Regole senza senso

Prendo ispirazione da questo articolo di Barbara per fare qualche riflessione basata sulla mia esperienza di informatico.

Una delle cose che deve garantire il sistemista è la sicurezza informatica e il rispetto delle regole e delle buone prassi di sicurezza. Ovviamente certe regole rompono, in certi casi vengono viste, dagli utenti ma soprattutto dagli utonti, come ingiustificate vessazioni. Il compito del sistemista è di bilanciare, in accordo con la direzione, le regole in maniera tale che siano abbastanza efficaci da garantire una buona protezione del sistema e contemporaneamente non siano troppo vessatorie da “rompere” troppo gli utenti. Anche perché sistemi invulnerabili non ne esistono, esistono sistemi per i quali il gioco di romperlo non vale la candela del guadagno. Ecco perché le banche hanno un caveau blindato mentre per una generalmente bastano portoncini blindati e vetri antisfondamento.

Prendiamo il discorso password. Ok chiedere che il pc dell’ufficio abbia una password che non sia “password”, “qwerty1!” o “pippo123”, o che il computer non venga abbandonato acceso, ma chiedere password di 15 caratteri con maiuscole, minuscole, numeri, da cambiare ogni settimana, difficili da memorizzare, diverse dalle venti password precedenti e capaci di resistere per 1h ad un software di crack basato su dizionari è solo paranoia ingiustificata. Mettere lo screen saver che blocca il PC dopo una inattività di cinque (cinque!!!) minuti è solamente fastidioso senza dare grossi vantaggi in termini di sicurezza. E piazzare regole a livello paranoia significa poi trovarti un bel post-it sullo schermo con la password della settimana o computer sempre acceso con trucchetti per evitare che parta il salvaschermo che fa rimettere la password di nuovo.

Le regole poi bisogna anche spiegarle agli utenti perché capiscano la ratio che ci sta sotto. La password serve ad evitare che qualcuno si sieda al tuo PC e lo usi per frugare il materiale dell’ufficio. E più è importante il materiale più delicatezza occorre avere. Generalmente se parli e spieghi capiscono i disagi e capiscono il perché di questi.  E poi ovviamente si cerca di bilanciare esigenze di sicurezza e esigenze degli utenti di poter lavorare comodamente. Avere un PC bloccato ogni mattina perché deve fare gli aggiornamenti obbligatori dei software (e qualche aggiornamento sballa e blocca1 il pc per 1h) non è molto comodo soprattutto se devi consegnare una relazione urgentissima. Un collega aveva fissato la regola degli aggiornamenti giornalieri con il risultato di avere PC accesi 24/24 7/7, e al primo salto di corrente l’ufficio bloccato, letteralmente, per un ora. Risultato: dopo una strigliata, motivata, si decise di far aggiornare solo i software critici una volta al mese o di procedere ad aggiornamenti urgenti solo in caso di allarmi critici di sicurezza.

Risultato, gli utenti hanno capito la ratio delle regole e si è smesso di cercare in tutti i modi, leciti o meno per evitare di essere ripresi, di aggirarle.

Con il virus è capitato più o meno la stessa cosa. I politici chiedevano sicurezza assoluta agli esperti e gli esperti hanno partorito tutte le regole giuste, per ridurre il rischio del contagio. Peccato però che tali regole s’ proteggevano dal contagio ma facevano danni da altre parti, leggi economia bloccata, gente che non poteva andare a fare la spesa dove conveniva ma solo nell’esoso negozietto sotto casa, sceriffi da balcone.

Invece di bilanciare regole e rischi ci si è nascosti dietro agli esperti imponendo le regole  senza spiegarle. E questo ha contribuito a far vedere “gli scienziati” come persone alle quali piaceva piazzare regole, apparentemente senza senso e farle applicare in maniera scriteriata.  E questo è il modo migliore per far vedere le regole solo come inutili vessazioni da rispettare solo se si vede il bastone e da fottere il più possibile.

Hai voglia poi di lamentarti che non si rispettano le regole se fissi regole senza spiegazioni e/o giustificazioni e le rendi inutilmente draconiane perché non hai il coraggio di assumerti responsabilità di decidere ma ti nascondi dietro agli scienziati.


  1. per la cronaca era un pacchetto MSI fatto in casa per gestire le installazioni di una suite da ufficio non microsoft che in ambiente di rete distribuito funzionava male, bloccava il PC per 1h poi andava in timeout e sbloccava il PC. E questo capitava quasi tutte le mattine.
    Finì quando ci fu un salto della corrente e i pc si bloccarono con un dirigente che doveva consegnare un lavoro urgente e dovette aspettare 1h prima di poter lavorare.

3 pensieri su “Regole senza senso

  1. “Invece di bilanciare regole e rischi ci si è nascosti dietro agli esperti imponendo le regole senza spiegarle”

    Dissento in parte: molte regole erano decisamente senza senso (ad es. la caccia ai runner solitari).

    Su tutto il resto, concordo in pieno

    "Mi piace"

  2. c’è una questione addizionale: in italia c’è una apparentemente congenita tendenza all’elusione, che sfocia nel mettere in discussione qualunque regola anche sulla più irrilevante minuzia, fino ad arrivare ad addurre al mitico “vuoto normativo”, se la legge non copre l’esatto caso con precisione micrometrica. di conseguenza regole comicamente specifiche o comicamente stringenti.

    aggiungiamoci una ignoranza assolutamente stratosferica, che ovviamente arriva fino a chi le regole le scrive (o deve farle rispettare), e si ottiene una miscela altamente esplosiva.

    "Mi piace"

Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo di WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione /  Modifica )

Google photo

Stai commentando usando il tuo account Google. Chiudi sessione /  Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione /  Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione /  Modifica )

Connessione a %s...

Questo sito utilizza Akismet per ridurre lo spam. Scopri come vengono elaborati i dati derivati dai commenti.