La teoria del formaggio svizzero e la sicurezza informatica nel ...comune...
- texservice13
- 15 gen
- Tempo di lettura: 3 min
Gli incidenti di sicurezza non nascono da “una persona distratta”, ma da tanti piccoli problemi che si sommano. È questo il cuore della teoria del formaggio svizzero di James Reason applicata al phishing e alle password.
La teoria del formaggio svizzero, in parole semplici
James Reason immagina l’organizzazione come una pila di fette di formaggio svizzero:
Ogni fetta è una barriera di sicurezza: regole, tecnologia, formazione, modo di lavorare, cultura.
Ogni fetta ha dei buchi: procedure poco realistiche, strumenti scomodi, comunicazione confusa, mancanza di tempo, scarsa attenzione del management.
Un incidente non accade per un solo errore. Succede quando, per sfortuna e cattiva organizzazione, i buchi di più fette si allineano e permettono al problema (ad esempio un attacco di phishing) di attraversare tutte le barriere fino alla persona che clicca, cioè l’ultimo anello visibile.
L’esempio del phishing nel Comune
Domanda: “Dobbiamo preoccuparci del phishing in Comune X?”.
Se si guarda solo al dipendente che clicca, sembra un problema di distrazione. Ma se si ragiona “a formaggio svizzero” si vede altro:
Scenario: molti dipendenti usano mail istituzionale e ricevono spesso allegati e link da fuori.
Minaccia concreta: email che imitano fornitori, INPS, banche, con link fasulli o allegati infetti che puntano a rubare credenziali o installare ransomware.
Superficie d’attacco:
poca formazione;
assenza di autenticazione a più fattori (MFA) sui servizi critici;
filtri antispam e antiphishing non ben configurati.
Qui le fette sono:
organizzazione (pressioni, “fare in fretta”, nessun vero spazio per la sicurezza);
processi (procedure lente e macchinose che spingono alle scorciatoie);
tecnologia (sistemi poco amichevoli, login complicati, filtri non ottimizzati);
comunicazione e formazione (messaggi astratti, poco legati al lavoro reale);
individuo (stanchezza, carico di lavoro, distanza dal problema).
Quando questi buchi si allineano, arriva l’email di phishing “giusta” nel momento sbagliato e il click accade. Ma la causa è sistemica, non solo il dito sul mouse.
Come si risolve davvero il problema
Per ridurre gli incidenti non basta dire “state più attenti” (che funziona più o meno come dire “piove meno”) né rifare il solito corso teorico con slide lette ad alta voce.
Serve invece il lavoro noioso ma efficace: chiudere, uno alla volta, i buchi nelle varie fette, invece di sperare che, per magia, nessuno centri mai quello giusto.
Organizzazione
Dare un messaggio chiaro: meglio rallentare una pratica che subire una violazione.
Inserire obiettivi di sicurezza nei compiti di dirigenti e responsabili, non solo nei tecnici.
Processi di lavoro
Semplificare le procedure essenziali (es. richiesta di accessi, gestione allegati, segnalazione email sospette), così il percorso “sicuro” diventa il più naturale.
Osservare dove nascono i workaround: se tutti aggirano una regola, è il processo ad essere sbagliato.
Tecnologia
Attivare MFA comoda (app, token fisici) per gli accessi importanti.
Migliorare filtri email, sistemi di logging e avvisi automatici per accessi anomali, riducendo il peso sulle persone.
Formazione e cultura
Raccontare casi reali dell’ente o simili, con linguaggio semplice: cosa è successo, perché, con quali effetti sui servizi e sui cittadini.
Fare simulazioni di phishing con feedback costruttivo, senza umiliare chi sbaglia, per trasformare ogni errore in apprendimento.
Individui
Creare un clima dove dire “ho cliccato qualcosa di strano” è incoraggiato e non punito, così si interviene subito.
Offrire poche regole chiare e pratiche (es. controllare il mittente, diffidare di urgenze anomale, non inserire credenziali dopo aver cliccato un link in email).
In questo modo il focus si sposta da “il dipendente ha sbagliato” a “come può il sistema aiutare le persone a sbagliare meno”, che è esattamente lo spirito della teoria del formaggio svizzero applicata alla sicurezza informatica.
Commenti