Active shooting events: casi di studio e dati statistici esaustivi all’analisi compiuta del fenomeno
25 Settembre 2019
Le regole per l’acquisto degli articoli pirotecnici
2 Ottobre 2019

I rischi della percezione

Questo articolo si basa sul libro di Bobby Duffy, I rischi della percezione (Torino, Einaudi, 2019).

Il libro è pieno di spunti interessanti, basati soprattutto sulla situazione politica attuale. Sono però presenti alcuni elementi utili per chi si occupa di sistemi di gestione, qui riportati come frutto di rielaborazione personale.

Innovazione e aggiornamento

Un primo aspetto riguarda come recepiamo la formazione e gli aggiornamenti ricevuti. Infatti è esperienza comune che alcuni “esperti” dimostrano carenze di aggiornamento difficili da giustificare (tranne nei casi, presenti e purtroppo diffusi, di pigrizia e malafede). Anche chi non si proclama esperto deve prestare attenzione a come assorbe le novità.

In generale, si può dire che prediligiamo le informazioni in grado di confermare le nostre credenze, ci concentriamo sulle informazioni negative e tendiamo ad affidarci agli stereotipi e a imitare la maggioranza. Questo vuol dire che siamo impermeabili ad alcune innovazioni.

Credenze sbagliate sono ulteriormente rafforzate dalla “bolla dei filtri” (soprattutto su Internet, dove gli algoritmi ci suggeriscono contenuti affini alla nostra visione del mondo, amplificando così la tendenza umana a preferire i dati che confermano la propria visione del mondo) e, quindi, in “camere dell’eco” (dove sentiamo solo quello che diciamo noi e quello che vogliamo sentire, mentre perdiamo i fatti condivisi). A queste si aggiunge il “ragionamento motivato”: la ricerca di informazioni che rafforzano le nostre preferenze (“pregiudizio di conferma”), rifiutando invece le quelle che le contraddicono.

Ultimo elemento da ricordare è l’effetto Dunning-Kruger: le persone con poche abilità cognitive non sono consapevoli di non capire i concetti, dunque tendono a considerarsi competenti, a differenza delle persone con molte abilità cognitive (tra sicurezza di sé e livello di errore c’è spesso una forte relazione lineare).

Tutti questi elementi fanno sì che alcune volte non recepiamo gli aggiornamenti e le innovazioni. In alcuni casi è sicuramente necessario del tempo per comprendere appieno il cambiamento. Molti, appena pubblicata la ISO 9001:2000, avevano modificato i sistemi qualità solo aggiungendo degli indicatori a quanto già previsto dalla precedente ISO 9001:1994; solo dopo qualche anno – e grazie all’esperienza maturata – le novità introdotte dalla ISO 9001 sono state più correttamente recepite.

In altri casi, il mancato recepimento degli aggiornamenti e delle innovazioni è invece ostacolato proprio dagli elementi sopra elencati. Esempi, nell’ambito della qualità e della sicurezza delle informazioni, sono:

  • il considerare, per la cancellazione sicura, come insufficiente un’unica sovrascrittura di caratteri casuali (con la tecnologia degli anni Novanta erano richiesti più passaggi, non più necessari con l’attuale tecnologia);
  • il richiedere un cambio periodico e frequente delle password;
  • l’uso di metodi per la valutazione del rischio in ambito informatico nati negli anni Ottanta (quando l’informatica era molto diversa dall’attuale);
  • la promozione del management-by-objective senza considerarne i limiti (peraltro già evidenziati negli anni Quaranta del Novecento);
  • il considerare i metodi di tipo Agile come “senza documentazione”;
  • il continuare a “nominare” i responsabili della privacy, quando l’attuale normativa richiede invece “contratti”;
  • la valutazione dell’efficacia delle azioni volte ad acquisire competenze limitata alla sola formazione (e non anche all’acquisizione di nuove persone, all’ingaggio di consulenti).

Uso di modelli statici

Ulteriore difficoltà nasce dal “pregiudizio della superiorità illusoria”, per cui ciascuno tende a credersi migliore dell’individuo medio e pertanto non approfondisce i dubbi che altri gli propongono.

Questo succede spesso ai consulenti e auditor (interni o esterni) che non ascoltano i dubbi dei propri clienti e propongono modelli preconfezionati, in quanto si sono rivelati efficaci in altre realtà. Questi modelli sono infatti frutto di un’elaborazione iniziale da parte del consulente o auditor e per questo ritenute, anche involontariamente, particolarmente valide.

A questo va aggiunto l’“effetto del falso consenso”: le persone tendono a ritenere relativamente comuni le proprie scelte di condotta e i propri giudizi, mentre considerano insolite le alternative.

Formazione del personale

Sappiamo bene quanto sia difficile far seguire al personale nuove pratiche.

Per questo è evidente quanto sia necessario far sostituire nuove abitudini alle vecchie. Basti ricordare quanto fu difficile negli anni Novanta e Zero (e, in molti casi, ancora oggi) far usare le password per il controllo di accesso ai pc al personale delle aziende.

Oltre ai problemi sopra elencati, per cui una persona è impermeabile ai cambiamenti, e oltre alla naturale resistenza al cambiamento (visto che richiede l’uso di energie superiore a quelle solitamente usate), sono presenti ulteriori cause di queste difficoltà.

Una è la “ignoranza pluralistica”: possiamo avere un’idea errata di ciò che gli altri pensano (o fanno) e questo può influire sul nostro modo di pensare e agire. Un esempio classico è quando nessuno fa domande dopo una conferenza perché tutti pensano che gli altri abbiano capito tutto, anche se non è vero. Nella realtà, se uno pensa che la maggioranza non segue alcune regole aziendali, potrebbe ritenersi autorizzato a non seguirle, indipendentemente dal fatto che la sua percezione sia corretta o meno.

Un’altra è la “retrospezione rosea”: un errore cognitivo per cui tendiamo a considerare il passato migliore del presente (tendiamo a dimenticare i fallimenti del passato e le brutte esperienze, in modo da favorire il nostro senso di benessere attuale e l’autostima, ma così vediamo in modo troppo negativo il presente). Questo fa sì che molte persone che lavorano in un’azienda pensino che fosse meglio “in precedenza” e quindi si rifiutino di seguire le nuove regole, soprattutto se proposte da nuovi capi o consulenti.

Dall’altra parte, è necessario ripetere i messaggi al personale. Infatti, quando si sente una cosa per la seconda o terza volta, il cervello reagisce più in fretta e  interpreta questa “prontezza” come un indice di verità.

 

Articolo a cura di Cesare Gallotti

Lavora dal 1999 nel campo della sicurezza delle informazioni, della qualità e della gestione dei servizi IT.

Ha condotto progetti di consulenza per la pubblica amministrazione e per il settore privato. Opera, sia in Italia che all’estero, come Lead Auditor ISO/IEC 27001, ISO 9001, ISO/IEC 200000 e ISO 22301. Ha progettato ed erogato corsi di Quality Assurance e di certificazione Lead Auditor ISO/IEC 27001 e ITIL Foundation.

Tra gli attestati si segnalano: le certificazioni AICQ SICEV Lead Auditor ISO/IEC 27001, IRCA Lead Auditor 9001, CISA, ITIL Expert e CBCI, la qualifica come Lead Auditor ISO/IEC 20000 e il perfezionamento postlaurea in “Computer Forensics e investigazioni digitali”.

E’ capodelegazione del WG1 del comitato italiano ISO/IEC SC27 in UNINFO.

Ha pubblicato il libro, aggiornato nel 2017, “Sicurezza delle informazioni: valutazione del rischio; i sistemi di gestione; la norma ISO/IEC 27001:2013”.

Cura la pubblicazione, dal 2008, della newsletter “IT Service management news” (http://www.cesaregallotti.it/Newsletter.html).

Web: www.cesaregallotti.it; Blog: blog.cesaregallotti.it

Download PDF
Condividi sui Social Network:

ISCRIVITI ALLA NEWSLETTER DI SAFETY & SECURITY MAGAZINE

Una volta al mese riceverai gratuitamente la rassegna dei migliori articoli di Safety & Security Magazine

Rispettiamo totalmente la tua privacy, non cederemo i tuoi dati a nessuno e, soprattutto, non ti invieremo spam o continue offerte, ma solo email di aggiornamento.
Privacy Policy