Fool me once, shame on you; fool me twice, shame on me. Questo adagio ben si adatta al contesto degli attacchi informatici, nonostante non venga diffusamente percepito. Anzi, tutto il contrario.
Spesso c’è il pensiero che una volta subito un attacco informatico, questo non sia destinato a ripetersi. Quasi fosse una sorte di evento one shot, o il morbillo. Convinzione peculiare, peraltro smentita a più tratti dalla solita dura e cruda realtà della sicurezza cyber che perde poco tempo dietro facili scuse o illusioni.
“Ma figurati se ci risuccede” è una di quelle confortanti bugie che spesso ci si racconta, con un convincimento rafforzato in correlazione diretta rispetto alla magnitudo dell’accaduto.
Certo, nessuno ha piacere di ricordare un evento spiacevole, ma in una corretta gestione della postura di sicurezza bisogna contemplare anche il worst case scenario (anzi: più d’uno!) e l’analisi post-mortem.
Senza paura di guardare l’abisso che poi ti riguarda, anche perché altrimenti non si fa altro che accettare di avere un punto cieco, imprevedibilità e tutte quelle cose che portano ad un rischio incognito. Dopodiché, l’approccio lesson learned è tutto ciò che sperabilmente potrà ridurre la probabilità di occorrenza del medesimo evento.
L’importanza del lesson learning
Bisogna dunque porsi nella condizione di poter apprendere dall’esperienza tutto ciò che è fallito, sia per gestione che per combinazione di eventi imprevisti – o imprevedibili – e fare dei piani di implementazione che portino il rischio entro una soglia accettabile.
Sarebbe bello dire “Così fan tutti”, ma questo non corrisponde a verità Altrimenti, molto semplicemente, non esisterebbero le “sucker list”, ovverosia i database dettagliati delle vittime di scam, che possono così agevolare nuovi attacchi.
E dato che uno dei fallimenti critici del fattore umano sta proprio nella discontinuità fra rischio reale e percepito, diffondere in modo efficace una politica di lesson learning è un presidio ineliminabile.
Altrimenti, se non si apprende una lezione la realtà non farà altro che fornire nuove – per modalità o tempi – occasioni per farlo. O altrimenti, per essere nelle condizioni di non avere più bisogno di apprenderla perché non c’è più nulla da difendere.
