Così Schneier chiama la sicurezza pensata per contrastare singole minacce, perdendo il quadro generale e quindi le innumerevoli alre vie attraverso le quali può essere praticato un attacco. Spesso la scelta di contrastare quelle minacce deriva dal fatto che un certo tipo di attacco è stato appena praticato, e ci si basa quindi su una reazione “emotiva” più che su una vera valutazione del rischio. Nei casi peggiori, Schneier usa il termine “Movie-plot security”. In questo articolo del NYT si dice che si pensa di “aumentare i controlli sul Polonio 210” e sulla possibilità che terroristi lo utilizzino per “bombe sporche”. Mi chiedo perché questo rischio debba essere aumentato in seguito all’uso che ne è stato fatto recentemente, certo non da terroristi (non nel senso tradizionale del termine, comunque). Scommetto che Schneier ci farà un articolo sopra 😉
Tornando a cose che interessano di più la sicurezza ICT, le più recenti best practices sulla business continuity mettono in guarda da questo tipo di approccio, chiamato “Scenario planning”: non bisogna focalizzarsi sulle singole minacce, ma sul problema generale dell’indisponibilità delle risorse, in funzione della loro criticità. Focalizzarsi su “cosa fare in caso di incendio”, “cosa fare in caso di alluvione”, ecc. porta a soluzioni parziali e che non risolvono il problema generale, costringendo in caso di nuove minacce a nuove soluzioni, sempre più difficili da coordinare con quelle precedenti. Naturalmente questo non vuole dire che non ci si deve preoccupare della riduzione del rischio o del danno da incendio, ma questa non è un’attività di pertinenza della business continuity, che si occupa invece della gestione delle conseguenze del danno.
Sia chiaro che i due contesti (terroristi che usano bombe sporche vs. business continuity) sono due problemi diversi, perché nel primo è certamente più importante la prevenzione. Ma focalizzarsi sul prevenire il singolo scenario vuole comunque solo dire che la minaccia passerà ad un altro non gestito, perché gli scenari possibili sono più di quelli gestibili singolarmente.
