Quando si parla di cybersecurity, l’attenzione si concentra spesso su tecnologie, strumenti e soluzioni di difesa. Molto meno su ciò che accade ogni giorno all’interno delle organizzazioni: assunzioni, onboarding, gestione degli accessi, formazione, cambi di ruolo, uscite del personale. Eppure, è proprio in questi passaggi che si costruisce – o si indebolisce – una parte rilevante della sicurezza aziendale. Il confine tra HR e cybersecurity non è quindi teorico, ma operativo: riguarda processi, responsabilità e comportamenti che incidono direttamente sull’esposizione al rischio. Analizzare questo rapporto significa capire perché la gestione delle persone sia oggi una componente strutturale delle strategie di sicurezza, e non un ambito separato o accessorio.
Il fattore umano come superficie di attacco: cosa dicono i dati
I dati più recenti confermano che il legame tra persone e sicurezza informatica non è teorico, ma strutturale. Secondo l’ENISA Threat Landscape 2025, le tecniche di social engineering rappresentano oggi il principale punto di ingresso degli attacchi cyber, con il phishing che da solo incide per circa il 60% dei casi osservati. Non si tratta quindi di un problema tecnologico in senso stretto, ma di un’esposizione che nasce dall’interazione quotidiana tra utenti, strumenti digitali e processi aziendali. Allo stesso tempo, ENISA evidenzia come non tutti gli episodi legati all’errore umano si traducano automaticamente in un incidente grave: solo una parte delle campagne di phishing evolve in una compromissione effettiva, mentre altre rimangono circoscritte o vengono intercettate.
Questo dato è particolarmente rilevante perché sposta il focus dalla colpevolizzazione del dipendente alla qualità dei processi di governance, formazione e controllo. A rafforzare questa lettura contribuisce anche l’IBM Cyber Security Intelligence Index Report, secondo cui il 95% delle violazioni di sicurezza è riconducibile, direttamente o indirettamente, a errori umani. Ancora più critico è il tema della responsabilità percepita: il 21% dei lavoratori ritiene che la cybersecurity sia un compito esclusivo del reparto IT, mentre l’8% dichiara di non essere interessato a una possibile violazione dei sistemi aziendali. In questo scenario, HR assume un ruolo chiave nel ridurre la probabilità che un comportamento legittimo diventi un vettore di attacco, integrando la sicurezza lungo tutto l’Employee Lifecycle e collaborando in modo strutturato con IT e cybersecurity.
Due mondi apparentemente diversi che trovano invece il loro punto di forza
HR e Cybersecurity di fatto non sono realtà in contrasto. Anzi, proprio per nulla: secondo l’andamento del mercato e osservando quanto di fatto le politiche sulla privacy dei dati siano sempre più (giustamente) stringenti, anche HR ha un ruolo fondamentale.
Primo tra tutti, il compito è quello di considerare la sicurezza durante tutto il processo di Employee Lifecycle Management, ovvero la gestione strutturata della roadmap che delinea le sei fasi di coinvolgimento di un’organizzazione rispetto ad un dipendente, dall’assunzione all’inserimento, fino alla chiusura del possibile rapporto.
Anche la Safety, la Security e la Cybersecurity richiedono il loro giusto spazio.
Come? Approfondiamolo qua sotto.
Governance aziendale: per una buona gestione HR e Cybersecurity
Fino ad adesso, non era ancora chiaro quale rapporto ci fosse tra queste realtà apparentemente lontane e distinte.
Conosciamo sicuramente la figura del Chief Information Security Officer (aca. CISO) come responsabile e direttore dell’intera infrastruttura di sicurezza aziendale, come colui che si occupa di definire la visione strategica, di implementare programmi per la protezione degli asset informativi e di definire processi per limitare i rischi legati all’adozione delle tecnologie digitali.
Risorse umane, diversamente, sono i responsabili dell’applicazione delle politiche di sicurezza in tutta l’organizzazione aziendale.
Una governance efficace si basa sulla capacità di valutare il rischio in modo strutturato e ripetibile, andando oltre interventi spot o reattivi. Per questo, attività come l’analisi del rischio informatico e il security assessment rappresentano il punto di partenza per definire priorità, responsabilità e azioni correttive coerenti con il contesto aziendale.
3 motivi per cui HR è responsabile della Cybersecurity
L’aspetto socio-psicologico del dipendente è fondamentale. Ma non basta. Anche la sua sicurezza informatica non è da trascurare.
- Deve assicurarsi che ogni dipendente non sia una potenziale minaccia per la sicurezza informatica dell’intera azienda. Ciò include lo svolgimento della due diligence e la garanzia che i dipendenti ricevano un’adeguata formazione sulla sicurezza durante l’onboarding.
- Proteggere i dati personali è indispensabile per la tutela e la salvaguardia del singolo ma di conseguenza anche del gruppo
- Tutelare e garantire salute e benessere nel worklife balance del dipendente
Letti, presi in considerazione e fissati questi punti, verrebbe da dire di conseguenza che presidiare ambienti fisici e virtuali mette in luce quanto sia indispensabile avere una visione ampia delle procedure, delle garanzie e dei rischi che si possono presentare se non tuteliamo l’ambiente di lavoro.
HR e Cybersecurity hanno una relazione stretta nell’ambito di tutti i programmi di sensibilizzazione come ad esempio la buona gestione delle password, create e aggiornate secondo canoni ben precisi. Password complesse per i sistemi informatici e costantemente aggiornate, trovando il modo di dissuadere i dipendenti ad utilizzare le stesse. Soprattutto tra dispositivi personali e account online.
Vantaggi di una corretta strategia di sicurezza
Una strategia di sicurezza efficace non si limita a ridurre il rischio di incidenti, ma abilita un funzionamento più solido e prevedibile dell’organizzazione. Integrare persone, processi e tecnologie consente di intercettare tempestivamente comportamenti anomali, ridurre l’impatto degli errori operativi e rendere più resilienti le infrastrutture digitali nel loro insieme.
Dal punto di vista organizzativo, una strategia strutturata favorisce una chiara distribuzione delle responsabilità, superando l’idea che la cybersecurity sia un ambito esclusivamente tecnico e rafforzando la collaborazione tra HR, IT e funzioni di governance. Questo approccio si traduce anche in maggiore continuità operativa, minori tempi di risposta agli incidenti e una migliore capacità di dimostrare conformità alle normative in materia di protezione dei dati. In ultima analisi, una corretta strategia di sicurezza contribuisce a creare fiducia interna ed esterna, tutelando persone, informazioni e reputazione aziendale in modo misurabile e sostenibile nel tempo.
Come mettere al sicuro i dipendenti
La gestione del ciclo di vita dei processi aziendali è parte integrante dell’integrità del dipendente. Per garantirne la sicurezza, HR si occupa delle procedure di screening dell’occupazione pre assunzione. Ovvero un controllo di farmaci, del credito e dei requisiti di autorizzazione di sicurezza.
E ancora, onde evitare assunzioni di possibili pericoli tra colleghi, prima dell’ingresso in azienda, la persona deve firmare documenti come NDA e assumere responsabilità di buona condotta nel rispettare il codice politico sui conflitti di interesse.
Solo in questo modo tutti i dipendenti saranno tutelati e si uniranno per la tutela dell’azienda.
Anche in fase di uscita del personale dall’azienda, il singolo deve sostenere un colloquio e HR revisionare il NDA e revocare il badge identificativo e gli effetti personali-aziendali.
Inoltre, le aziende aiutano a proteggere i propri dispositivi dall’accesso a siti indesiderati, tenendo sotto controllo i propri dipendenti.
E anche in questo caso HR e cybersecurity intervengono proprio quando è necessario collaborare con i CISO per impostare i criteri di profilazione dei gruppi e le configurazioni dei computer aziendali. Anche gli accessi ai file sono limitati alla semplice consultazione e utilizzo dei dipendenti.
Parliamo ad esempio anche di Log Management, ovvero come i Data Log delle operazioni del personale interno siano un’importante fonte informativa che può essere utilizzata per eseguire indagini finalizzate al rilevamento di attività anomale della rete, specie quella locale (LAN).
La panoramica sopra descritta conferma la normativa privacy.
Ovvero abbiamo la conferma di come sempre più Paesi stiano implementando le normative nel pieno rispetto del GDPR.
E, ad oggi, possiamo confermare come HR, insieme al reparto IT, stiano sviluppando e aggiornando programmi di formazione sulla regolamentazione della privacy per i dipendenti e per i loro fornitori che interagiscono con i dati dell’organizzazione.
