Sicurezza e fattore umano: educare alla percezione del rischio

Sul Frecciarossa che di mattina collega Milano a Roma, seduto accanto a me dall’altra parte dello stretto corridoio, c’è un distinto signore dall’aspetto manageriale che già nei minuti che precedono la partenza è immerso nel suo lavoro al computer. Digita con molta concentrazione, scambia frequenti messaggi con un messenger sul cellulare, riceve e fa telefonate concise nelle quali non posso fare a meno di ascoltare che invita l’interlocutore alla massima riservatezza. Poi, appena dopo Bologna, il distinto signore si allontana dal suo posto, lasciando il computer portatile acceso e aperto, mentre sullo schermo del cellulare abbandonato a schermo in su accanto al portatile zampillano i messaggi inviati con Signal (oggi considerato tra i sistemi di messaggistica più sicuri). Insomma, il signore, che così spesso aveva ricordato ai suoi collaboratori la necessità della riservatezza, aveva lasciato il lavoro in balia di un malintenzionato che nei circa 10 minuti del suo allontanamento avrebbe potuto attingere dal computer e dal cellulare tutte le informazioni che avesse voluto.   Anche se negli ultimi anni l’uso di questi strumenti è diventato sempre più ‘amichevole’, l’utente medio ha una percezione e un’idea sbagliate del rapporto tra rischi e benefici associati all’uso degli strumenti per sicurezza. La stragrande maggioranza degli utenti, quando usa un computer per qualunque motivo, dà per scontata la sicurezza dell’infrastruttura che rende loro possibile arrivare alle informazioni a cui sono interessati; la sicurezza diventa una priorità solo quando si hanno problemi, ossia quando ormai è troppo tardi (come dicevano i nostri nonni: si chiude la stalla quando le vacche sono ormai scappate).   Con queste premesse, è chiaro quindi che, anche in presenza di un sistema di cyber sicurezza (ossia delle sicurezza che dipende dalla corretta implementazione delle tecnologie di difesa), il sistema può rivelarsi informativamente insicuro a causa del cattivo uso che gli utenti possono fare delle risorse messe a loro disposizione. Parlare di sicurezza informatica (Infosec), infatti, non riguarda solo la selezione di un buon software di difesa, ma riguarda anche le scelte che quotidianamente fanno gli utenti che operano all’interno del perimetro difensivo di ogni Rete, la prima linea di tutti i sistemi di cyber sicurezza.   Formare gli utenti è parte non secondaria di una buona difesa. Perché una formazione sia davvero efficace è necessario tenere presenti dei fattori che non sono determinati solo dal rapporto tra umano e tecnologia. In generale, come scrive il premio Nobel per l’economia Daniel Kahneman, non siamo dei buoni statistici intuitivi e quindi generalmente non si pensa di poter essere realmente esposti a un rischio (le cose brutte accadono sempre agli altri). Non solo: a differenza di quello che ci piace pensare, come agenti quasi mai razionali, la maggior parte delle nostre azioni e dei nostri pensieri è guidata da regole euristiche che massimizzano la velocità delle nostre risposte e che sono corrette nella stragrande maggioranza dei casi, ma non sempre. L’utente medio non è stupido, solo che la forma lenta di pensiero che ci permetterebbe di evitare le trappole richiede più energie e, dice Kahneman, il pensiero lento e approfondito è ‘pigro’ (‘stare attenti’ è un’attività che richiede quasi sempre molto sforzo).   Insomma, anche se gli utenti non sono stupidi, devono essere motivati per non compiere meccanicamente, ‘senza pensarci’, i compiti, anche cognitivi, che devono svolgere. E non possono essere motivati con astratti richiami alla sicurezza: non è facile comprendere la connessione tra un atto e le sue conseguenze sulla sicurezza, perché spesso gli effetti dell’errore commesso non sono immediatamente percepibili, ma appaiono solo dopo giorni e probabilmente non coinvolgono direttamente l’autore dell’errore. Bisogna quindi insegnare agli utenti a valutare correttamente il rapporto sicurezza-costi, tenendo presente che le persone non percepiscono gli utili e le perdite allo stesso modo. Per esempio, se l’alternativa è tra non installare il Codec da una fonte sconosciuta e non vedere un filmato da una parte, e scaricare il Codec da una fonte sconosciuta, vedere il filmato e prendersi il rischio di essere infettati da un malware dall’altra parte, la maggior parte delle persone sceglierà la seconda opzione, assumendosi un rischio non proporzionato al raggiungimento del fine immediato.   L’articolo completo è stato pubblicato sul numero di Aprile 2017 di Sistemi&Impresa. Per leggere l’articolo completo – acquista la versione .pdf scrivendo a daniela.bobbiese@este.it (tel. 02.91434419)