martedì 19 luglio 2022

Cybersecurity Ergonomica

Ho avuto spesso modo di valutare differenti approcci alla protezione informatica, in diversi ambiti.

Molto spesso l’impostazione era troppo superficiale, le politiche di sicurezza insufficienti quando non completamente assenti, e questo esponeva l’azienda ad un fortissimo rischio di compromissione.

A mio parere, però, quasi altrettanto deleterio per la sicurezza globale è l’implementazione di policy “troppo” stringenti.

So che questo sembra essere un controsenso, forse provocatorio, ma vi prego di seguirmi nel ragionamento.

E’ un fatto acclarato che l’anello debole nei sistemi informativi è quasi sempre “Dave: l’errore umano” (non me ne vogliano i tanti amici di nome Dave!)

Se implementiamo delle policy troppo stringenti e poco user friendly, poco “ergonomiche”, come mi ha suggerito il bravissimo @roarinpenguin, inevitabilmente gli utenti, schiacciati tra l’incudine della sicurezza e il martello della produttività, cercheranno degli escamotage per rispettare formalmente le policy, e nello stesso tempo continuare a lavorare in maniera agevole.

Faccio un esempio concreto: per lungo tempo si è stressato sulla necessità di avere password molto complesse, che comprendessero numeri e caratteri speciali in diverse combinazioni.

Questo ha portato molti, troppi utenti a scriversi da qualche parte la password per non dimenticarla, vanificando così completamente l’obiettivo primario della policy.

Poi si è introdotto l’obbligo di cambiare la password di frequente. Gli utenti la “cambiavano”, reimpostando la precedente. Allora si è bloccato il riutilizzo. Risultato? P@ssword1, P@ssword2, P@ssword3…

Questo è solo un esempio per dire che, per ottenere una sicurezza efficace, è necessaria la cooperazione attiva di utenti e operatori cybersec.

Questo risultato si ottiene innanzitutto con la formazione, promuovendo all’interno della struttura la consapevolezza dei rischi che si corrono (#ilbersagliosiamonoi), e dei comportamenti da adottare per minimizzarli. Ma oltre a questo, chi è responsabile delle security policy deve cercare in tutti i modi l’ergonomia delle soluzioni, così da rendere il rispetto delle regole impostate non dico piacevole (non esageriamo!) ma quantomeno poco invasivo.

Inoltre, spiegare i motivi per cui si introducono determinate restrizioni, condividendo per quanto possibile le analisi di rischio che hanno portato a implementarle, aiuta immensamente nell’ottenere l’adozione da parte degli utenti.

Infine, è bene ricordare sempre che “chi rinuncia alla libertà per la sicurezza non merita nè l’una, nè l’altra” (Benjamin Franklin).


Ugo Micci

Nessun commento:

Posta un commento