Usabilità contro sicurezza

In un’organizzazione tipica la proprietà (o chi per lei) si affida all’IT (dipendente, consulente o mix) per la gestione dei dati e della loro sicurezza (intesa sia come integrità sia come protezione).

L’IT sa benissimo che usabilità e sicurezza sono due vettori uguali e contrari; compito del bravo IT è di mediare le due cose con le necessità aziendali e, spesso, con i capricci di alcuni utenti.

Fino a poco tempo fa la soluzione della sicurezza informatica era quasi banale perché bastava stabilire un perimetro con accessi controllati: i computer all’interno erano sicuri, quelli all’esterno insicuri e alle porte si mettevano dei guardiani feroci (firewall, proxy e assimilati).

Alcuni fattori tecnologici stanno rendendo velocemente obsoleto questo modello; tra questi si possono citare le chiavette USB, i dispositivi portatili leggeri (telefoni, netbook, tavolette, console portatili) e la proliferazione di servizi online di storage e collaboration (Dropbox e Google Office per ricordare due esempi).

Alla tecnologia si affiancano anche i fattori umani, come il social engineering da un lato e la tendenza di alcune persone IT a non volersi aggiornare dall’altro.

Risultato? Il caos.

L’IT non aggiorna a Windows 7 magari perché non ha il budget e/o perché dovrebbe imparare tutto da zero. L’utente che si crede un SysAdmin perché riesce ad installare la stampante a casa sua senza dover riformattare il PC inizia a pontificare teorie assurde. Il power user che collega un po’ di device alla LAN e al PC aziendale, installando un sacco di driver e di crapware (avete idea di cosa installano iTunes o il software di gestione di Nokia?), trasferendo dati di lavoro e magari un po’ di malware. Il dirigente che accede alla mail aziendale via web dall’albergo e salva la password sul PC comune dell’hotel.

Ogni sei mese esce un nuovo dispositivo mobile leggero, tutti in azienda vorrebbero che il loro dispositivo mobile (notoriamente il migliore al mondo, checché ne dicano i colleghi, che non capiscono nulla di tecnologia) fosse interfacciabile con i sistemi aziendali. Tutti vorrebbero che il calendario (di cui non esiste un dannato standard!) del telefono fosse sincronizzato con quello del netbook e con quello del sistema aziendale. Piacerebbe a ciascuno poter leggere i documenti aziendali dal treno o da casa, ovviamente ognuno con una versione diversa di piattaforma e di release.

Nessuno pensa che i propri appuntamenti personali potrebbero essere letti da tutti a causa delle impostazioni di default della sincronizzazione, o che non è una bella cosa far transitare in chiaro dati aziendali su reti aperte o che se si chiede di cambiare password ogni tanto ci possono essere validi motivi.

“Ma io devo vedere i documenti anche quando sono in giro!” è il mantra di chi sostituisce troppe volte il verbo volere con dovere, guardando solamente al proprio orticello.

Se in un ufficio di poche persone è relativamente semplice e poco dispendioso cambiare le tecnologie, più l’azienda diventa grossa e più aumentano i problemi e i costi, spesso con un andamento geometrico.

Se sarebbe accettabile avere due client diversi di posta elettronica, è meno facile gestire diversi sistemi di programmi di tipo office, anche se molte realtà fanno di necessità (il budget) virtù e stringono i denti.

Al solito, un’intelligente mediazione è spesso la soluzione migliore. Da un lato, l’IT non deve dire NO per principio, deve restare costantemente aggiornato, ascoltare le istanze dei clienti/utenti e condividere le decisioni con loro. Dall’altro, gli utenti non possono considerare il PC e la LAN aziendale come quelli di casa, a cui possono connettere ogni idiozia che si trova in giro, debbono essere ragionevoli nelle richieste e devono essere istruiti sul valore dei dati che trattano, oltre che vaccinati con training ed esempi pratici contro le tecniche più banali di social engineering.

È difficile? Ovvio che lo è: se fosse facile non ci sarebbe l’IT, basterebbe lasciare che gli utenti facciano quello che vogliono.

Autore: Luigi Rosa

Consulente IT, sviluppatore, SysAdmin, cazzaro, e, ovviamente, geek.

13 pensieri riguardo “Usabilità contro sicurezza”

      1. Questo standard per lo scambio di calendari esiste.

        Se non viene usato è colpa di chi sviluppa il sw che doveva aggiornarsi ed usarlo.

        E guarda caso la gente compera sempre i dispositivi con quel sw sopra! 🙂

        1. Sempre colpa dei complottisti eh?! 🙂

          Probabilmente il problema vero e’ stato il fatto che non ci sia stato uno standard di fatto prima che quelli che vorrebbero il monopolio iniziassero a mettere i piedi nella torta.

          1. Io non conoscevo nemmeno iCalendar. Mi ci sono interessato quando volevo interfacciare un mio sw di gestione degli appuntamenti di una palestra con altri programmi. Poi il cliente cambiò idea ma, per fortuna, si tenne il sw. 🙂

  1. Amen fratello!

    Però non concordo con la definizione di standard, un metodo non diventa uno standard solo perché è elevato il numero di entità che lo accettano ma lo diventa quando un’autorità riconosciuta lo codifica in un documento.
    Nel caso di uno metodo “pratico” esso può concorre a diventare uno standard vero e proprio…, se lo standard non viene usato è colpa di chi produce il software, forse a causa di motivi strategici che gli portano un qualche vantaggio.

    1. La storia degli standard e’ variegata e piena di esempi a favore o contro le diverse teorie.

      Il problema principale degli standard e’ che spesso ce ne sono tanti tra cui scegliere.

  2. Warp… non per fare polemica, ma una palestra non è una grande azienda… che è uno dei punti del post…

    K.

  3. L’ IT deve dire “NO”, e quando il “NO” non basta, dovrebbe avere il diritto all’uso creativo del Taser (contro l’utente rompicoglioni e/o contro il suo iCrap). Cosi` si risolvono i problemi di sicurezza, cosi` si mantiene comunque funzionale il flusso del lavoro all’interno di una azienda. Perche` se l’ IT si e` frantumato il cervello per giorni per capire come rendere il lavoro funzionale e sicuro, non esiste che il pirla di turno che si crede un grande hacker e che ovviamente ha uno o piu` iZavagli si metta a pastrocciare nella rete e a pretendere di fare quello che vuole. Bisogna governare con il bastone e la garrota.

Spazio per un commento