Al TEISS London 2020 la sicurezza come problema umano, non solo tecnologico
by Riccardo RobecchiAl TEISS 2020 di Londra si è parlato di come affrotnare meglio la sicurezza in ambito aziendale e ci si è concentrati sull'aspetto umano della sicurezza, fattore primario nelle varie problematiche
Dove nasce la sicurezza? Come si può migliorarla ed eliminare i principali punti deboli? Un vecchio adagio non molto politicamente corretto dice che "il principale problema sta tra il monitor e la sedia", ma la realtà è che questa considerazione è statisticamente corretta.
Al TEISS 2020 a Londra abbiamo parlato con diversi CISO, CIO e CSO (ovvero i responsabili della sicurezza delle informazioni all'interno delle aziende) appartenenti alle più varie organizzazioni sia pubbliche che private, oltre ai principali vendor di soluzioni di sicurezza. Un dato è emerso chiaramente: la maggior parte degli errori che hanno portato a incidenti di sicurezza è stato di origine umana - fino al 90%, secondo CybelAngel. Un problema relativo al fatto che errare humanum est o qualcosa su cui si può intervenire?
La sicurezza parte dagli utenti: considerazioni dal TEISS London 2020
Cosa succede quando le politiche di sicurezza aziendali sono troppo complesse, quando non lasciano spazio per l'apprendimento e l'errore, quando le procedure sono viste come un ostacolo da parte dei lavoratori? La risposta è che la situazione arriva a quella odierna, in cui l'elemento umano è visto come l'anello debole della catena.
Una problematica che nasce dalla cultura in molte aziende: non viene fatta formazione adeguatamente, perché le informazioni non vengono fornite in modo tale da permettere alle persone di farle realmente proprie. I discorsi sono spesso astratti e lontani dalla realtà dei lavoratori, che vedono dunque le misure di sicurezza come un peso o un impedimento da aggirare.
L'esempio classico è quello delle password: richiedere che siano lunghe almeno 8 caratteri con una maiuscola, due numeri e un simbolo speciale non porta a password complesse e difficili da superare, ma a "P4ssw0rd!". E ciò avviene perché non viene spiegato adeguatamente - sfruttando la psicologia per creare una comprensione emotiva oltre che razionale - perché sia necessario rispettare le linee guida di sicurezza.
Un altro esempio è quello dello shadow IT, ovvero dell'uso di risorse e servizi senza che questi siano noti all'IT, e dunque controllabili. Un esempio pratico è quello dell'uso di Google Documenti da parte di alcuni dipendenti quando in azienda è presente LibreOffice: la suite online è fuori dal controllo aziendale e pertanto costituisce un rischio di sicurezza. Anche in questo caso la ragione sta nell'incapacità di molte aziende del far comprendere ai propri lavoratori perché questa non sia una buona idea. In questo specifico caso c'è alla base anche un fallimento da parte dell'azienda nel fornire gli strumenti adeguati ai propri dipendenti, che li vanno dunque a cercare altrove: da un problema di adeguatezza degli strumenti si passa velocemente a un problema di sicurezza.
Un ulteriore spunto di riflessione, arrivato dal Chief Technical Officer di Qualys EMEA Marco Rottigni, è quello dell'ergonomia della sicurezza: quando la sicurezza è trasparente e non inficia in alcun modo il lavoro delle persone, queste tendono a rispettare le misure di sicurezza e a non aggirarle. Un esempio può essere quello del riconoscimento facciale: è una misura che pochi cercano di evitare perché è comoda e facile da usare pur garantendo un alto livello di sicurezza.
Per ottenere un livello di sicurezza più elevato bisogna intervenire su due fronti: quello tecnologico, che deve garantire una maggiore ergonomia e un livello di facilità d'uso superiore rispetto a ora, e quello culturale, dove devono avvenire cambiamenti sia a livello individuale che a quello aziendale.
Particolarmente provocativo (ma efficace) è stato l'intervento di Sarb Sembhi, CTO e CISO di Virtually Informed. Sembhi afferma che bisogna rendere tutti i dipendenti dei CISO che sappiano gestire in autonomia le informazioni e i rischi, fornendo loro l'educazione e le competenze necessarie per affrontare il complicato mondo odierno. Dando competenze di gestione della sicurezza delle informazioni a tutti fa sì che tutti possano ottenere un livello di sicurezza elevato sia nella propria vita professionale che nella propria vita privata, instaurando un circolo virtuoso che porta le persone a migliorare autonomamente e costantemente il proprio approccio alla sicurezza.
Ma come portare le persone a cambiare? La maggior parte delle persone con cui abbiamo interagito concordava nel dire che bisogna incentivare i comportamenti positivi scoraggiando (senza punire) i comportamenti negativi. Un esempio è quello del cambio di password in caso di emergenza: se la procedura è più semplice (ma anche meno controllabile) del cambio di password normale, tutti useranno il cambio d'emergenza. La soluzione è quella di inserire l'obbligo di comunicare per iscritto perché sia stata cambiata la password. Dall'altro lato, dare incentivi monetari per le persone che trovino problemi all'interno dell'azienda (ad esempio email di phishing) porta le persone a cercare attivamente di adottare i comportamenti virtuosi.