Fino a che punto, oggi, si può ritenere accettabile un errore umano nella gestione della sicurezza cyber? Piuttosto, si dovrebbe parlare di errori disumani dal momento che una corretta postura di sicurezza deve prevedere anche una mitigazione di quel mitologico fattore umano che non può costituire una facile scusante per il fallimento delle proprie strategie di protezione.
Talvolta, quasi uno skip over delle responsabilità “perché è qualcosa che capita”.
E invece no: l’errore umano non è qualcosa che capita, ma una fonte di rischio da prevedere, mitigare e riesaminare. Più è dirompente negli effetti, più esprime il fatto che questa attività di analisi e implementazione non è stata svolta correttamente. O non è stata svolta affatto.
E attenzione: qui non è un post hoc ergo propter hoc, in cui si presume una causa per effetto di una mera successione temporale. Qui la causa è palese e consiste nel non aver considerato adeguatamente il fattore umano.
L’errore umano capita, ma va previsto
Insomma: l’errore umano capita e può capitare, ma deve essere previsto e mitigato adeguatamente. Altrimenti, la sorte prevedibile è che un attacco di social engineering possa battere ogni misura tecnologica in quanto predisposta come unica difesa.
Il fatto che tutto questo possa avvenire per aver sottovalutato le minacce, il fattore umano, o altrimenti aver ceduto all’illusione di invulnerabilità, poco conta. Ciò che rimane, quando la polvere dell’attacco cyber si poserà, è la responsabilità di chi non ha saputo proteggere adeguatamente i propri asset.
Motivo per cui nelle strategie di cyber resilience, come nella NIS 2, la gestione del fattore umano è un pilastro fondamentale.
Quindi, con una chiosa dal sapore quasi alchemico, possiamo concludere che sebbene errare sia umano, perseverare nell’ignorare questo elemento di rischio è decisamente un errore disumano.
