Iniziando a scrivere questo articolo, ho ripensato a una pubblicità che trovai qualche mese fa in una rivista presa in prestito dalla biblioteca dell'Università. Quella pubblicità diceva più o meno così: "avete investito milioni di euro nei vostri sistemi di sicurezza, ma chi vi proteggerà dalla signora Rossi dell'ufficio vendite?" In realtà dietro a questa frase ad effetto si cela una grande verità: la sicurezza delle reti informatiche è anche una questione di atteggiamenti umani.
Se è vero che la sicurezza totale di un sistema informativo può essere considerata un limite difficilmente raggiungibile, lo è ancora di meno mettendo in gioco variabili non controllabili e non prevedibili, tra le quali il "fattore umano" gioca indubbiamente un ruolo di primaria importanza. Parlando di atteggiamenti umani a rischio mi riferisco in particolare a tutti quei comportamenti, di solito puramente involontari, in seguito ai quali si possono verificare situazioni di pericolo per la sicurezza di dati riservati e "sensibili", siano essi dati personali (ai quali si ricollegano problematiche come la tutela del diritto alla privacy) oppure dati aziendali (ai quali si ricollegano altre problematiche, come la tutela della riservatezza organizzativa e contabile oppure la protezione del segreto industriale e professionale).
Un panorama significativo di questi comportamenti si può avere senza andare troppo lontano: basta fare un giro nelle aule informatiche della nostra Università o riportare alla mente qualche episodio visto "sul campo": quaderni dimenticati di fianco a una postazione con riportati sulla copertina a caratteri cubitali nomi utenti e password; comunicazioni di password ad alta voce tra amici (del tipo "Marco, qual era la parola d'ordine che non me la ricordo?"); tesserini magnetici smarriti nelle aule o nei corridoi, sui tavoli della biblioteca o al bar; postazioni abbandonate in fretta (magari a causa dell'imminente inizio di una lezione) senza effettuare il logout dalla rete universitaria e nemmeno dalla posta elettronica web, computer portatili lasciati in giro con all'interno cookies, password o tesi di laurea quasi completate (in unica copia, causa mancanza di un preventivo backup dei dati).
Tutti questi atteggiamenti a rischio sono ricollegabili per lo più a situazioni di distrazione, imprevedibilità, eccesso di self-confidence, eccesso di ottimismo nelle situazioni della vita, eccesso di buona fede negli atteggiamenti corretti degli altri, oppure semplicemente a una generale sottovalutazione delle conseguenze di determinate azioni.
Anche al di fuori dell'ambiente universitario -ad esempio in ambito di utilizzo personale o aziendale di una rete informatica- spesso le cose non cambiano, ed oltre ad atteggiamenti simili a quelli sopra riportati se ne possono aggiungere altri comunque "classici": il post-it con la password attaccato sul monitor del PC; l'apertura di e-mail provenienti da sconosciuti e recanti attachment "sospetti" (i classici file ".exe", ma non solo...); il computer lasciato acceso e incustodito; la scelta di password banali (es. username: nome; password: cognome) o troppo corte; l'installazione di programmi contenenti algoritmi in grado di violare la privacy (i cosiddetti "spyware") inviando a insaputa dell'utente suoi dati personali ad altri computer collegati alla rete; la navigazione nel web senza particolari precauzioni e senza preoccuparsi di verificare la provenienza di eventuali software richiesti dal browser.
All'interno di un ambiente aziendale si può cercare di ovviare a molti di questi comportamenti mediante l'adozione di una policy relativa alla sicurezza, al cui rispetto siano tenuti tutti gli utenti del sistema informativo: l'utilizzo programmato di firewall; la realizzazione di frequenti copie di backup dei dati; l'aggiornamento dei sistemi tramite i file di correzione resi disponibili dalle software house (le cosidette "security patch") in seguito alla scoperta di particolari vulnerabilità sul piano della sicurezza. Ma anche regole relative alle password: lunghezza minima, forma (possibilmente un giusto mix di lettere, numeri, simboli) e contenuto (non banale), custodia sicura, data di scadenza (la quale implica un obbligo di cambiamento delle password nel tempo).
A livello aziendale la definizione di una security policy non può tuttavia prescindere dalla diffusione di una "cultura della sicurezza", tramite processi di comunicazione interna e trasparenza supportati da adeguate campagne di sensibilizzazione e formazione. Tali processi potrebbero peraltro essere messi in pratica anche da parte di scuole e università nei confronti dei propri studenti, che prima ancora di imparare a utilizzare un programma di videoscrittura, un browser o un foglio di calcolo potrebbero in questo modo essere in grado di prevenire comportamenti a rischio; nelle scuole di oggi, e nelle aziende di domani.
Sebastiano Mestre