Anche se la cura nel maneggiare le informazioni classificate dovrebbe ricadere nel buon senso, le persone continuano a commettere errori perché i loro bias cognitivi le abituano a gestire dati sensibili, rendendole progressivamente apatiche nel proteggerli.
L’etichettatura delle informazioni sensibili garantisce che gli utenti possano identificare facilmente il livello di classificazione banalmente leggendo tag ed etichette, sia fisiche che elettroniche. Se un nastro di backup include dati top secret, deve avere un’etichetta fisica “TOP SECRET” attaccata sopra. Se un computer elabora informazioni riservate, deve mostrare chiaramente il livello più alto di classificazione che gestisce.
L’allora Presidente degli Stati Uniti Ronald Reagan, parlando del disarmo dell’Unione Sovietica, disse parafrasando ironicamente un proverbio russo: «Fidati, ma verifica». Questo principio si applica perfettamente alla gestione degli asset sensibili.
Ecco, dunque, le metodologie concrete di etichettatura e gestione degli asset sensibili che superino i bias cognitivi attraverso sistemi visivi, automatizzati e verificabili, in modo da trasformare la protezione delle informazioni da responsabilità individuale a processo sistemico che funzioni anche quando le persone sbagliano[1].
Indice degli argomenti
I bias cognitivi che tradiscono il buon senso
La gestione sicura delle informazioni classificate dovrebbe essere una questione di buon senso da scuola elementare, ma la realtà dimostra costantemente che anche i professionisti esperti ed in buona fede commettono errori sistematici.
I bias cognitivi descritti negli studi di psicologia comportamentale e nel libro “Cybercognitivismo 2.0” spiegano perché le persone sviluppano abitudini di gestione dei dati sensibili che le rendono progressivamente apatiche nel proteggerli adeguatamente.
Il bias dell’abitudine porta a trattare informazioni altamente sensibili, dopo un’esposizione ripetuta ad essi, come dati di routine, riducendo la vigilanza e l’attenzione ai dettagli di sicurezza.
L’overconfidence bias convince le persone di essere più capaci di proteggere le informazioni di quanto non lo siano realmente, portandole a sottovalutare rischi e procedure.
Il bias della normalizzazione fa sì che comportamenti rischiosi diventino accettabili se ripetuti senza conseguenze immediate visibili. Questi meccanismi psicologici non sono difetti personali, ma costituiscono caratteristiche naturali del cervello umano che cerca di ottimizzare l’uso delle risorse cognitive per non sprecare glucosio.
Tuttavia, nel contesto della sicurezza informatica, questi shortcuts mentali possono avere conseguenze devastanti che richiedono contromisure sistemiche che travalicano la disciplina individuale.
Etichettatura fisica: la semplicità che funziona
Le etichette fisiche rappresentano il metodo più diretto ed universalmente comprensibile per comunicare il livello di classificazione delle informazioni. Vengono utilizzate per contrassegnare dati archiviati su supporti fisici, file elaborati da sistemi specifici e quell’hardware che gestisce informazioni sensibili. La loro efficacia risiede nell’immediatezza visiva che non richiede interpretazione tecnica.
Se un nastro di backup contiene dati top secret, l’etichetta fisica “TOP SECRET” deve essere chiaramente visibile sul nastro stesso, non solo nei sistemi di catalogazione digitali. Questo approccio garantisce che chiunque maneggi fisicamente il supporto sia immediatamente consapevole della sensibilità del contenuto, indipendentemente dall’accesso ai sistemi informativi di gestione.
Allo stesso modo, se un computer elabora informazioni top secret, deve avere un’etichetta fisica attaccata sul case, sul monitor o in qualsiasi altra posizione prominente che indichi il livello di classificazione più alto delle informazioni che quel computer può elaborare. Questo sistema previene errori di utilizzo dove personale non autorizzato potrebbe inconsapevolmente accedere a sistemi che gestiscono dati oltre il proprio livello di clearance.
La standardizzazione delle etichette fisiche è essenziale: colori, dimensioni, posizionamento e terminologia devono essere uniformi in tutta l’organizzazione per evitare confusioni che potrebbero compromettere la sicurezza.
Sfondi desktop e promemoria ambientali
Alcune organizzazioni implementano sfondi desktop specifici sui computer che elaborano dati classificati, creando promemoria visivi costanti delle responsabilità di sicurezza.
Un sistema che elabora dati proprietari potrebbe avere uno sfondo nero con la scritta “PROPRIETARIO” in bianco ed un bordo colorato in bella mostra, accompagnato da frasi come «Questo computer elabora dati proprietari».
Questi promemoria ambientali sfruttano i principi di psicologia comportamentale per mantenere alta la consapevolezza di sicurezza durante il lavoro quotidiano, contrastando efficacemente i bias di abitudine.
“Fidati ma verifica”: il principio di Reagan applicato alla sicurezza
Il principio “trust but verify” riconosce che le persone, indipendentemente dalle loro intenzioni e competenze, sono fallibili e soggette ad errori, distrazioni e bias cognitivi.
Quindi, la fiducia nelle persone deve essere accompagnata da sistemi di verifica che rilevino e correggano eventuali errori prima che si trasformino in compromissioni di sicurezza.
L’implementazione richiede il bilanciamento tra fiducia e controllo: verifiche eccessive possono creare un ambiente di sfiducia che compromette la collaborazione, mentre verifiche insufficienti possono permettere che errori sistematici passino inosservati fino a quando non causeranno incidenti significativi.
