Ho avuto spesso modo di valutare differenti approcci alla protezione informatica, in diversi ambiti. Molte volte l’impostazione era troppo superficiale, le politiche di sicurezza insufficienti quando non completamente assenti, e questo esponeva l’azienda ad un fortissimo rischio di compromissione.
A mio parere, però, quasi altrettanto deleterio per la sicurezza globale è l’implementazione di policy “troppo” stringenti.
So che questo sembra essere un controsenso, forse provocatorio, ma vi prego di seguirmi nel ragionamento...
È un fatto acclarato che l’anello debole nei sistemi informativi è quasi sempre “Dave: l’errore umano” (non me ne vogliano i tanti amici di nome Dave!)
Se implementiamo delle policy troppo stringenti e poco user friendly, poco “ergonomiche”, come mi ha suggerito il bravissimo @roarinpenguin, inevitabilmente gli utenti, schiacciati tra l’incudine della sicurezza e il martello della produttività, cercheranno degli escamotage per rispettare formalmente le policy, e nello stesso tempo continuare a lavorare in maniera agevole.
Faccio un esempio concreto: per lungo tempo si è stressato sulla necessità di avere password molto complesse, che comprendessero numeri e caratteri speciali in diverse combinazioni.
Questo ha portato molti, troppi utenti a scriversi da qualche parte la password per non dimenticarla, vanificando così completamente l’obiettivo primario della policy.
Poi si è introdotto l’obbligo di cambiare la password di frequente. Gli utenti la “cambiavano”, reimpostando la precedente. Allora si è bloccato il riutilizzo. Risultato? P@ssword1, P@ssword2, P@ssword3…
Questo è solo un esempio per dire che, per ottenere una sicurezza efficace, è necessaria la cooperazione attiva di utenti e operatori cybersec.
Questo risultato si ottiene innanzitutto con la formazione, promuovendo all’interno della struttura la consapevolezza dei rischi che si corrono (#ilbersagliosiamonoi), e dei comportamenti da adottare per minimizzarli. Ma oltre a questo, chi è responsabile delle security policy deve cercare in tutti i modi l’ergonomia delle soluzioni, così da rendere il rispetto delle regole impostate non dico piacevole (non esageriamo!) ma quantomeno poco invasivo.
Inoltre, spiegare i motivi per cui si introducono determinate restrizioni, condividendo per quanto possibile le analisi di rischio che hanno portato a implementarle, aiuta immensamente nell’ottenere l’adozione da parte degli utenti.
Infine, è bene ricordare sempre che “chi rinuncia alla libertà per la sicurezza non merita nè l’una, nè l’altra” (Benjamin Franklin).