Gli investimenti nella sicurezza sono spesso guidati dalla percezione
Quando il Direttore Generale di un’azienda si vede recapitare centinaia di messaggi spam alla settimana, sarà di certo più propenso ad approvare un’investimento in un sistema antispam.
E' qualcosa di tangibile che ha un effetto immediato sulla nostra percezione e interferendo con la nostra possibilità di lavorare: chiamiamo questa una minaccia "rumorosa", che si discosta dall'altro tipo di minaccia, ovvero quella "silenziosa" in grado di causare danni sostanziali, anche senza influire sullo svolgimento del nostro lavoro.
Nel primo insieme ricadono le minacce più conosciute, quelle di cui tutti parlano e quelle per cui è più semplice individuare soluzioni: parlo di virus, worm, spam, ovvero di quei pericolosi e noiosi fattori che giornalmente influenzano la nostra produttività.
La loro visibilità da parte non solo dei vertici aziendali, ma anche dei rispettivi consorti, di figli, amici e parenti tutti, rende più facilmente affrontabili e giustificabili gli investimenti per le contromisure da adottare.
Le minacce più silenziose, quelle che riguardano, ad esempio, la sottrazione di dati, sono molto più insidiose e agiscono con passo felpato. Spesso, quando accadono, risulta difficile dimostrarne l’impatto, e, a fronte di questo, è più arduo richiedere un investimento al proprio management quando non è possibile quantificare una perdita nei profitti o nei propri asset (intesi come elementi del proprio patrimonio).
Purtroppo, come ben afferma Bruce Schneier nel Saggio “Psicologia della sicurezza”, la sicurezza ha due facce: è sia una sensazione sia qualcosa di reale.
La faccia della realtà presenta una sicurezza che utilizza il calcolo delle probabilità per determinare quanto un rischio si possa verificare e come potervi far fronte con adeguate contromisure, data una quantità di informazioni necessaria e sufficiente in grado di supportare l’analisi.
La faccia della sensazione invece riguarda la percezione che noi abbiamo nei confronti delle minacce e delle relative contromisure: queste due facce, sebbene abbiano diversi punti in comune, non coincideranno mai
Le scienze psicologiche e cognitive considerano il “rischio come sensazione” un’importante vestigia del nostro viaggio evolutivo (http://dccps.nci.nih.gov/brp/presentations/slovic.pdf), sostenendo che la sensazione intuitiva è ancora il metodo predominante con cui l’essere umano valuta i rischi.
Un altra motivazione per cui è difficile sostenere un investimento di sicurezza e ottenerne l’approvazione è la visione negativa dell’argomento “rischio”.
Per chi non vi lavora direttamente, e voglio quindi parlare della stragrande maggioranza degli esseri umani, la sicurezza ha una connotazione negativa perché è legata al rischio, elemento di fronte al quale il cervello dell’essere umano, nel processo valutativo di una determinata attività, tende a fare una smorfia di fastidio e a darvi quindi un’importanza inferiore rispetto alle finalità ultime dell'attività (e ai suoi eventuali vantaggi).
Nella tabella seguente (prosaicamente realistica) ho cercato di evidenziare alcune caratteristiche valutative che concorrono alla decisione sull'investimento, comparando una soluzione antispam e un processo/soluzione anti-frode/fuga di dati.
Spam
Frode/fuga di dati
Caratteristiche salienti
Caratteristiche salienti
pericoloso
pericolosa
fastidioso
costosa
originato dall’esterno (grado di fiducia nell’attore: basso)
originata dall’interno (grado di fiducia nell’attore: medio/alto)
Effetti dell’introduzione di un antispam
Effetti dell’introduzione di una soluzione/processo antifrode
Aumento della produttività
Tracciamento dei flussi informativi/delle attività dei dipendenti
Diminuzione del malware in azienda
Allarmi su movimenti sospetti di dati
Il direttore ha la percezione (reale) di lavorare meglio...
e quindi
...i dipendenti lavorano meglio
Individuazione
Prevenzione
È indubbio che il grande clamore intorno ai pericoli di attacchi causati da malware condizioni fortemente gli investimenti in sicurezza per prevenirne gli effetti. Ma una volta che l’azienda viene protetta maggiormente mediante le relative soluzioni anti-, è opportuno che si focalizzi anche sugli altri problemi, quelli che al momento fanno meno rumore.
Forse una soluzione sta nell’aumentare il rumore di fondo che questo tipo di problemi comporta. Un aiuto viene, negli Stati Uniti e nel Regno Unito, da una serie di normative emanate negli ultimi anni che obbligano le aziende a denunciare ogni incidente di sicurezza che abbia avuto una qualche influenza sui fattori di Confidenzialità, Integrità e Disponibilità dei dati dei privati cittadini. The Breach Blog tiene traccia di questi incidenti dandone notizia non appena divulgati.
Le cause di incidenti che vanno per la maggiore sono le perdite di laptop, di CD/DVD o di chiavi USB, la sottrazione di dati di carte di credito, le fughe di dati in genere, l’errore umano nella gestione di dati sensibili o confidenziali.
Da parte nostra ci impegneremo affinché la conoscenza e le notizie vengano diffuse il più possibile, allo scopo di modificare la frase “Gli investimenti in sicurezza sono spesso guidati dalla necessità di adeguamento a normative o regolamentazioni (compliance).” in “Gli investimenti in sicurezza sono guidati dall’effettiva necessità di protezione delle informazioni in azienda.”