sabato 23 gennaio 2016

Sicurezza e deviazioni

Bruce Schneier, nel suo Crypto-Gram di gennaio, riporta un articolo dal titolo "IT Security and the Normalization of Deviance":
- https://www.schneier.com/blog/archives/2016/01/it_security_and.html.

Si parla di "normalizzazione della devianza", ossia delle persone che si abituano così tanto ai comportamenti devianti da non considerarli più tali.

Ho già parlato in altre occasioni di questo aspetto della sicurezza, spesso dandone la colpa ai capi (se loro sono i primi a chiedere o operare eccezioni alle regole o ignorano gli avvisi di auditor o altre entità).

L'altra faccia della medaglia dovrebbe essere presa in considerazione: persone che seguono (o chiedono di seguire) regole e procedure senza chiedersene il senso. Alcune volte si tratta di regole necessarie in passato, quando la tecnologia o l'organizzazione erano diverse (pensate a quanti chiedono ancora di firmare a mano dei moduli, quando un'email potrebbe essere sufficiente), o tentativi di risolvere delle situazioni oggi non più verosimili.

Schneier raccomanda ulteriori articoli (alcuni non relativi la sicurezza delle informazioni, ma comunque pertinenti l'argomento). Tra questi segnalo il seguente di John Banja dal titolo "The normalization of deviance in healthcare delivery":
- https://www.ncbi.nlm.nih.gov/pmc/articles/PMC2821100/.

Al paragrafo 4.3 sono fornite alcune indicazioni su come intervenire (ma nessun link è "facilmente" utilizzabile).

Nessun commento:

Posta un commento