Il livello di conformità di un utente verso un controllo di sicurezza è direttamente proporzionale al rapporto fra il disagio indotto dal controllo e il disagio derivante dalla non conformità. In pratica, un utente tenderà a scegliere la via della minore resistenza. Questi assunti servono a comprendere che prevedere ed integrare la sicurezza già in fase di disegno di un qualsiasi strumento, meccanismo, software o processo è sempre più importante e che l’esperienza d’uso è una diretta conseguenza della fase di disegno. Pensiamo, ad esempio, ad una sedia o ad un’automobile: quando la sicurezza è ben integrata nel design, essa diventa pressoché invisibile pur mantenendo inalterata (o addirittura migliorando) la propria efficacia.

Nel caso dell’auto, la maggior parte dei controlli e dei dispositivi di sicurezza opera in maniera silente, quasi invisibile. Qualcuno avrà provato l’efficacia dell’ABS o dell’ESP in rare occasioni al limite, oppure avrà ancora nelle orecchie il “blin blin” che lo rimprovera perché non ha indossato la cintura di sicurezza. Eppure, la maggior parte dei dispositivi di sicurezza è del tutto invisibile ed opera nell’ombra, senza dare particolari segni del proprio intervento finché ciò non diventi effettivamente necessario: pretensionatori, airbag, ripartitori di frenata, radar anticollisione, tanto per fare qualche esempio. L’obiettivo finale è quello di prevenire o far sparire un problema in maniera invisibile. In molti casi, però, il controllo di sicurezza diventa un potenziale attacco di Denial-of-Service contro l’utente o può risultare inefficace in termini di protezione, soprattutto quando i requisiti di sicurezza non sono stati adeguatamente integrati già nelle fasi di disegno.

La miglior sicurezza è quella che offre agli utenti la via più facile: se l’utente è agevolato nello svolgimento delle proprie attività, le probabilità che egli cerchi di aggirare i controlli saranno nettamente più basse. Se andiamo a guardare l’interfaccia utente dei prodotti di sicurezza, ad esempio, pochi di essi dimostrano particolare intelligenza nell’agevolare l’esperienza d’uso, palesando la mancata integrazione dei controlli di sicurezza nel loro disegno, costringendo utenti ed amministratori ad imparare il vocabolario degli ingegneri e ad adattarsi alle loro supposizioni (spesso errate) di utilizzo. Come effetto collaterale, questo obbliga le aziende a ricorrere ad architetti di sicurezza che sono chiamati ad integrare le tecnologie e a far funzionare il tutto in maniera sufficientemente sicura, rimuovendo o (peggio) aggirando eventuali ostacoli pur di garantire l’erogazione dei servizi di business.

Eppure basterebbe rispettare pochi principi di core design che consentirebbero di migliorare realmente la conformità e l’efficacia dei controlli di sicurezza, pur garantendo un’ottima esperienza d’uso da parte degli utenti. Innanzitutto, è importante correlare il comportamento umano e il workflow adottato dagli utenti fin dalle fasi preliminari di disegno, in maniera tale da indirizzare gli utenti verso l’opzione più sicura con un’imposizione positiva, cioè offrendo al contempo la via più agevole, rapida e comprensibile per svolgere il loro compito quotidiano. Semplicemente integrando la sicurezza nel loro modo di lavorare, rispettandone le esigenze ma senza sacrificare i requisiti di sicurezza. In definitiva, un miglior disegno della sicurezza si traduce in minori necessità di addestramento degli utenti, meno tentativi di aggiramento dei controlli di sicurezza e una maggiore efficacia ed efficienza dei professionisti di sicurezza. Ecco perché la sicurezza necessita di più progettisti e meno architetti, meno scrittori di politiche e meno formatori di sicurezza.

La user experience è la vera chiave per il successo dei controlli di sicurezza, ecco perché qualsiasi cosa andrebbe disegnata e costruita con la sicurezza in mente. In uno scenario ideale, la sicurezza non deve essere un elemento fine a sé stesso, bensì deve essere integrata nel tessuto dell’ecosistema tecnologico ad un livello tale da risultare pressoché invisibile. Uno scenario che potrebbe non essere gradito all’industria multimiliardaria della sicurezza, in cui numerose aziende basano il proprio business sulle sempre più numerose minacce, sulla necessità di protezione e su livelli di sicurezza inadeguati. Chissà perché mi torna in mente quel periodo di circa 15-20 anni fa, quando serpeggiava il sospetto che i virus informatici fossero prodotti e diffusi dalle stesse aziende produttrici di antivirus.

Non va però sottovalutato il pericolo che questa invisibilità possa indurre gli utenti e le aziende a considerare la sicurezza come qualcosa di superfluo, di fondamentalmente inutile, a causa della scarsa percezione del suo operato. Quando nessuno penserà più che la sicurezza sia attiva e funzionante, nessuno si preoccuperà di averla o di pagare per ottenerla. Visto dall’ottica di un professionista di sicurezza delle informazioni, lo prospettiva non è certo esaltante: prodotti nettamente più sicuri by design richiederebbero una semplice conoscenza dei principi fondamentali di sicurezza più che una vera e propria specializzazione, mentre diverrebbe un po’ più difficile giustificare le richieste di investimenti in sicurezza alla propria direzione e spiegare perché la sicurezza è così importante.

Tuttavia è proprio questo che viene richiesto al professionista di sicurezza: garantire adeguati livelli di sicurezza ma senza penalizzare i servizi di business e i processi aziendali, magari addirittura agevolandoli, migliorando l’esperienza d’uso degli strumenti e quella lavorativa in generale. Un obiettivo che la sicurezza delle informazioni, se adeguatamente integrata in fase di progettazione e disegno, è perfettamente in grado di centrare, lasciando al professionista l’arduo compito di rappresentare il valore aggiunto della sicurezza a chi deve assicurare i necessari finanziamenti.

In bocca al lupo!

Ettore Guarnaccia