Mi viene da rovesciare la famosa pubblicità: “Potevamo essere scienza, non fantascienza, ma preferiamo stupirvi con effetti speciali”. Prendo spunto da questo articolo di Wired. Non mi interessa tanto (nello specifico) l’oggetto dell’articolo, ma questo commento dell’autore:
It’s nearly seven years after 9/11, and the TSA is holding to the line that it is appropriate policy to make someone remove their body piercings to get on an airplane?
Quando hanno cominciato ad essere adottate determinate misure di sicurezza, il commento di molti (se ben ricordo anche il mio) è stato che non erano misure che si sarebbero potute mantenere a lungo, perché una volta passata l’emozione dell’attentato del 11 Settembre, le persone avrebbero cominciato a tollerarle meno, e perché non è possibile mantenere un livello di attenzione elevato per lunghi periodi. La domanda che cito mostra proprio questo problema. Possiamo dire che il rischio terrorismo è significativamente diminuito negli ultimi anni? Non mi pare che molti risponderebbero di sì, mentre anzi molti direbbero che è aumentato, almeno per gli USA. Allora, se la misura era ragionevole anni fa, continua ad esserlo adesso. Ovviamente, si potrebbe discutere del fatto che se sia stata ragionevole fin dall’inizio, ma in realtà non mi voglio addentrare in discorsi sul terrorismo; il punto è che uno stato di allerta elevato non si può mantenere a lungo, e che le misure eccezionali si possono mantenere solo in uno stato di allerta elevato. Come si possono riportare queste considerazioni alla sicurezza ICT? Intendo dire la “nostra”, non quella dell’Homeland Security USA.
Spesso le misure di sicurezza sono introdotte in seguito ad un evento dannoso, o per conformità a una normativa, o perché l’azienda ha deciso per qualche motivo che in quel momento bisognava affrontare il problema sicurezza. Quello che succede spesso, come sappiamo, è che non c’è una pianificazione ed una gestione adeguata dell’attività successiva di manutenzione e monitoraggio. Ma forse ancora più importante è che non si dedica attenzione alla diffusione fra il personale della cultura della sicurezza, intesa non come apprendimento di una serie di politiche, ma come assimilazione di concetti e principi che poi rendono naturale il comportamento sicuro. Dove si crea una cultura della sicurezza, i meccanismi di imposizione possono essere più ragionevoli. Se ad esempio gli utenti sono convinti dell’importanza di non scambiarsi le password, i meccanismi per verificare se questo succede diventano meno critici, e le verifiche possono magari essere fatte “a campione” per accertarsi che la cultura non si perda.
Tutto questo rientra nella formazione, principalmente per il personale non tecnico. E spesso non è neanche necessario, od opportuno, che la formazione sia fatta da personale tecnico, dato che quello che serve è far capire (dopo averla capita) l’importanza della sicurezza, più che spiegare gli aspetti tecnici.