NISTIR 7874: "Guidelines for Access Control System Evaluation Metrics"

Il NIST, a settembre 2012, ha pubblicato il report "Guidelines for Access Control System Evaluation Metrics".

Lo segnalo per due motivi: uno tecnico e uno terminologico.

Il motivo tecnico è presto detto: il rapporto presenta un elenco di requisiti che dovrebbe avere un sistema di controllo accessi. E' evidentemente rivolta agli sviluppatori e richiede un buon livello di preparazione tecnica.

Il motivo terminologico riguarda l'uso del termine "metrica". Il documento presenta come "metriche" quasi unicamente domande le cui risposte possibili sono "sì" o "no". Qui si pone un primo problema: si può parlare di "metriche", e quindi di "misurazione" come da ISO/IEC 27004, se la scala è composta da due valori discreti? A rigore, ovviamente, la risposta è sì. Tutto ciò, nel mondo non scientifico, porta al rischio di vedere inclusi nelle metriche anche valori soggettivi ("è adeguato?"; "sì"), fino a perdere di vista la differenza tra "metriche", "valutazioni su parametri oggettivi" e "valutazioni su parametri soggettivi".

Tutto ciò può portare (e sta già portando) a errori potenzialmente dannosi, come l'idea che si possa fare un'analisi dei rischi quantitativa o che il livello di sicurezza sia misurabile sulla base di valori oggettivi.

Concludo, anche se salto logico potrebbe apparire eccessivamente ampio: è un errore cercare di riportare la sicurezza a schemi rigorosamente logico-analitici: c'è anche la psicologia, di cui tenere conto. Oltre al fatto che un approccio troppo rigoroso dovrebbe tenere conto di un elevatissimo livello di complessità che mal si sposa con il fatto che la sicurezza deve essere applicata da organizzazioni fatte di persone. Quindi, promuovo il ritorno a termini meno ambiziosi di "metriche": "criteri di valutazione" andrebbe benissimo.