CyberSec (S01 E15): La formazione dell'utente
Il formare le persone su come proteggersi dagli attacchi più comuni è una vera e propria misura di sicurezza indispensabile.
L'importanza della conoscenza e della formazione
La cultura della sicurezza è considerata, da tutti, come una vera e propria misura di sicurezza; ciò significa, in altre parole, che il formare le persone che trattano dati e renderle consapevoli e responsabili ha lo stesso valore, in un'ottica di protezione, di un buon antivirus o di un backup regolare.
Gran parte delle nozioni esposte in questo percorso introduttivo possono, ad esempio, non essere di facile comprensione per un utente o un professionista che abbia una formazione giuridica o economica e, comunque, che non abbia alle spalle un’educazione tecnica.
È vero che oggi, da un lato, le tecnologie sono diventate talmente semplici nel loro utilizzo per cui tutti gli utenti hanno la (pericolosa) sensazione di saperle usare in modalità per così dire “avanzata” o, comunque, con un certo grado di (finta) sicurezza.
In realtà, però, non appena succede qualcosa che esce dalla routine (il sistema che si blocca, un messaggio di errore, un dato che fuoriesce o, peggio, un incidente informatico vero e proprio) e che richieda conoscenze ulteriori, il professionista non tecnico si trova spesso in alto mare. E in una situazione di disagio e, in alcuni casi, di timore.
Non pare, allora, idea malvagia il dare vita a un piccolo, personale percorso formativo che approfondisca, in particolare, i temi che all'utente o al professionista interessano e nei quali si sente meno preparato.
Di non poca importanza è anche, poi, un percorso di aggiornamento, ossia lo stratificare, sopra a basi già solide, ulteriori competenze che possano permettere di fronteggiare l’incessante avanzamento delle nuove tecnologie.
I percorsi formativi possono essere correlati, in alcuni casi, a certificazioni, ossia ad attestati, al termine di un ciclo di lezioni e, di solito, un esame finale, che indicano l’acquisizione di una competenza specifica. Tali certificazioni hanno anche, di solito, un buon valore di mercato: il professionista le può “spendere” nei confronti di clienti che abbiano necessità di determinate consulenze.
Ovviamente il livello di formazione deve essere bilanciato sia alle esigenze concrete (si pensi a un professionista che, ad esempio, sia anche nominato responsabile per la privacy o per la sicurezza in uno studio o in un’azienda o, addirittura, che sia designato Data Protection Officer) sia alla passione in capo al soggetto che decida di studiare tali temi (la curiosità per ciò che succede all’interno di un computer o di una rete è mossa, in primis, dal piacere nello scoprire nuove cose).
Una prima fonte preziosa sono i siti web istituzionali, dai siti delle Autorità (ad esempio: il Garante per la Protezione dei Dati Personali) a quelli delle istituzioni europee o degli organi, enti e associazioni internazionali che si occupano di tali temi.
Di solito in tali siti web è presente una versione più semplice e divulgativa del documento (o un summary/abstract) e una più approfondita, consentendo anche ai meno esperti di avere prima un’idea del contenuto e poi, eventualmente, di studiarlo più a fondo.
Per il nostro tema sono interessanti anche quei siti che si occupano di response (risposta rapida) a incidenti informatici sul suolo europeo o nazionale e che, spesso, contengono linee guida molto dettagliate.
Un secondo aspetto interessante è il fatto che molto spesso non si leggano i manuali, o le “domande più frequenti”, dei servizi che acquistiamo, siano essi l’accesso a una banca dati (quindi: tutte le istruzioni sul funzionamento della stessa, i contenuti, le modalità di ricerca, gli errori tipici) o a un servizio in cloud, di una PEC o di un altro software.
La tendenza a non leggere i manuali tecnici è frutto della velocità diffusa nella società odierna, ma molto spesso all’interno di questi documenti, a volte redatti in maniera ipertestuale e, quindi, facili da “navigare” anche per il neofita, vi sono tutte le risposte ai quesiti tipici. La conoscenza dei servizi che usiamo oggi è anche data, quindi, dalla lettura attenta, prima di iniziare a usarli, delle istruzioni.
La scelta della fonte di aggiornamento è diventata, poi, un fattore essenziale di crescita.
Sono migliaia i siti web, pubblici e privati, che si occupano anche di un singolo tema, ma la cosa complessa è individuare quei siti che per aggiornamento, autorevolezza, precisione e chiarezza ci consentano veramente di crescere.
In ambito universitario sono numerosi, oggi, i Corsi di Perfezionamento in informatica giuridica, in investigazioni digitali, in tutela della privacy e protezione dei dati, che con un approccio interdisciplinare, cercano di formare diversi profili che siano poi utili sul luogo di lavoro.
La comprensione del diritto, anche se non è facile, è in questo ambito essenziale, dal momento che oggi tutto il tessuto giuridico della società è influenzato dalla tecnologia e viceversa. Una corretta comprensione della gerarchia e dell’importanza delle fonti – ad esempio la differenza tra la pronuncia di un Garante e una sentenza, o tra un disegno di legge e un provvedimento, invece, già promulgato – contribuirà sicuramente a fare maggiore chiarezza anche su un piano generale.
Un buon punto di partenza eminentemente pratico e anche, per certi versi, “divertente”, in quanto capace di insegnare a utilizzare in concreto alcune tecnologie, è il focalizzarsi su alcuni strumenti che sono mirati a far percepire l’importanza della sicurezza.
In primis, chiaramente, una comprensione dei tre sistemi operativi oggi più utilizzati nel mondo: la famiglia Windows, la famiglia Mac/iOS (sia sui computer, sia sui telefoni e tablet) e la famiglia GNU/Linux. Cui aggiungere la conoscenza dell'ambiente Android.
In particolare, la conoscenza di una distribuzione e di un ambiente GNU/Linux – oggi possibile anche per il neofita, vista la semplicità di interfacce e sistemi di installazione – permette di comprendere quell’idea di open source, o "codice sorgente aperto", che da molti è considerata base imprescindibile per un sistema sicuro.
La conoscenza, infatti, del codice alla base di un software permette a persone competenti di controllare in ogni momento se quel software presenti vulnerabilità o “trappole”. La sicurezza tramite la trasparenza, e non tramite l’oscurità, è considerato un valore aggiunto indiscutibile.
Una prima conoscenza dei più comuni sistemi operativi e dei software più diffusi già cambia il metodo di approccio alla tecnologia: non siamo più “dominati” dallo strumento che ci viene fornito, e cui ci “abituiamo” con modalità di utilizzi che sono di solito ripetitive, ma acquisiamo una consapevolezza delle sfumature di tutte le diverse soluzioni.
Il secondo passaggio di crescita formativa è la comprensione dell’importanza del dato e della sua protezione, che può però essere raggiunta solamente conoscendo i sistemi alla base di tutto.
Anche in questo caso, il concentrarsi su temi molto settoriali e specifici (i virus e gli antivirus, i keylogger, le intercettazioni, la distruzione delle informazioni, etc.) agevola i non esperti e quelli con minori nozioni tecniche.
Il tutto, ovviamente, deve essere portato a unità affinché sia realmente utile nella vita personale o professionale (spesso confinanti, da un punto di vista informatico) del soggetto.