In cyber security, i dipendenti spesso mancano di buon senso!

In cyber security, i dipendenti spesso mancano di buon senso!

Il buon senso è fra le cose del mondo quella più equamente distribuita, giacché ognuno pensa di esserne così ben dotato, che perfino quelli che sono più difficili da soddisfare riguardo a ogni altro bene non sogliono desiderarne più di quanto ne abbiano. E in questo non è verosimile che tutti si sbaglino; è la prova, piuttosto, che il potere di ben giudicare e di distinguere il vero dal falso, che è propriamente quel che si dice buon senso o ragione, è per natura uguale in tutti gli uomini; e quindi che la diversità delle nostre opinioni non dipende dal fatto che alcuni siano più ragionevoli di altri, ma soltanto da questo, che facciamo andare i nostri pensieri per strade diverse e non prestiamo attenzione alle stesse cose. Perché non basta avere buono l’ingegno; la cosa principale è usarlo bene. Le anime più grandi come sono capaci delle maggiori virtù, così lo sono dei più grandi vizi; e quelli che camminano assai lentamente possono progredire molto di più, se seguono sempre la via diritta, di quelli che correndo se ne allontanano.

René Descartes, Discorso sul metodo [1]

Nel mio quotidiano, è comune imbattermi in frasi come: “Se cadi nelle trappole del phishing, è perché non hai buon senso”, o “Basta il buon senso per essere al sicuro su Internet”, e molte altre variazioni che ruotano attorno a questo presunto “buon senso”.

Sembra che questo buon senso sia considerato una soluzione magica per ogni rischio legato alla sicurezza delle informazioni, che molti cercano invano di trovare.

Tuttavia, l’esperienza dimostra che il buon senso non è così comune come il suo nome suggerirebbe.

Analizziamo il concetto di buon senso

Dopo aver esaminato alcune definizioni di senso comune [2] [3], è evidente che non si tratta di un concetto scientifico, ma filosofico, con una varietà di interpretazioni a seconda dell’autore.

Generalmente, il senso comune è ciò che la maggior parte delle persone pensa o sa riguardo a una situazione, qualcosa di simile a una “conoscenza condivisa applicata”. Per esempio, il lettore sa che avvicinando troppo la mano al fuoco si scotta. Questo è  sembra essere il senso comune.

Ma… nasciamo con il senso comune?

Tutte le definizioni concordano sul fatto che il senso comune varia tra individui, famiglie, città e paesi e si acquisisce nel corso della vita attraverso varie fonti, principalmente attraverso l’esperienza personale.

Quando applichiamo il buon senso?

Ogni volta che formuliamo un giudizio, il nostro senso comune gioca un ruolo nella nostra decisione.

Basandoci sulla nostra esperienza e conoscenza generale di una situazione, il buon senso ci fornisce una risposta semplice per prendere la decisione più corretta e immediata, secondo lui.

E cosa c’entra la cyber security con questo?

Le persone che sostengono che sia necessario avere senso comune per proteggere le informazioni possono avere ragione, ma solo in base al loro proprio senso comune, che non è necessariamente uguale a quello degli altri.

I responsabili della sicurezza informatica che sperano, per esempio, che i loro utenti abbiano senso comune per evitare truffe di phishing, devono capire che per molti utenti il buon senso NON suggerisce che un allegato di una e-mail possa essere pericoloso, per citare un esempio.

In realtà, direi che il senso comune, in molte società, guida le persone verso comportamenti poco sicuri in relazione alla protezione delle informazioni.

Quindi, il senso comune non è utile nel mondo della sicurezza?

Credo che sia un’idea valida quella di sfruttare il senso comune per promuovere comportamenti sicuri, e che possa essere un’arma potente (ma non l’unica) contro i rischi per la sicurezza delle informazioni all’interno di un’organizzazione.

Tuttavia, come già detto, il responsabile della sicurezza dell’organizzazione deve sviluppare questo senso comune fornendo una conoscenza condivisa ai propri utenti.

Non è semplice come mettere una persona davanti al fuoco e mostrarle che avvicinando la mano si scotta. Ma, con i mezzi appropriati, è possibile. È possibile educare una persona sui rischi a cui è esposta, ad esempio, su Internet. È possibile sottoporla a scenari reali per aiutarla a formare la propria esperienza in queste situazioni. È possibile che il comportamento sicuro diventi un’abitudine e parte del senso comune di ciascun utente.

Tuttavia, è necessario dedicare tempo e utilizzare gli strumenti giusti per raggiungere questo obiettivo e non limitarsi ad aspettare che un utente sviluppi da solo una forte difesa nella sicurezza dell’organizzazione grazie al suo senso comune.

Fuentes

    1. https://it.wikipedia.org/wiki/Discorso_sul_metodo
    2. https://it.wikipedia.org/wiki/Senso_comune
    3. https://www.treccani.it/enciclopedia/senso-comune_(Dizionario-di-filosofia)/

Nicolás Bruna

Product Manager de SMARTFENSE. Su misión en la empresa es mejorar la plataforma día a día y evangelizar sobre la importancia de la concientización. Lidera el equipo de desarrollo y QA de SMARTFENSE. Ha escrito dos whitepapers y más de 50 artículos sobre concientización. También es uno de los autores de la Guía de Ransomware de OWASP y el Calculador de costos de Ransomware, entre otros recursos gratuitos.

Lascia un commento