Viviamo nell’era digitale di un mondo interconnesso. L’informazione è diventata una risorsa indispensabile, soprattutto per la sua accessibilità e disponibilità. Lo è per il singolo individuo, ancor più per le aziende, sempre più dipendenti dalle comunicazioni digitali, dalle piattaforme e infrastrutture tecnologiche che le rendono possibili. Accessibilità e connettività hanno però un prezzo da pagare, anche in termini di sicurezza ed aumentata esposizione al rischio.
Comprendere la tipologia e le caratteristiche di questo rischio richiede un’attenzione, una conoscenza e una riflessione che esulano dagli aspetti puramente tecnologici e tecnici. Una maggiore e diversa comprensione serve per sopravvivere ma anche per rimanere competitivi. In un mondo interconnesso nel quale aumentano le vulnerabilità, gli attacchi e la cybercriminalità e non esistono soluzioni facili alla sicurezza digitale.
Un libro per iniziare il 2020
Il libro di Schneier è il racconto dettagliato (400 pagine), documentato e attualizzato dei limiti delle tecniche applicate alla sicurezza, degli errori che si commettono nell’applicarle, della cautela che la più elementare prudenza suggerisce di adottare. Il messaggio principale però sta tutto nel richiamo forte a prestare maggiore attenzione.
Un richiamo rivolto in particolare a tutti coloro che pensano che la sicurezza sia un problema essenzialmente tecnico, risolvibile con l’adozione e l’implementazione di strumenti tecnologici sempre più potenti ed efficienti. Nella realtà la sicurezza digitale evidenzia una catena infinita di errori, slabbrature, comportamenti abitudinari, dipendenze, atteggiamenti impulsivi e compulsivi che sembrano impedire la fuga (salvezza) dal cybercrimine e tantomeno una difesa efficace da esso.
La sicurezza è un processo, non un prodotto
Il senso della vita
Secondo Schneier la sicurezza è un processo, non un prodotto, un problema che evidenzia la differenza tra teoria e pratica, la difficoltà a analizzarlo nella sua complessità, non nei suoi componenti o elementi individuali ma nelle loro interrelazioni, spesso insospettabili e sotterranee, difficili da percepire e comprendere, e quindi meno prevedibili e prevenibili (che può essere prevenuto).
La sicurezza digitale interessa la tecnologia ma dipende ampiamente dalle strategie adottate e dai contesti (scenari) nei quali esse vengono implementate. L’obiettivo di queste strategie non può essere semplicemente l’integrità e la disponibilità dei dati, l’individuazione delle tecnologie più evolute (algoritmi e protocolli, crittografia, ecc.) che servono a mantenere aggiornate le difese digitali, ma soprattutto la capacità di comprendere e demistificare i segreti e i trucchi che possono aiutare a gestire al meglio il fattore umano. In modo da ridurre le vulnerabilità e i rischi, da verificare l’efficienza e l’efficacia dei sistemi di sicurezza implementati, e da consolidare le strategie adottate o trovarne altre maggiormente pertinenti e affidabili.
Fattore umano e tecnoconsapevolezza
Chi non ha ancora letto il libro Sicurezza digitale: segreti e bugie (Secrets and Lies: Digital Security in a Networked World), dovrebbe farlo. In generale chiunque è impegnato aziendalmente sul fronte della sicurezza digitale dovrebbe prestare meno attenzione a articoli brevi, messaggini e promozioni pubblicitarie online dedicando più tempo a leggere più libri sull’argomento sicurezza. Il libro di Schneier è datato ma ancora attuale perché pieno di idee sulle quali attivare il pensiero critico e la riflessione, entrambi utili a una maggior tecnoconsapevolezza.
La consapevolezza serve a convincersi quanto sia sbagliato focalizzare attenzione e strategie sulle componenti tecnologiche e sugli strumenti disponibili e quanto, al contrario, sia necessario rimanere focalizzati sul fattore umano. Il rischio informatico non è in sé diverso da altre tipologie di rischio aziendale. Lo è per le persone coinvolte, per la loro percezione del rischio, per l’uso che fanno della tecnologia, per avere una relazione con la realtà sempre più mediata tecnologicamente, dai tempi accelerati e presenti che la tecnologia impone.
Cosa servirebbe
Più che il prodotto per la sicurezza perfetto, servirebbe una Internet in grado di garantire confidenzialità, affidabilità e disponibilità (dati-accessi). Una Internet capace di garantire realmente Privacy e anonimato. Ma una Internet cosiffatta non è comunque sufficiente senza persone qualificate e capaci di comprendere i contesti e gli scenari tecnologici nei quali sono coinvolti. Comprendere gli uni e gli altri significa individuare con maggiore chiarezza i potenziali nemici della sicurezza aziendale. Nemici o avversari che Schneier identifica non solo negli hacker o cybercriminali ma anche in criminali digitali solitari, in potenziali criminali interni (embedded), agenti di spionaggio industriale, giornalisti, organizzazioni criminali, polizia, terroristi, organizzazioni di intelligence nazionali e attivisti o guerrieri della Rete.
A distanza di dieci anni dalla pubblicazione del libro il fattore umano continua a rimanere l’elemento di criticità principale, anche perché sempre poco considerato. Si dedica più tempo ai firewall di Rete e agli strumenti di protezione, si continua a investire poco in formazione e sulle persone.
Alcune considerazioni finali
Chi si occupa di sicurezza in azienda sa che il 2020 non è destinato a essere un anno migliore in termini di sicurezza digitale. Anzi se ci sarà qualcosa che può andare storto, ci andrà! Gli scenari negli ultimi anni sono mutati ma non è mutato il modo con cui andrebbero guardati, analizzati e compresi. Un modo per farlo è adottare buone pratiche di lettura, ricercando autori che non si focalizzano sugli aspetti tecnologici ma antropologici, culturali e sociali.
Il libro di Schneier è uno di questi. E io ne suggerisco la lettura, la condivisione e l’acquisto per un regalo. Invito quest’ultimo rivolto a chi si è dimenticato di fare un regalo al proprio capo e è sempre motivato a farlo!