Cybersecurity paradox

Cybersecurity paradox: la sicurezza informatica più efficace dipende dal “caring” delle risorse umane

A cura di Alessia Valentini

Il Progressivo depauperamento della gestione di risorse umane nelle aziende ha portato diversi fenomeni sistemici: quite quitting, ghostworking addirittura skill shortage dei dipendenti più “datati” e fuga di cercelli. Ma se demotivazione, dequalificazione e destabilizzazione sono deleterie per qualsiasi azienda, nel contesto della sicurezza informatica possono rappresentare un vero e proprio suicidio professionale, una sorta di harakiri sistemico. Ma uscire dal circolo vizioso, non solo si può, si deve. Basta occuparsi per davvero della “ROOT cause”.

La forza lavoro in ogni organizzazione è storicamente sempre stata indicata come insieme delle “risorse umane”. Proprio questo termine, “risorse” dovrebbe far riflettere sulla qualità dell’apporto che ogni individuo rappresenta in azienda. Non si parla solo di hard e soft skill, che, come è noto, rispettivamente costituiscono le capacità e competenze principali legate al lavoro svolto e le competenze secondarie da qualche anno rivalutate come altrettanto cruciali. Di fatto, il valore delle persone in azienda è spesso un valore intangibile, legato alle idee, alla capacità di pensare a delle soluzioni innovative, all’entusiasmo, al contributo di passione per il proprio lavoro, alla genuina emozione che si prova nel contribuire insieme ad un progetto ed alla soddisfazione di vederlo svolto bene e riceverne un riconoscimento. Come è facile vedere sono tutti elementi fortemente legati alle emozioni, al nostro “essere umani”. Quelle emozioni che da qualche anno le aziende di ogni ordine e grado vorrebbero suscitare nei propri dipendenti, per “consacrarli” all’azienda, per vederli “mettere anima e cuore” nel lavoro, senza valutare davvero cosa stiano dando in cambio. Purtroppo, sebbene il corrispettivo salariale sia doveroso (anche se dovrebbe essere maggiormente commisurato al ruolo, esperienza e competenze), non basta da solo, a “ingaggiare” davvero le risorse. Sembrano infatti mancare elementi valoriali condivisi, cura delle risorse fatto da formazione e benefit, rispetto vero e proprio delle persone; tutte aspettative mancate in generale, che stanno trasformando il mondo del lavoro in modo sempre più asettico e distaccato con conseguenze di allontanamento emotivo e a seguire anche professionale. Il culmine di tale fenomenologia è lato dipendenti, un abbandono progressivo e un disamoramento del luogo di lavoro, lato azienda, l’adozione di strumenti e agenti automatizzati, che forse possono occuparsi di parte delle attività più a basso livello, ma che certamente non si “sperticano” più del dovuto nei momenti topici e nei casi di crisi. Non si vuole qui sostenere che il lavoro debba diventare una “questione personale”, ma certo un apporto professionale arricchito da motivazione e coinvolgimento come normale bilanciamento è oggi in uno stato di crisi.

Tutta questa dinamica investe il mondo della Cybersecurity in modo ancora più decisivo: le persone sono considerate una prima linea di difesa e il primo motore di reazione e contenimento di incidenti di sicurezza; quindi, i fenomeni depressivi e demotivanti, aggiunti alla cronica pressione e burnout possono concorrere a generare crisi di sicurezza anche del tutto involontarie, ma con effetti domino in termini di danni e reputazione dell’organizzazione.

La soluzione per uscire dall’empasse esiste, ma richiede un profondo esame di coscienza, una riflessione del board e una altrettanto seria e rinnovata cultura delle risorse.

La fotografia attuale

Sono molte le aziende soprattutto in America che dopo la pandemia stanno lanciando un pericoloso monito ai loro lavoratori con effetti anche in Italia. Ne parla Alessandro Lubello per l’Internazionale ma anche il Wall Street Journal sottolineando la regola del “tutti sono rimpiazzabili” che, perlomeno qui in Italia, si conosce da anni nella forma “tutti sono utili, nessuno è indispensabile”. Non che saperlo avvantaggi le organizzazioni italiane che sembrano soffrire delle stesse logiche americane, secondo cui, scrive Lubello, si verifica “una vera e propria ‘guerra contro il talento’, con dirigenti che se fino a qualche tempo fa non mancavano mai di lodare i dipendenti come ‘il loro bene più prezioso’, oggi non si fanno problemi dichiarare ‘lavora di più, lamentati di meno e sii contento se hai ancora un lavoro”.

D’altra parte, l’indagine European workforce study 2025 di Great place to work sembra certificare per l’Italia proprio questa incapacità di trattenere i talenti: il 40% dei lavoratori su base nazionale ha dichiarato l’intento di cambiare impiego, contro una media europea del 31% e con il picco tra le fasce più giovani, tra i 18 e i 24 anni. Cause scatenanti sono stipendi fermi e scarsa formazione e su tutto l’incapacità dei leader, che non sanno ascoltare i dipendenti. I giovani lamentano la scarsa capacità da parte degli imprenditori di fidelizzarli. Il presidente di Great place to work Italia Beniamino Bedusa, spiega che “ai manager italiani non mancano le competenze ma il loro rapporto con i dipendenti non funziona, non sanno valorizzarli”. Dal rapporto emerge come solo il 44% degli impiegati si fidi del proprio capo contro un tasso di stima del 64% nel Nord Europa. Questo perché sottolinea Bedusa “i manager devono prendersi cura dei collaboratori, evitare di controllarli di continuo, dare loro fiducia e far capire come si raggiungono gli obiettivi”. Nel campo della Cybersecurity questa disattenzione si concretizza anche con un imponente voragine di skill shortage (giunto allo strabiliante valore di 3,5 posizioni mancanti su base mondiale – secondo Cybercrime magazines, cioè mancanza di competenze, che se in parte è dovuta a scarsità di nuovo personale con le appropriate competenze di sicurezza, in parte è anche causato dalla cronica assenza di formazione specialistica nelle aziende, che lasciano invecchiare le capacità e competenze dei loro dipendenti, senza formarli continuamente in modo allineato alle esigenze del business in trasformazione digitale e ai temi di sicurezza informatica correlati. La linea spesso tenuta dalle aziende è “invitare all’uscita” i dipendenti “datati” con scivoli e accordi conciliativi di licenziamento, per poi assumere nuove leve, a costi bassi, dimenticando come nel frattempo perdano una importante bagaglio di conoscenze specifiche e specialistiche, che non potranno essere oggetto e soggetto di passaggio di consegne.

Istantanea a livello italiano

Per capire il fenomeno dello skill shortage e del conseguente fenomeno di fuga dei talenti verso l’estero (arrivato a oltre 97 mila unità) ne abbiamo parlato con Roberto Susanna Comunicazione e Ufficio Stampa di infocamere che di recente si è speso su questi temi su linkedin e a cui abbiamo chiesto quali possano essere le aspettative mancate e le retoriche che qui in Italia possono caratterizzare il mondo del lavoro: “Le aspettative disattese nel mercato del lavoro italiano, in particolare nei settori STEM e nella cybersecurity, sono uno degli elementi chiave per comprendere la crescente difficoltà nel trattenere talenti e nel contrastare fenomeni come lo skill shortage e il quiet quitting. Le nuove generazioni di professionisti entrano nel mondo del lavoro con un patrimonio di competenze tecnico-scientifiche solido e una visione chiara di cosa dovrebbe offrire un ambiente lavorativo moderno: percorsi di crescita strutturati, cultura del merito, aggiornamento costante e retribuzioni proporzionate alla complessità del ruolo. Queste aspettative, però, si scontrano spesso con contesti organizzativi rigidi, percorsi professionali poco trasparenti e un utilizzo parziale o distorto delle competenze acquisite. In molti casi, a mancare è una reale capacità di investimento nelle persone e nel loro sviluppo. Il risultato è un disallineamento tra ciò che il lavoratore è formato a fare e ciò che viene effettivamente chiamato a svolgere. Da qui, l’insoddisfazione che può spingere verso l’estero o verso forme di disimpegno interno, sempre più diffuse anche in Italia”.

Ma se sono visibili le conseguenze, la causa scatenante è da ricercarsi con doveroso scrupolo e proprio per questo chiediamo a Roberto Susanna di fornire una possibile motivazione su cosa manchi davvero nel mondo del lavoro oggi: “La retorica del cambiamento e dell’innovazione, da anni presente nel dibattito pubblico e privato, rappresenta oggi una delle principali ambiguità del sistema. Si parla con insistenza di “valorizzazione del talento”, di “centralità delle persone” e di “trasformazione digitale”, ma queste parole faticano a concretizzarsi in politiche aziendali efficaci. In molti casi, le imprese utilizzano un linguaggio orientato al futuro senza che questo si traduca in azioni coerenti: i giovani sono attratti con promesse di flessibilità e formazione continua, ma poi si ritrovano a operare in strutture ancora gerarchiche e lente, dove la vera innovazione è sporadica, e spesso solo di facciata. Il risultato è una perdita di credibilità del sistema: se il linguaggio aziendale promette evoluzione, ma l’esperienza quotidiana restituisce routine e scarsa valorizzazione, il rischio è che le parole diventino un guscio vuoto. Questa distanza alimenta la disillusione e contribuisce al calo dell’engagement, soprattutto tra i profili più preparati, quelli su cui oggi si fondano le sfide della competitività digitale”.

Conseguenze della mancata cura delle risorse

La distanza fra aspettative e realtà aziendale come scarsa attenzione alle risorse comporta diverse conseguenze, prima fra tutte il “quite quitting”, quel fenomeno per cui si resta al lavoro da insoddisfatti senza cercare miglioramento in altri luoghi di lavoro, “spegnendo” e riducendo le attività allo stretto indispensabile nell’organizzazione in cui si è occupati. Un ‘grande distacco’ che secondo il rapporto dell’Osservatorio HR Innovation practice interessa il l 12% dei lavoratori italiani (circa 2,3 milioni di lavoratori) che non si sente valorizzato nei propri talenti. Di contro esiste anche un 6% circa 1,1 milioni di lavoratori, cosiddetti Job Creeper, che non riescono a smettere di lavorare, anche sacrificando la propria vita privata. Fenomeni agli opposti, ma che evidenziano un malessere diffuso di insoddisfazione lavorativa. Fa pensare come secondo il rapporto dell’osservatorio solo l’11% sta bene su tutte e tre le dimensioni del benessere lavorativo: psicologica, relazionale e fisica. E gli altri? È possibile che nella percentuale rimanente sia ricompreso anche il ghostworking un fenomeno evidenziato dallo studio Resume now pubblicato dal New York Post che caratterizza i lavoratori che stressati fino al burn out, si rifugiano in attività simulate: fingono di essere indaffarati al lavoro per non essere ulteriormente caricati di task e attività.

Rinnovare la cultura verso le risorse

La ricetta per un vero cambio di passo deve necessariamente rimettere la risorsa al centro dei processi organizzativi, dei ruoli, delle mansioni e delle deleghe. L’improvvisazione su base emergenza per qualsiasi ruolo aziendale, ma in particolar modo per la Sicurezza informatica non può più essere una regola. Il progressivo impoverimento organizzativo, la semplificazione progressiva dei ruoli senza più sfumatura e appiattiti a tre livelli basici di tecnico, manager e venditore, non ha senso. È necessario ripensare a strutture organizzative che tengano conto di attività specialistiche ed in particolare se si guarda alla sicurezza informatica a tutti gli ambiti specialistici di cui è composta (defence, intelligence, GRC, VA/PT, operations, solo per citare le principali), fornendo ai diversi professionisti ruoli chiari e definiti, deleghe appropriate e budget commisurati, rinunciando al vetusto “on-man-band”, ovvero, un professionista caricato di tanti ruoli e mansioni di security come un unico parafulmine per tutte le stagioni, senza budget e senza deleghe e virare con decisione verso un sistema organizzativo che possa permettere al singolo dipendente un reale apporto all’organizzazione, una responsabile contribuzione su base delega per agire e decidere, un progressivo contributo formativo per mantenerlo aggiornato alla trasformazione del business e un opportuno riconoscimento a raggiungimento degli obiettivi.

Il solo rifugiandosi nella sostituzione di risorse umane con agenti di AI come automi automatizzati, non potrà che ulteriormente inaridire i luoghi di lavoro perdendo quello spunto alla creatività e innovazione che da sempre è patrimonio degli esseri umani e non dei suoi strumenti. Ai posteri…

Fonti: 

• l’Internazionale (https://www.internazionale.it/notizie/alessandro-lubello/2025/05/24/lavora-di-piu-e-lamentati-di-meno) 
• Wall Street Journal (https://www.wsj.com/lifestyle/workplace/corporate-bosses-workers-culture-changing-cbd19c2c?mod=hp_lead_pos8)
• European workforce study 2025 di Great place to work   (https://gptw.greatplacetowork.it/blog/european-workforce-study-2025),
• Cybercrime magazines (https://cybersecurityventures.com/jobs/ ),
• Osservatorio HR Innovation practice (https://www.osservatori.net/hr-innovation-practice/)
• Studio Resume now pubblicato dal New York Post (https://nypost.com/2025/05/21/lifestyle/what-is-ghostworking-trend-how-burned-out-employees-pretend-to-do-their-jobs-every-day/)