gassa

I nodi della rete
di Giancarlo Livraghi
18 – gennaio 2003
su ICT Security


La sicurezza
è un modo di pensare

Se le mura di Troia resistettero a dieci anni di assedio vuol dire che erano ben progettate e costruite. Ad aprire un varco non fu una nuova tecnologia degli arieti, ma l’astuzia di Ulisse – e la cieca ostinazione dei trioani nel non ascoltare i sensati avvertimenti di Cassandra e di Laocoonte.

Non solo nei poemi epici – o nei racconti polizieschi, di spionaggio, di avventura e di fantascienza – le più raffinate difese tecnologiche possono essere superate dall’astuzia o frantumate da comportamenti incauti o distratti. Anche la storia di tutti i tempi e le cronache di tutti i giorni ci insegnano che incidenti e disgrazie (oppure la fuga di notizie, la perdita di riservatezza o la diffusione di informazioni false) sono provocate più spesso da un errore umano che dal guasto di un meccanismo o di un sistema.

Secondo fonti americane, credo ben documentate, negli anni dell’estrema “orgia tecnologica“ alla fine del secolo scorso sono stati sprecati negli Stati Uniti 65 miliardi di dollari in tecnologie inutili o inopportune – e non meno di altrettanti nel resto del mondo. Ma il danno reale va molto a di là di quelle cifre, perché l’applicazione di tecnologie senza un adeguato processo ha causato molti più problemi di quanti ne ha risolti.  (Vedi Il paradosso della tecnologia).

Le tecnologie funzionano bene quando sono impostate come conseguenza di un processo organizzativo e basate sulle esigenze umane. Troppo spesso non lo sono – e le conseguenze sono sempre negative. Nei casi più “veniali“ provocano disordine, confusione, disagio, difficoltà di adattamento e scadimento di funzionalità. Nei casi più gravi si traducono in disastri.

La sicurezza è un tema, giustamente, di attualità – per molti e ben fondati motivi. Ma anche in questo caso le soluzioni non possono essere solo, né prevalentemente, tecniche. Ogni buon sistema di sicurezza deve partire da una seria analisi funzionale dell’organizzazione, delle esigenze, delle priorità, delle relazioni umane e del comportamento delle persone. Sarà tanto più efficace quanto più sarà basato su un processo ben definito e su un’approfondita formazione e coscienza condivisa da tutte le persone direttamente o indirettamente coinvolte.

Alcune delle soluzioni più efficaci sono tecnicamente semplici. Per esempio non c’è alcun motivo per cui informazioni riservate debbano essere inserite in un sistema elettronico condiviso o accessibile. E non è quasi mai necessario che apparati pericolosi (o sistemi di sicurezza) debbano funzionare con dispositivi automatici senza adeguate cautele umane.

I sistemi centralizzati, o esageratamente interdipendenti, o troppo “permeabili“, sono una fonte di rischi che continuano a moltiplicarsi. Concezioni informatiche e di comunicazione più funzionali e meno farraginose non solo funzionano meglio (e sono meglio riparabili in caso di guasto) ma creano meno problemi di sicurezza.

Le soluzioni più efficaci possono dispiacere a quei fornitori di software che amano “imprigionare“ i loro clienti in sistemi così intimamente interconnessi (e incompatibili con altri) da costringerli a un’obbedienza cieca e assoluta, a un’architettura standardizzata (perciò più facilmente penetrabile) e alla continua, ripetitiva adozione di “aggiornamenti“ inutili e spesso difettosi. Ma da queste prigioni è opportuno liberarsi, per evitare non solo un incessante spreco di denaro ma anche un’accumulazione di rischi.

Anche in questo senso, una buona analisi di sicurezza parte da una verifica del sistema e dall’eliminazione delle complicazioni non necessarie. Rimuovere le cause delle disfunzioni significa ridurre le aree di rischio e renderle più facilmente isolabili. Così molti problemi si possono risolvere senza bisogno di ulteriori rimedi. E dove rimangono problemi gli interventi possono essere molto più precisi, semplici ed efficaci.

Il problema più diffuso sta nel fatto che sulla sicurezza si interviene troppo tardi. Il malanno viene affrontato dopo che se ne sono constatate le conseguenze. Le soluzioni adottate in un clima di emergenza non consentono il tempo per un’analisi approfondita delle cause. L’accumularsi di toppe e di rammendi apre nuovi rischi e nuovi problemi.

Anche quando un incidente improvviso rende necessarie soluzioni immediate, è bene non considerarlo come un caso isolato, ma come sintomo di una situazione generale, con radici più profonde. E perciò non accontentarsi di un rimedio ad hoc, ma dopo aver tappato alla bell’e meglio la falla trovare il tempo per una diagnosi più approfondita e sistematica.

In tutte le tecnologie, dalle più semplici alle più elaborate, è importante pensare prima di tutto alle esigenze umane e organizzative – e badare seriamente all’ergonomia, che non è solo fisica, ma anche mentale e psicologica.  (Vedi  Il problema delle tecnologie  I malanni delle tecnologie  Il letargo dell’ergonomia).

L’essenza della sicurezza non sta nelle soluzioni tecniche – che sono utili soltanto come conseguenza di una seria analisi dell’organizzazione e del processo. Sta nella coscienza, nella cultura, nella consapevolezza delle persone.

Le buone soluzioni richiedono tempo, pazienza e continuità. La sicurezza non è un’esigenza occasionale da risolvere con interventi una tantum. È prima di tutto un modo di essere e di pensare.

Metodi e tecnologie devono adattarsi alle esigenze umane. Ogni soluzione che faccia il percorso contrario (cosa che purtroppo accade spesso) non solo apre la strada a infiniti “cavalli di Troia“ ma moltiplica le possibilità di errore umano – oltre che di guasti derivanti da sistemi tecnici ostici, astrusi, scomodi, sgradevoli, difficilmente comprensibili o strutturalmente troppo complessi. Le soluzioni concettualmente semplici sono le più efficaci e le più sicure. La più solida base della sicurezza è una seria e funzionale applicazione del buon senso.



indice
indice delle rubriche


Home Page Gandalf
home