Il paradigma della protezione dei dati personali negli anni si è molto trasformato, si può affermare senza dover temere di essere smentiti, che il peso dei rischi legati alla Sicurezza delle Informazioni si è spostato dalla tecnologia alle persone muovendo il baricentro dell’attenzione di chi le attacca su noi esseri umani.
Rafforzare la consapevolezza dei rischi per la sicurezza dei dati personali
Il fenomeno ha creato un movimento generativo di servizi e prodotti orientati a rafforzare la consapevolezza di questi rischi nella componente umana della catena di protezione delle informazioni.
Questo è avvenuto sia sul versante professionale che per scopi privati. Alcuni osservatori e membri della comunità degli specialisti di sicurezza delle informazioni, già da qualche anno, hanno iniziato a riconsiderare l’approccio metodologico con cui si è cercato di raggiungere l’obbiettivo precedentemente citato.
In particolare, quello che è stato posto come possibile cambio di prospettiva è che per tutta la prima fase di questo movimento si è ragionato fondando la formazione delle persone basandole su due pilastri:
- Il fattore umano è l’anello debole
- Fare formazione facendo leva sulla paura
Un necessario cambio di prospettiva
Questo approccio però ha dimostrato alcuni limiti in termini di comprensione da parte delle persone e soprattutto di “engagement” con la missione che veniva trasferita verso di loro.
Infatti, il fatto di spaventare le persone mettendole davanti ai forti rischi che potrebbero avverarsi non seguendo una politica di sicurezza funziona nel breve periodo ma ha creato una curva di attenzione molto ripida verso il basso nel medio e lungo.
La natura dell’uomo è sempre stata orientata alla sopravvivenza e siamo portati a tenere i pensieri negativi quanto più lontani dall’attualità. La stessa capacità della società moderna di ritornare a uso e costumi pre-pandemia in tempi molto brevi ne è una corroborazione. Allo stesso tempo il sentirsi definire anello debole non è considerabile uno strumento valido al fine di instaurare un rapporto di empatia e fiducia verso colui che stiamo cercando di sensibilizzare.
Tutto ciò deve inquadrarsi dento una cornice di complessità degli argomenti e di difficile trasportabilità dei problemi legati alla sicurezza delle informazioni nella vita di tutti i giorni.
Questa riflessione non va a rendere inutile tutto il lavoro che è stato fatto in termini di “Security Awareness” in questi anni.
Tanto è vero che da questo primo flusso si sono visti concepire diversi format di divulgazione che seguono un approccio molto più vicino alla realtà di tutti i giorni.
Il Podcast PensieroSicuro
Lo stesso Podcast PensieroSicuro ne è uno dei promotori, la scelta di settare il target di ascoltatori su quel 99% di utenti utilizzatori di tecnologia che non è esperto volge proprio in questo senso. All’interno di queste realtà sono stati anche creati modelli di comunicazione e condivisione della sicurezza che spostavano il fuoco da “tu sei l’anello debole” a “tu sei la prima linea di difesa, il nostro super eroe”. Racconti di vita comune che parallelizzano i problemi tecnologici facendoli diventare un concetto facile da digerire. Un PensieroSicuro che si inserisce nella mente di chi lo ascolta e diventa generatore di ragionamenti, riflessioni e nuovi stimoli.
Sicurezza, da dovere a volere
Passare dal dire alle persone di “dovere agire in sicurezza” a portarli a generare una coscienza personale e “volere agire sicurezza”.
Sarete d’accordo con noi che in questa nuova prospettiva c’è un balzo di “engagement” inestimabile.
Fare passare il pensiero dell’utente da: “che fastidio devo usare la multi factor authentication” al PensieroSicuro “Io voglio usare la multi factor authentication” ha delle esternalità positive che vanno ben oltre la mera messa in sicurezza di un’azienda.
Portano ad una crescita totale del livello di consapevolezza dell’intero sistema paese e della società.
Il modello TEAM
A tal proposito è stato anche ideato, dagli stessi editori di PensieroSicuro, un modello definito TEAM che viene presentato come un tavolo su cui si poggia la Sicurezza delle informazioni che ha nelle quattro lettere dell’acronimo i pilastri portanti dello stesso, senza andare troppo nel dettaglio e rendere questo articolo troppo lungo li citiamo soltanto come Tecnologia Esercitazione Attenzione Miglioramento.
Fa ben sperare per il futuro, la notizia che sono nate moltissime realtà che supportano la condivisione di esperienza a tutti i livelli, associazioni come la Cloud Security Alliance Italia che ha creato la prima comunità ufficiale di CISO (Chief Information Security Officer) Italiani e conferenze come la 231123 (nr: www.pensierosicuro.it/live) che si terrà a novembre a Milano giusto per citarne un paio.
Conclusioni
Di futuro parlavamo poco sopra, un futuro che è entrato da qualche tempo in una nuova era, quella che ci troverà ad affrontare la sfida dell’ingresso in campo delle Intelligenze Artificiali.
Una innovazione che offrirà di certo una serie di nuovi strumenti a tutti coloro che ne faranno uso, sia per il bene che per il male. Sarà quindi ancora più strategico e non opzionale, in un periodo di abbondanza di vincoli e scarsità di risorse, fare leva sul “fattore umano come elemento di forza e NON di debolezza”.
