29336\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/no-blame-cybersecurity-culture\/28421\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/no-blame-cybersecurity-culture\/31299\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/no-blame-cybersecurity-culture\/40262\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/no-blame-cybersecurity-culture\/13679\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/no-blame-cybersecurity-culture\/54075\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/no-blame-cybersecurity-culture\/23080\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/no-blame-cybersecurity-culture\/32564\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/no-blame-cybersecurity-culture\/29553\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/no-blame-cybersecurity-culture\/35254\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/no-blame-cybersecurity-culture\/34902\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.it\/blog\/tag\/security-awareness\/","name":"security awareness"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/29990","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/users\/2722"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/comments?post=29990"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/29990\/revisions"}],"predecessor-version":[{"id":30017,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/29990\/revisions\/30017"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media\/29999"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media?parent=29990"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/categories?post=29990"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/tags?post=29990"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}