Sicurezza (informatica), GDPR e Shock Training

Lo Shock Training è un metodo di allenamento utilizzato nelle discipline di combattimento a contatto pieno (Judo, Lotta, Boxe occidentale e orientale, sistemi reality-based). L’obiettivo è quello di abituare la persona agli effetti un’attacco improvviso e violento, imparando a riconoscere e gestire il rush di adrenalina e ad attivare gli automatismi salvavita.Diversamente da quanto si potrebbe pensare, lo Shock Training è un approccio praticamente sconosciuto nei circoli della sicurezza informatica che è sistematicamente praticata – e prima ancora venduta – con la logica della fortezza: mi circondo di un muro invalicabile e ho risolto tutti i miei problemi.

Anche chi, per varie ragioni, accede a una visione dinamica della sicurezza e applica (o pensa di applicare) metodi per la rilevazione anticipata degli attacchi, difficilmente passa dalla teoria alla pratica, addestrandosi a reagire in modo mirato all’emergenza.

E’ altamente probabile, dunque, che la vittima di un attacco informatico, si trovi nella condizione di chi si è accorto che sta per ricevere un diretto destro in faccia, ma invece di reagire come da allenamento comincia a cercare affannosamente su Youtube un video che gli spieghi come fare per salvare la dentiera.

Questo è uno scenario del tutto analogo a quello nel quale si trova chi, subendo un attacco, perde tempo a cercare la pagina del manuale 27000-1 che contiene la policy che fa al caso suo, invece di attivare con un riflesso condizionato le contromisure necessarie.

Tradotto: serve a poco avere una rutilante sicurezza di carta, se poi non la si sa mettere in pratica in modo tempestivo ed efficace. Ma questa considerazione banale non è presa in considerazione dall’art. 35 del GDPR, quello si occupa del Data Protection Impact Assessment, con tutte le conseguenze del caso.

Meditate, gente. Meditate!

Possibly Related Posts: