Il fattore ricorrente nella quasi totalità dei casi di sabotaggio tecnologico è quello dell’insoddisfazione o della rabbia che i dipendenti covano nei confronti dell’organizzazione di appartenenza
È legge. Il 30% dei posti in consiglio di amministrazione dovrà essere “donna”. Per fortuna la norma non si applica ad altri settori. Fortuna? Certo e mi spiego subito.
Il 96% dei “malicious insider” è maschio. E meno male. Visto e considerato che le donne – non si può non ammetterlo – sono più brave degli uomini, meno male che non ci sono “quote rosa” nelle attività criminali all’interno delle organizzazioni. Povere aziende se si passasse dal 4% di minaccia in gonnella a una percentuale più elevata… È la vecchia storia secondo la quale se ci fossero più donne hacker sarebbero guai seri.
Tema del nostro appuntamento è il rischio derivante dagli “insider” e l’ottica della nostra chiacchierata è indirizzata a scandagliare i comportamenti tipici che innescano problemi all’interno delle realtà prese di mira.
Il fattore ricorrente nella quasi totalità dei casi di sabotaggio tecnologico è quello dell’insoddisfazione o della rabbia che i dipendenti covano nei confronti dell’organizzazione di appartenenza. L’evento scatenante è spesso il capolinea di aspettative di carriera o anche il banale mancato riconoscimento di uno specifico merito.
La panoramica delle possibili situazioni ricomprende tre ipotesi principali.
Una prima fattispecie è quella del lavoratore che crede di avere (o addirittura che gli spetti di diritto) una certa libertà nell’utilizzo personale delle risorse informatiche dell’azienda e invece viene ripreso dai suoi superiori per l’aver impropriamente adoperato la connessione a Internet, il computer che gli era stato affidato o magari i dischi installati sul server condiviso.
Caso numero 2. Il tizio, che immagina di avere una posizione di controllo o comunque predominante su rete e Pc della realtà in cui è inserito, non riceve alcun riconoscimento in tal senso o – qualora un determinato ruolo fosse già stato conferito precedentemente – si vede revocati i poteri correlati allo specifico incarico.
La terza tipologia possibile è quella del soggetto che si aspetta un certo riconoscimento economico per il suo lavoro e – a dispetto di quel che poteva aver immaginato – la gratifica attribuita è di importo inferiore al previsto magari in ragione delle condizioni finanziarie.
Chi ha approfondito questo argomento evidenzia una certa predisposizione dei soggetti a maturare insani propositi con cui dar sfogo alla sete di vendetta. Quella sorta di “attitudine”, naturalmente, varia da persona a persona ed è (o dovrebbe essere) comunque riconoscibile sulla base di almeno tre elementi caratterizzanti: seri disordini di salute mentale, particolari precedenti in termini di relazioni sociali o di decisioni assunte in passato, conflittualità pregressa manifestata in ambiti analoghi o anche differenti.
Secondo alcuni ricercatori (Band, Cappelli e altri) della Carnegie Mellon University, le aspettative che l’insider matura continuano a crescere con il verificarsi dei requisiti previsti per conseguire un certo risultato. Ogni conferma della sussistenza di quanto occorre per meritare una promozione o un aumento va a incrementare attese e speranze. Il mancato perseguimento di un determinato obiettivo (per inutile decorso del tempo o per un qualunque evento che vada a costituire il fattore scatenante) comporta l’innesco di una sorta di ordigno comportamentale.
In un momento difficile come quello presente, alla mancata progressione di carriera e al provvedimento disciplinare che da sempre hanno generato reazioni forti, il licenziamento o anche il suo semplice spettro possono far esplodere condotte imprevedibili anche nei soggetti più insospettabili.
La sicurezza informatica non comincia da computer e reti, ma proprio dalla serenità di chi utilizza quegli strumenti ogni giorno. E troppo spesso ce lo dimentichiamo.
