Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Eccoci al secondo articolo di questo viaggio, quello con Epitteto era stato solo l’inizio: lì abbiamo imparato a tracciare il primo vero perimetro di sicurezza ossia quello dentro di noi ma ora cambia tutto. Facciamo insieme un passo diverso perché non lavoriamo più solo sulla risposta ma lavoriamo sulla costruzione. Non si tratta più di come rispondiamo agli attacchi, ma di come spesso, senza rendercene conto, li rendiamo possibili.
E qui entra in scena René Descartes, conosciuto anche come Cartesio. Con lui passiamo da una sicurezza che reagisce a una sicurezza che pensa prima di costruire.
Non è solo Security by Design, è Perception & Cognition by Design.
Cartesio, nel Discorso sul metodo (1637), scrive: «Per esaminare la verità è necessario, una volta nella vita, mettere tutte le cose in dubbio per quanto è possibile.» Non è filosofia astratta, è Zero Trust. Perchè?
Zero Trust, oggi, significa: non fidarsi di nessuno per default, verificare ogni accesso e considerare compromesso ogni sistema finché non si dimostra essere, probabilisticamente, sicuro.
Cartesio dice esattamente la stessa cosa, ma applicata al pensiero: non fidarsi di ciò che appare evidente, non dare per sicuro ciò che non viene prima verificato, costruire solo su ciò che resiste al dubbio.
In cybersecurity, le violazioni più gravi non avvengono perché qualcuno è entrato con la forza ma avvengono perché qualcuno è stato considerato affidabile senza verifica. Volete qualche esempio concreto?
Non è un problema tecnico, è un problema filosofico: abbiamo creduto senza dubitare!
Cartesio non si è limitato a pensare. Ha costruito un metodo.
Facciamolo anche noi, in modo operativo, seguitemi.
Prendiamo un sistema, un processo o una routine della vostra vita quotidiana e poniamoci tre domande:
Tutto chiaro fino a qui ? Procediamo con il secondo esercizio
1. Togliere il giudizio e guardare i fatti
2. Annotare la prima reazione
Cosa mi è venuto in mente subito? Cosa ho pensato immediatamente? Che significato ho dato a ciò che vedevo?
3. Cercare di capire come ragioniamo
Da dove viene quell’interpretazione? Perché ho interpretato così? Ho ragionato così per :
– Abitudine
– Fiducia
– Urgenza
– Sovraccarico cognitivo
4. Mettersi nei panni di chi ti attacca
Ora cambiamo posizione: se io fossi un attaccante, come sfrutterei questo schema mentale?
5. Trovare il vero punto debole
Molto probabilmente è dentro di noi: la fretta, la fiducia, le cose fatte automaticamente?
Completare quindi la frase sotto riportata potrebbe aiutarci a capire.
La vulnerabilità non era nel sistema, era:
– nella mia paura
– nella mia abitudine
– nella mia fretta
– nella mia stanchezza
– nella mia fiducia
– nella mia ansia
Come vi sentite dopo questi esercizi, andiamo avanti…
Cartesio propone anche un secondo passaggio fondamentale:
«Dividere ciascuna delle difficoltà che esaminavo in tante parti quanto fosse possibile.» (Discorso sul metodo)
Questo è esattamente ciò che oggi chiamiamo segmentazione, principle of least privilege, riduzione della complessità. Più un sistema è monolitico, più è fragile. Più è scomposto, più è osservabile e difendibile.
Il dubbio, quindi, non distrugge ma protegge!!!
Se Epitteto ci insegna a non crollare quando arriva l’attacco, Cartesio ci insegna a progettare sistemi che non si fidano nemmeno di sé stessi.
La sicurezza non nasce quando reagiamo bene. Nasce molto prima.
In particolare, nasce quando smettiamo di credere automaticamente e verifichiamo ciò che sembra ovvio.
Ciò che non mettiamo in dubbio diventa il punto da cui verremo prima o poi attaccati.
Per questo vi lascio tre spunti di riflessione:
La lettura è l’inizio, ma la vera svolta arriva quando applichiamo ciò che impariamo.
Se vi è piaciuto questo articolo ogni mese condivido approfondimenti pratici come questo proprio. Seguitemi…
