L’ultimo report di Kaspersky intitolato “Taking care of corporate security and employee privacy: why cyber-protection is vital for both business and their staff”, mette in evidenza il “lato umano” degli incidenti legati alla sicurezza informatica, esaminando il disagio e le perdite che i dipendenti subiscono quando si verifica una violazione dei dati.
Secondo quando emerso dal report, circa un quarto (30%) dei dipendenti aziendali, responsabili della sicurezza IT dell’azienda, e quindi coinvolti a seguito di un incidente, ha dovuto rinunciare a importanti eventi personali mentre il 32% ha dovuto lavorare di notte e il 33% ha dichiarato di aver subito uno stress. Il 27%, invece, ha addirittura dovuto annullare le proprie ferie.
Anche se il rischio di una violazione dei dati è un pericolo sempre attuale, è importante che soprattutto in questo momento in cui stiamo affrontando un’epidemia a livello mondiale, le organizzazioni tengano sotto controllo la sicurezza dei dati in modo che gli incidenti non abbiano un ulteriore impatto negativo sul benessere dei dipendenti e sulla reputazione dell’azienda.
Quando lo stress dei dipendenti può costare “caro” alle aziende
Lo stress causato dal lavoro interferisce con l’equilibrio, l’efficienza e la motivazione del dipendente. Il 76% dei dipendenti ritiene che influisca sulle relazioni interpersonali mentre il 16% si è addirittura licenziato per questa ragione. È molto importante tenere in considerazione questo tipo di stress, soprattutto ora che molte persone lavorano da casa e faticano a mantenere una routine lavorativa produttiva. Per le aziende, questo stato emozionale può creare una diminuzione generale dell’efficienza dei dipendenti, influenzando le prestazioni dell’azienda stessa e portando quindi anche a perdite finanziarie dirette. Ad esempio, un numero sempre maggiore di giorni di assenza dei dipendenti a causa dello stress può costare a una grande organizzazione fino a 3,5 milioni di dollari all’anno. Inoltre, non va dimenticato il possibile danno alla reputazione in qualità di datore di lavoro.
Il report di Kaspersky ha rivelato che anche gli incidenti legati alla sicurezza informatica possono contribuire a un’esperienza di lavoro negativa, come in effetti è già successo in circa la metà delle PMI (48%) e delle enterprise (53%) che l’anno scorso hanno subito almeno una violazione dei dati. Il grafico che segue rivela quali sono le conseguenze personali che i responsabili della sicurezza IT devono affrontare quando gestiscono una violazione dei dati aziendali. Lo stress è, ancora una volta, la conseguenza più frequente: un terzo (33%) degli amministratori è stato sottoposto a molto più stress del solito, indipendentemente dal fatto che lavorasse in una grande azienda con pratiche avanzate di risposta agli incidenti o in un’azienda di medie dimensioni senza un reparto di sicurezza IT dedicato.
Se si verifica una violazione dei dati, l’IT e i team di sicurezza informatica devono indagare sull’incidente, ripulire e riparare il sistema oltre che adottare misure per evitare che questo attacco si ripeta. Di conseguenza, un terzo dei responsabili ha lavorato di notte o ha dovuto lavorare oltre l’orario normale di lavoro (33% per le PMI e 32% per le enterprise). Una situazione come questa può anche comportare il rinvio di altri compiti o di scadenze importanti in più di un quarto delle PMI (27%) e delle enterprise (26%). Inoltre, questo incide anche sulla vita personale, come sperimentato dal 20% dei professionisti IT nelle PMI e dal 30% nelle enterprise che, ad esempio, non hanno potuto partecipare a feste di compleanno o ad altri eventi personali importanti.
Come riferito in una nota ufficiale da Morten Lehn, General Manager Italy di Kaspersky: «Quando si parla di incidenti di sicurezza informatica in ambito aziendale, spesso ci si concentra esclusivamente sulle possibili ripercussioni che questi potrebbero avere sulle aziende stesse, come ad esempio la perdita economica o di fiducia da parte dei clienti. Esiste però un altro aspetto da tenere in considerazione, ovvero il modo in cui i dipendenti affrontano queste situazioni. È inutile dire quanto l’aggiungersi di un ulteriore stress sul lavoro o la mancanza di equilibrio tra lavoro e vita privata influisca sulla produttività dei dipendenti e, in modo ancora più critico, sulla loro salute mentale e fisica. Il benessere psico-fisico non deve essere sottovalutato, perché può influire anche sul business. Se i dipendenti condividono i propri sentimenti negativi con qualcuno al di fuori dell’organizzazione, questo può influire anche sull’azienda, compromettendo la reputazione della stessa anche in qualità di datore di lavoro. Questo può rivelarsi ancora più vero nel caso in cui l’azienda abbia subito una violazione dei dati e la sua reputazione sia già a rischio».
Le seguenti raccomandazioni di Kaspersky possono aiutare le organizzazioni a ridurre al minimo gli effetti di una violazione sui dipendenti:
- In caso di incidenti, siate trasparenti con i dipendenti. Informateli della situazione, e dei risvolti che avrà sull’azienda e su di loro e assicuratevi che sappiano a chi rivolgersi per qualsiasi evenienza. Questo approccio è particolarmente importante nei casi in cui i dipendenti lavorino a distanza per un periodo prolungato e si ritrovino quindi ad essere isolati gli uni dagli altri. Se una violazione riguarda i dati personali dei dipendenti, assicuratevi che siano informati dall’azienda e non dai media.
- È buona norma preparare, in tempi non sospetti, una lista di azioni da intraprendere in caso di incidente che il reparto IT può seguire e che includa informazioni quali: la persona che per prima dovrà essere avvisata, i nomi dei responsabili per ogni mansione e le iniziative da intraprendere. Questo può aiutare i dipendenti a sentirsi preparati oltra che a evitare il panico e le situazioni che provocano stress.
- Se si verifica una violazione, è importante non limitarsi ad individuare il colpevole ma concentrarsi su un’adeguata indagine delle cause e delle conseguenze.
- Ogni crisi può rappresentare un’opportunità. È importante spiegare ai dipendenti che il loro aiuto in una situazione del genere può rivelarsi fondamentale oltre che contribuire a mettere in luce le loro potenzialità.
- Creare una cultura aziendale in cui tutti i dipendenti comprendano l’importanza della sicurezza informatica. Formarli sull’origine e le conseguenze degli incidenti di questo tipo e spiegare attraverso corsi di formazione, come quelli forniti dalla piattaforma Kaspersky Automated Security Awareness Platform, in che modo evitare gli incidenti di cybersecurity seguendo semplici regole.
- Le violazioni possono attirare l’attenzione dei media, il che comporta un’esposizione pubblica indesiderata. La formazione del Kaspersky Incident Communications aiuta i team di comunicazione di un’azienda a migliorare le proprie competenze per lavorare in modo ottimale durante un attacco informatico.