Lo sappiamo. Le vulnerabilità più facilmente penetrabili per tutti i sistemi informativi sono le persone. Un sistema informativo, anche se dotato dei più sofisticati meccanismi di sicurezza, viene usato dagli uomini e, si sa, gli uomini non sono perfetti, sono intrinsecamente deboli.
Sul tema, l’ENISA (l’European Union Agency for Network and Information Security) ha recentemente pubblicato un documento che esamina gli approcci culturali che possono essere utili a modificare i comportamenti delle persone nei confronti della cybersecurity.
L’ENISA esamina, in particolare, i punti deboli dei due approcci più diffusi: quello basato sulla teoria del comportamento atteso e quello basato sulla teoria della protezione motivata.
Il primo risulta, spesso, inefficace perché ha come presupposto teorico il rispetto delle regole aziendali da parte degli utenti del sistema informativo. Questo, in varie occasioni, non accede per tanti motivi: le regole non sono sufficientemente diffuse, le regole non sono chiare, non ci sono sanzioni significative anche per piccole infrazioni.
L’altro approccio, invece, è inficiato da una circostanza molto elementare. L’utente, pur motivato alla protezione del sistema informativo, quando si trova di fronte alla minaccia deve eseguire due passaggi concettuali: sapere che esiste una contromisura che funziona ed applicare la contromisura. Non è scontato che l’utente sappia procedere correttamente alla combinazione dei due passaggi.
Il fattore umano è sempre centrale: nel bene e nel male.