Un principio di sicurezza delle informazioni richiede di dotarsi di strumenti di semplice utilizzo e, per quanto possibile, anche di semplice progettazione. Questo principio è noto come KISS: keep it simple and stupid (o keep it simple, stupid!).
La semplicità nella sicurezza fisica
Il principio di semplicità si applica da sempre nella sicurezza fisica: le cinture di sicurezza possono essere chiuse anche da un bambino, i cartelli stradali di pericolo sono pochi e facilmente riconoscibili per la forma triangolare e il colore rosso, i caschi hanno solitamente la chiusura a fibbia micrometrica, eccetera.
Questo non vuol dire che il meccanismo sia di semplice progettazione e, infatti, per le cinture di sicurezza è presente il meccanismo di frizione centrifuga, per i cartelli stradali vanno usate pellicole con specifiche caratteristiche di rifrangenza (oltre a seguire numerose istruzioni). Dove possibile, però, il principio di semplicità deve essere seguito, come per esempio per gli attacchi ISOFIX.
La semplicità nella sicurezza informatica
Negli anni si è applicato il principio di semplicità anche ai sistemi informatici e rientra nei principi più generali di security-by-default e di privacy-by-default: è più semplice avere prodotti e servizi già configurati per assicurare un elevato livello di sicurezza e privacy, piuttosto che dover cercare le opportune istruzioni e modificarli.
Gli esempi sono molteplici e includono gli aggiornamenti automatici del prodotti software e l’impostazione della password sin dall’inizializzazione del prodotto.
In alcuni casi, la semplicità è imposta per legge, come nel caso del GDPR che prevede di considerare la mancanza di consenso come la sua negazione e permette quindi agli utenti di ignorare alcune impostazioni.
Ovviamente alcuni produttori cercano scappatoie per evitare di cambiare i propri prodotti (e di sostenere le relative spese, non solo di sviluppo, ma anche di analisi) o per raccogliere dati senza avvisare chiaramente l’utente o senza la sua autorizzazione.
Spesso però le misure di sicurezza sembrano contraddire il principio di semplicità: è scomodo inserire la password (o un PIN, o presentare la propria impronta digitale eccetera) ogni volta che si vuole utilizzare il proprio smartphone o il proprio pc, l’antivirus rallenta il dispositivo, l’aggiornamento richiede di riavviare il sistema, il firewall blocca alcuni protocolli e così via. In realtà molto spesso si tratta di acquisire nuove abitudini, esattamente come furono acquisite quando si diffusero le chiavi di casa ed entrò in vigore l’obbligo di allacciare le cinture di sicurezza.
Chi progetta prodotti e servizi informatici deve quindi essere opportunamente formato in merito alle misure di sicurezza e deve essere consapevole che funzionalità perfettamente sviluppate, ma difficili da usare è come se non ci fossero. Anche i responsabili delle organizzazioni che sviluppano prodotti e servizi informatici devono capire che l’applicazione del principio di semplicità richiede tempo e denaro per trovare la soluzione più adatta, ma anche che si tratta di un buon investimento, che permette di ridurre le spese successive necessarie ad adeguare nuovamente il prodotto o servizio.
Bisogna prestare attenzione al fatto che la semplicità è disattesa per eccesso di fantasia dei progettisti e sviluppatori: si vedono infatti icone, immagini, grafiche, messaggi e processi diversi da quelli presenti nei prodotti più diffusi (come, per esempio, l’icona del floppy disk per il bottone di salvataggio, anche se i floppy disk non sono più in uso da parecchi anni).
La semplicità nell’organizzazione
Ogni organizzazione è diversa e quindi i suoi processi non possono essere uguali a quelli delle altre. Infatti, le competenze e il numero delle persone è diverso e le esigenze dei clienti sono diverse.
Purtroppo, molti consulenti e auditor cercano di replicare nelle PMI le soluzioni applicate nelle grandi imprese (e infatti per anni si sono affermati approcci alla valutazione del rischio estremamente inefficaci per le PMI, anche se adeguati alle grandi imprese) e viceversa (organizzazioni estremamente snelle spesso non funzionano nelle grandi organizzazioni perché il numero di persone da coordinare è troppo elevato e anche le competenze sono sempre più eterogenee).
D’altra parte, l’eccesso di fantasia è però deleterio. Come giudicare la nuova categorizzazione dei dati personali inventata da ACN (Agenzia per la cybersicurezza nazionale) per la classificazione dei servizi della PA? Introduce i “dati personali comuni specifici”, quelli “ipersensibili” e quelli “ipersensibili genetici”; e, nonostante questo sforzo di fantasia, usa la vecchia dicitura di “dati personali sensibili” al posto di “dati personali appartenenti a categorie particolari”. Così, chi ha voluto darsi una certa importanza inventando nuove tassonomie ha in realtà dimostrato di non essersi aggiornato sulla terminologia relativa ai dati personali, stabilita ormai 6 anni fa.
Questa non è una nuova tendenza ed è sempre stata deleteria per la sicurezza. Essa si manifesta anche in procedure e manuali troppo lunghi e scritti in modo barocco e quindi inutilizzabili, in istruzioni che vogliono documentare ogni possibile caso e sotto caso, tanto da renderne impossibile la consultazione (ricorda un po’ i libri gioco diffusi negli anni Ottanta, dove, a seconda delle scelte fatte dal lettore, la storia proseguiva in paragrafi diversi, volutamente disordinati e complessi).
È necessario riconoscere queste derive in modo da evitarle e ricordare che la sicurezza, materia di per sé stessa complessa, richiede semplicità.