L’accettabilità psicologica della security è un principio che punta alla massimizzazione dell’utilizzo delle funzionalità di sicurezza nel software evitando che l’utente possa desiderare di eluderle (fonte: OWASP).
La ricetta di tale “approvazione e gradimento implicito” della security passa per la semplicità d’uso, la trasparenza e l’automazione dei controlli. Caratteristiche, queste, non sempre presenti nelle soluzioni di sicurezza, che talvolta obbligano a passaggi rigidi per garantire riservatezza, integrità e disponibilità (RID) sui dati digitali da proteggere.
Ma da qualche tempo l’usabilità della security è diventata un requisito imprescindibile.
Indice degli argomenti
Il problema visto dal lato utente
La sicurezza informatica è da sempre percepita dagli utenti finali come una inutile complessità che limita il lavoro operativo e ingessa le operazioni. I fatti hanno insegnato che non solo questa percezione è sbagliata, ma che trascurare la sicurezza informatica genera un business debole e vulnerabile e quindi non duraturo nel tempo.
Quindi, chi è responsabile di qualsiasi business su qualsiasi mercato ha l’obbligo di occuparsi di sicurezza informatica per proteggere il suo core business e i dati personali elaborati durante l’operatività standard.
Da qualche tempo l’obbligo è sancito anche da numerose normative e, da ancora prima, è supportato da framework e strumenti metodologici per adeguare la protezione al livello di rischio e per progettare la sicurezza e la privacy in modo adeguato alle risorse finanziarie.
Nonostante questi accorgimenti, l’esperienza utente è spesso sottostimata e il risultato finale degli sforzi di protezione è una sequenza di azioni percepite troppo spesso come barriere e che, a volte, gli utenti finali provano a eludere. Gian Marco Pizzuti, area vice president e Italy country manager di Splunk, lo spiega chiarendo che “le persone vogliono fare la cosa giusta, ma se i processi di sicurezza rappresentano un ostacolo, a volte cercano soluzioni alternative o si affidano ai cosiddetti processi ‘grey IT’, ovvero soluzioni alternative individuate dai dipendenti che spesso passano inosservate ed espongono quindi le aziende a rischi sconosciuti che non possono proteggere”.
Dello stesso parere Gianni Baroni, CEO, Cyber Guru, secondo cui “se i dipendenti percepiscono che i protocolli di sicurezza ostacolano eccessivamente la loro efficienza lavorativa, è probabile che cerchino di aggirarli, facendo aumentare i rischi e le vulnerabilità aziendali invece di ridurli. I criminali informatici sono ben consapevoli di queste debolezze e ne approfittano per attaccare le aziende”.
Ovvero l’antipatia verso i controlli o la loro sottostima generano insieme dipendenti distratti. In questo senso Baroni sottolinea come “i dipendenti distratti destano preoccupazione negli esperti di cybersicurezza” perché si manifestano comportamenti erronei: “l’uso di dispositivi personali privi di protezione antivirus aggiornata, l’utilizzo di chiavette USB di dubbia provenienza che potrebbero compromettere l’intera rete aziendale, o la connessione a reti Wi-Fi non sicure” che rappresentano esempi di superfici attaccabili dai cyber criminali.
Federico Botti, vice president Security & Resiliency Practice, Kyndryl Italia, interpreta questa dinamica come un bias, un vero e proprio pregiudizio “la relazione tra usabilità e sicurezza – spiega – è normalmente percepita come inversamente proporzionale: spesso l’introduzione di controlli necessari determina resistenza e difficoltà di accettazione. Il maggiore livello di sicurezza di un sistema sembra renderlo meno fruibile, rendendo il trade-off tra usabilità e sicurezza un elemento critico nel disegno di qualsiasi soluzione di sicurezza”.
Utente al centro della progettazione di sicurezza e della formazione alla sicurezza
Uscire da questo deadlock è possibile perché se è vero – spiega Federico Botti – che “l’equilibrio precario determina compromessi, allora si devono coniugare la necessità di minimizzare scenari di rischio con la necessità di semplificare l’utilizzo delle soluzioni e dei servizi da parte degli utenti finali”.
Come ulteriore spinta motivazionale suggerisce “l’applicazione di strategie di rinforzo positivo per incentivare l’adozione di buone pratiche, ma anche la ridondanza dei controlli di sicurezza è necessaria per impedire gli errori da parte di utenti poco consapevoli; per gli utenti particolarmente consapevoli dei rischi cyber si possono istituire incentivi premianti di accesso a fronte della consistenza e continuità dei propri comportamenti virtuosi e accedere, ad esempio, a livelli di interazione “premium” e meno ristretti”.
Gian Marco Pizzuti, in questo senso suggerisce di creare e realizzare “un’esperienza utente ‘frictionless’ come pilastro di una strategia di sicurezza informatica efficace. Questo vale sia che si parli di protezione dei processi back-end sia di quelli front-end. Il ‘fattore umano’ è un elemento di cui le aziende devono tenere conto concretamente anche all’interno dei piani informatici”.
E continua spiegando che “gli esseri umani sono spesso la prima e l’ultima linea di difesa contro le minacce informatiche; pertanto, una seamless-user-experience dovrebbe essere al centro di un’efficace strategia informatica”.
Ma non basta, perché anche la formazione e la sensibilizzazione devono essere parte di un unico processo di rafforzamento della consapevolezza e della responsabilità. E per questo motivo per Gian Marco Pizzuti “è anche fondamentale educare i dipendenti sulle ragioni per cui è stata adottata una determinata politica di sicurezza. Ad esempio, il motivo per cui un sito web una volta accessibile ora è bloccato (a causa di collegamenti a fonti esterne non sicure) deve essere spiegato ai dipendenti, affinché sia chiaro che non si tratta di un semplice atto casuale, ma di una misura adottata per proteggere loro e l’azienda”.
Gli fa eco Gianni Baroni che aggiunge come sia “per questo motivo il nostro approccio formativo si concentra su scenari realistici che dimostrano come le pratiche di sicurezza possano integrarsi nel flusso di lavoro senza intralciarlo. Ad esempio, insegniamo a identificare e segnalare le e-mail di phishing senza rallentare le attività quotidiane. Impieghiamo una combinazione di quiz interattivi, simulazioni e micro-learning che consentono un apprendimento graduale e non invasivo. Insomma, per noi, la cyber sicurezza deve occuparsi meglio degli utenti!”.
Accorgimenti di security user friendly
Volendo fare esempi concreti Rajesh Ranganathan, director of product management di ManageEngine, e Ram Vaidyanathan, IT security evangelist di ManageEngine, spiegano che “l’innovazione tecnologica può aiutare i fornitori di sicurezza a garantire un elevato grado di protezione abbinato a una esperienza utente veloce e intuitiva”.
I due esperti suggeriscono “l’utilizzo dell’autenticazione passwordless piuttosto che la gestione di un’infinità di password, oppure la tecnologia Zero Trust al posto di una VPN tradizionale” come istanze di questa filosofia, a cui aggiungere “l’intelligenza artificiale come una funzione chiave nel comprendere il ruolo di un utente, il tipo di risorsa a cui sta accedendo e il contesto di tale accesso, così da concedere privilegi solo ed esclusivamente sulla base delle attività che devono essere svolte delimitando di fatto il perimetro di sicurezza il tutto garantendo autonomia e sicurezza all’organizzazione”.
Michele Lamartina, regional vice president Italia, Grecia, Cipro & Malta di Palo Alto Networks, fa notare come “I vendor di cyber security affrontino costantemente la sfida di dover bilanciare la garanzia di protezione senza aggiungere complessità all’esperienza degli utenti o rallentamenti alla produttività”.
Per questo motivo chiarisce ancora “sviluppiamo le nostre soluzioni pensando sempre alla ‘user experience’, e ci assicuriamo che siano intuitive e user-friendly e dotate di interfacce semplici. Il nostro approccio alla ‘platformization’ aiuta i clienti a semplificare le loro architetture e a beneficiare di funzionalità differenziate multipiattaforma”.
Oltre all’impegno sulla “formazione, il supporto continuo ricopre un ruolo fondamentale”, spiega, “per fornire supporto tecnico tempestivo e accessibile, contribuire alla creazione di una cultura aziendale basata sulla consapevolezza e di un rapporto di fiducia con i clienti e i loro utenti, ascoltando e analizzando i loro riscontri e comportamenti e adattando continuamente le soluzioni alle loro esigenze. In questo modo, la sicurezza diventa un fattore abilitante e di valore, non un limite, garantendo un’esperienza utente protetta, agile e gradita”.
Sicurezza invisibile, automatizzata e integrata
L’impegno metodologico è evidenziato anche da Luca Iuliano, engineering director di Telsy che sottolinea la necessità di una “missione aziendale per garantire che la sicurezza sia invisibile e perfettamente integrata nei processi aziendali, senza richiedere sforzi aggiuntivi agli utenti” e senza dimenticare “che l’invisibilità della sicurezza non implica la mancanza di qualità percepita: questa invisibilità è possibile solo per aziende o servizi che hanno costruito una solida reputazione nel tempo”.
Un ulteriore accorgimento, secondo il manager, è considerare “il concetto di sicurezza non solo reattivo, ma anche proattivo. Si basa sulla raccolta di tutte le informazioni necessarie per anticipare le intenzioni e le capacità degli attaccanti. Anche in questo ambito, la velocità e l’invisibilità delle operazioni sono elementi fondamentali per garantire una protezione efficace e di alto livello”.
Per Matteo Uva, alliance & business development director di Fortinet, “l’uso di AI e di soluzioni di automazione consente, ad esempio, di rilevare e rispondere alle minacce in tempo reale, riducendo la necessità di interventi manuali. L’integrazione in una unica piattaforma centralizza il controllo, semplificando la gestione di firewall, reti e cloud”.
Per il manager, “tecnologie come Zero Trust e la Unified SASE garantiscono accesso sicuro senza complicare l’esperienza dell’utente, e l’implementazione di un’autenticazione basata sul rischio, aiuta a ridurre le richieste di accesso complesse riservate solo alle attività sospette”. Ulteriori possibili attenzioni per minimizzare l’impatto sull’operatività dell’utente si trovano nell’endpoint protection.
In questo ambito Luca Nilo Livrieri, director, sales engineering, Southern Europe, di CrowdStrike, fa notare che “un elemento distintivo sta nell’adozione di un ‘agent’ leggero (software remoto distribuito su endpoint utente, n.d.r.), che da un lato non gravi sulle prestazioni degli endpoint e dall’altro garantisca le massime performance possibili in termini di identificazione delle minacce, minimizzando i falsi positivi e analizzando i comportamenti che possono realmente provocare un danno all’azienda”.
Ma ridurre l’interazione utente è possibile anche prevedendo “l’autenticazione multi-fattore, solo nel caso venga rilevato un comportamento potenzialmente rischioso. Questo per evitare l’effetto ‘MFA fatigue’, ossia è la frustrazione nel momento in cui gli utenti svolgono ripetuti passaggi di autenticazione, con il rischio di errori o di accessi fraudolenti”.
La sicurezza a livello delle applicazioni
Nella sicurezza delle applicazioni è cruciale “disporre di un’interfaccia semplice e facilmente comprensibile che faciliti l’utilizzo da parte degli utenti anche se non sono professionisti della sicurezza”. A dirlo è Menachem Shafran, SVP strategy and innovation di XM Cyber, che fa notare come “sebbene alcuni utenti siano professionisti della sicurezza e quindi profondamente tecnici, anche i professionisti e i dirigenti IT sono consumatori di informazioni”.
Le due categorie di utenti sono molto diverse fra loro, chiarisce: “I professionisti IT sono tenuti a porre rimedio a molte delle esposizioni che il team di sicurezza scopre e a cui dà la priorità. I dirigenti vorrebbero comprendere i rischi informatici nel contesto aziendale e non solo come una serie di questioni tecniche”.
La soluzione di bilanciamento spiegata da Safran sta nel “garantire ai professionisti della sicurezza tecnica la capacità di approfondire i dettagli dell’esposizione, collegando parallelamente i problemi causati da tali esposizioni, a semplici percorsi e metriche di attacco che esemplificano il rischio per le funzioni aziendali. Ciò consente sia ai tecnici IT sia ai dirigenti di comprendere l’importanza dei problemi informatici in un modo semplice e applicabile all’intera azienda, riducendo l’attrito tra i team di sicurezza e il resto dell’organizzazione”.
Nel settore delle applicazioni è importante e cruciale ottimizzare, ma per farlo è necessario “capire a fondo come funzionano le app e soprattutto come migliorarle” commenta Marco Urciuoli, country manager Italia e Malta di F5, “facendo attenzione alla semplificazione sia agli ambienti ibridi che multicloud”.
Lo stesso impegno è richiesto sulla “distribuzione e gestione di applicazioni e API più semplici, veloci ed economiche grazie all’automazione e a tecniche avanzate come le policy di sicurezza dinamiche e l’API discovery, console di gestione basata su SaaS, strumenti di troubleshooting robusti e insights sul comportamento delle applicazioni”.
Le aziende che si occupano di soluzioni per l’accesso sicuro devono semplificare l’esperienza della identificazione e autenticazione oltre a gestire sia l’autorizzazione che le use case correlati come il reset delle credenziali o la gestione di soluzioni MFA e passwordless.
Massimiliano Micucci, country manager Italy di One Identity, fa notare come “la disciplina dell’Identity Security è probabilmente quella per cui l’esperienza utente assume un aspetto fondamentale, perché oltre ad essere cruciale dal punto di vista delle security e rilevante in termini di efficienza operativa (si pensi ad esempio alla tematica PAM che disciplina l’accesso degli utenti amministratori alle infrastrutture IT), è completamente esposta e quotidianamente utilizzata da tutte le categorie di utenti in ambito B2B/B2C: workforce, contractor, business partner, fornitori e, non ultimi, i clienti”.
L’esperienza utente in questo caso è fondamentale, come sottolinea “non solo per l’efficienza operativa e la produttività, ma è strettamente correlata al core business, coinvolgendo i clienti dell’organizzazione nella fruizione dei servizi digitali a loro esposti”.
Per i prodotti che raccolgono dati e devono fare correlazione o segnalazione di superamento delle soglie è necessario dotare i sistemi di “Una telemetria chiara e comprensibile consente agli analisti di identificare e reagire rapidamente agli incidenti di sicurezza nella rete” fa notare Ross McKerchar, chief information security officer (CISO) di Sophos, “senza dimenticale la collaborazione fra i team di sicurezza di collaborare con gli utenti per definire politiche che non ostacolino le operazioni”.
Infine, l’approccio di sensibilizzazione sul ruolo della sicurezza come game changer della resilienza del business è la filosofia esposta da Stefano Mesiti, head of enterprisesSales di Trend Micro Italia, che sottolinea come “negli ultimi anni, la sensibilizzazione in materia di cybersicurezza, ha contribuito a cambiare le aziende che prima avevano un approccio “fatalista”, e che oggi hanno preso maggiore consapevolezza del calcolo e della valutazione del rischio cyber, puntando maggiormente sulla prevenzione oltre che sulla parte di remediation”.
Guidare le aziende significa operare come “Trusted Advisor, semplificando l’idea di cybersicurezza in azienda, partendo dalla sensibilizzazione, passando per la gestione e risoluzione dei problemi quotidiani, favorendo una vera e propria delega di ciò che è oggi la sicurezza cyber in azienda con l’obiettivo di affiancare il cliente in questo percorso di sicurezza”.
