Tra le nuove soluzioni per proteggere i dati delle aziende, fuori dal contesto prettamente tecnologico, va adesso molto di moda la User Awareness (anche: security awareness). Probabilmente spinta anche da una sorta di spirito umanistico che vuole accrescere la conoscenza comune.
Indice degli argomenti
Cos’è la “user awareness” (anche “security awareness”)
Questa soluzione fonda le basi sul presupposto che l’utente finale quando clicca (facciamo l’esempio delle e-mail di phishing o di spam) sul link in esse contenuto, lo fa perché non sa riconoscere una e-mail legittima da una non legittima.
Non avendo una cultura IT tale da aiutarlo a riconoscere gli indizi che possono fargli accendere l’allarme.
Esempi di rischi (phishing, disattenzioni ecc.) per la sicurezza di un’azienda e come evitarli
Ma ci troviamo di fronte ad un errore di valutazione fin dall’origine, ovvero le basi su cui si fonda sono costruite dalle supposizioni degli addetti ai lavori dell’IT, che non sono propriamente consci di ciò che fanno gli “utenti”, che volutamente virgoletto per accentuare la visione che gli addetti IT hanno verso i colleghi “ignoranti”, quelli che non hanno competenze IT, e che li vedono come categoria a sé, che chiedono cose banali e via dicendo.
In parte questo è vero, ma l’utente quando clicca sul link malevolo non lo fa solo perché “ignorante”, ma anche aggiungo perché disattento.
La dimostrazione è data dal fatto che capita l’errore anche a utenti “evoluti”, i quali cadano nello stesso errore, ovviamente con minore frequenza, ma sappiamo bene che basta un solo clic per ritrovarsi tutta la share di rete crittografata.
Queste disattenzioni capitano, come innegabilmente capitano in tanti altri contesti.
Le disattenzioni in genere sono giustificate dalla frenesia delle attività quotidiane, dove ci troviamo a bilanciare il tempo e gli obiettivi, presi tra mille interruzioni.
Ed è ovvio che in questi casi il cervello è obbligato a fare perno sulle esperienze accumulate, si va per stereotipi e schemi già collaudati.
Ma lo schema collaudato è affidabile se le variabili dello scenario che si sta affrontando è il medesimo, cosa che non ci è concessa con le continue evoluzione degli attacchi e la fantasia degli attaccanti.
A peggiorare la situazione, alla suddetta frenesia, va aggiunta una concausa: la tranquillità dell’utente di non dover pagare pegno per i propri errori commessi in questo in ambito, quello degli errori di valutazione.
L’utente tipicamente si trincera dietro al paravento del “come facevo a saperlo, non sono un tecnico”.
Inoltre, l’utente tipicamente sa che comunque l’Help desk gli risolverà il problema, e lo farà ovviamente a costo zero, e aggiungo con una certa celerità, perché i “ragazzi dell’Help desk” sanno, e soprattutto l’utente sa, abituato dal passato, che il proprio responsabile sarà il primo ad assolverlo, e sarà il prossimo a contattare qualcuno dell’IT per lamentarsi, nel caso in cui l’Help desk si attardi, perché per contro, gli utenti vedono quelli dell’IT come “quelli che in verità non lavorano”.
Come possono i responsabili IT garantire la security awareness in azienda
Una volta focalizzate le situazioni sopra descritte, alle quali sfido chiunque a non riconoscere come reali, aggiungiamo tranquillamente i casi di comportamenti dolosi, certamente più rari, ma non impossibili, il cui impatto non varia, e vediamo quanto sia fallace la politica di User Awareness.
Ma fingiamo che possa essere migliorabile, eliminando le zone d’ombra, e poniamo ad esempio di implementare un sistema che incentivi l’attenzione degli utenti, ipotizziamo attraverso un premio ai più diligenti, dove a coloro che commettono meno errori vengono riconosciuti dei benefit, ed escludiamo a priori l’approccio punitivo verso i meno diligenti, dato che implicherebbe automaticamente invitare a nozze le rappresentanze sindacali, armate fino ai denti.
Questo sistema comunque comporterebbe il coinvolgimento di altre aree aziendali, che tipicamente hanno in azienda un peso specifico maggiore dell’IT.
Quindi sarebbe necessario un tavolo di lavoro che comprenda anche il top management, ma questo necessiterebbe di un grosso committment da parte loro, difficile da trovare nello scenario italiano, che sia pronto ad affrontare possibili istanze sindacali, costi incerti dato che la formazione vuol dire rinunciare ad ore produttive di tutti gli utenti, e dai risultati incerti, il tutto per una idea simpatica ma di difficile attuazione.
Da IT manager, a questo punto meglio un buon antispam, lo metto a budget, me lo installo, e mi fanno anche i complimenti che lo spam è calato. Ovviamente è una battuta, ma il concetto è quello.
Cyber security ed error management: consapevolezza dei rischi
La scienza dell’error management pone come punto di partenza per l’analisi delle cause degli errori umani la seguente domanda: sostituendo la persona l’errore sarebbe accaduto?
Se la risposta è sì, allora le cause del problema sono da ricercare nelle procedure, e in questo caso aggiungiamo anche nelle infrastrutture IT dedicate alla cyber security.
Dato che statisticamente capita a tutti gli utenti “l’errore”, e dato che non possiamo mettere un SysAdmin a fare le fatture ai clienti, concludo che con lo stesso budget necessario ad una User Awareness comprensiva di sistema di premiazione, si può optare per qualcosa che migliori l’infrastruttura e le procedure.
Il risultato raggiunto sarà migliore.
