Il fattore umano è una vulnerabilità oramai nota allo stato dell’arte, ma spesso sottovalutata. Ad oggi, spesso, non è ancora oggetto di accurate e corretti approcci di analisi e trattamento.
Che sia dal punto di vista della sicurezza delle informazioni o della resilienza dei sistemi, poco conta: l’operatore è – anche e soprattutto nell’era delle intelligenze artificiali e delle automazioni – una componente ineliminabile in qualsiasi sistema di cybersecurity. Sensibilizzazione, formazione, addestramento, coinvolgimento, comunicazione, attribuzione di ruoli e responsabilità e definizione dei flussi informativi sono solo alcune delle principali leve su cui è possibile agire per raggiungere quel traguardo di rischio residuo accettabile citato formalmente dalla ISO 27001, ma comunque intrinseco in qualsivoglia attività di successo.
Senza una corretta analisi, e metodo, è impossibile per le organizzazioni essere consapevoli e preparate. Ciò comporta la conseguenza di “perdere la bussola” della sicurezza. E il mare dei rischi cyber sa essere particolarmente insidioso anche per il più preparato dei capitani.
L’elemento umano non è né deve essere destinato ad essere una vulnerabilità ex se. Può anzi costituire un valido motivo per analizzare ricercare all’interno del novero di comportamenti – consci e soprattutto inconsci – tutte quelle vulnerabilità che possono incontrare degli interventi destinati a conferire una risoluzione stabile. Quello del tallone di Achille è un mito, ma la ripetizione della storia secondo cui l’elemento umano è l’anello debole di una catena di sicurezza cyber è destinata ad essere una profezia auto-avverante se l’intervento o è assente o limitato ai soli ambiti di formazione e sensibilizzazione. L’addestramento e l’empowerment sono fattori fondamentali, altrimenti il rischio è quel cognitive bias secondo cui la portata delle misure tecnologiche viene sovrastimata al punto da ritenerla come sostitutiva di interventi organizzativi andando così a trascurare tutta la gamma di rischi incombenti sull’operatore.
Eppure, il corrente trend delle minacce informatiche è chiaro: sono destinati ad aumentare i rischi derivanti da misconfiguration e social engineering. Dunque: errori da parte di operatori pur collocati in posizioni strategiche e livelli differenti. Citando un elemento di advisoring noto nella saga di Guerre Stellari: “Non essere troppo fiero di questo terrore tecnologico che hai costruito: l’abilità di distruggere un pianeta è insignificante in confronto al potere della Forza”. Ciò comporta la necessità di integrare la sicurezza della componente tecnologica con quella umana superando l’erronea concezione che l’una possa sostituire l’altra.
Se si vuole conseguire come sistema Paese quell’obiettivo dichiarato di sovranità digitale, è necessario individuare, riesaminare e valutare continuamente l’effettività degli interventi sul personale che si interfaccia con i sistemi cyber. Ad ogni livello.
