La presa di consapevolezza sulla Sicurezza Informatica sta crescendo anche in Italia, gli investimenti aumentano e l’offerta è ampia, diversificata e adattabile a realtà aziendali anche di piccola o media dimensione.
Per combattere a tutto tondo tecniche complesse di attacco informatico come l’Ingegneria Sociale, in grado di far breccia non su una macchina o un software, bensì direttamente nel cervello della persona, non c’è software che tenga: è necessario un processo continuo di formazione e sensibilizzazione.
Nelle ultime settimane sul nostro blog abbiamo toccato l’argomento Sicurezza Informatica da varie prospettive: ci siamo occupati di Emotet, un malware particolarmente insidioso che ha colpito grosse istituzioni in tutto il globo, abbiamo poi individuato i punti caldi della Trend Micro Cyber Conference 2019 e, ancora, nell’articolo di settimana scorsa è stata l’occasione per dar dato spazio al World Backup Day, riflettendo sullo stato in cui versa una parte importante della nostra vita e del nostro lavoro quotidiano. Ci riferiamo ovviamente a tutte le informazioni digitali che generiamo e alle quali ricorriamo costantemente e a come sia possibile preservarle per il futuro.
Un lungo preambolo per arrivare a dire che vi è un filo conduttore soggiacente: in tutti e tre gli articoli emerge preponderante uno scenario ricorrente, che vede la persona come prima e principale causa di compromissione della sicurezza aziendale.
Affermazione forte, ma da non prendere sotto gamba. Vediamo subito dei dati a supporto della tesi.
Proprio su questo argomento, Netwrix, azienda californiana specializzata in sicurezza, ha pubblicato di recente i risultati di una ricerca condotta sulla piccola e media impresa nostrana. Sono stati intervistati più di 160 professionisti IT su sei categorie di rischio:
danni fisici
furto di proprietà intellettuale
perdita di dati
violazione dei dati
interruzione del sistema
sanzioni di conformità
Il quadro che emerge è chiaro e se certamente la minaccia più temuta rimane comprensibilmente quella di un attacco hacker (52%), la maggior parte degli incidenti viene dall’interno (50% dipendenti dimissionari e licenziati e 45% Utenti aziendali abituali).
Estrapoliamo di seguito alcuni tra i dati che ci sembrano più interessanti:
Alla domanda su quali soggetti possano provocare più danno, il 39% risponde da utenti aziendali abituali e addirittura il 71% da dipendenti infedeli o scontenti.
Su quale tipologia di utenza sia potenzialmente più dannosa, il 55% degli interpellati la individua nel personale IT, il 53% tra i dipendenti regolari.
Da queste informazioni si può definitivamente confermare ciò che era già intuibile: qualsiasi soggetto abbia accesso ad informazioni riservate è -intenzionalmente o meno- una fonte potenziale di minaccia per l’azienda.
Qualsiasi azione correttiva deve partire da questo assioma.
I danni che possono derivare da una banalissima azione compiuta in buona fede, come la classica apertura dell’allegato sbagliato, possono essere devastanti e minare addirittura l’esistenza stessa di un’organizzazione. Non solo per il danno economico, ma anche e soprattutto per quello d’immagine. Che attrattiva potrà mai avere sul mercato un’azienda che non è nemmeno in grado di proteggere se stessa?
Dal punto di vista tecnico le premesse fondamentali per approcciare correttamente una disciplina complessa come quella della Sicurezza informatica sono la visibilità totale sull’infrastruttura informatica nonché una corretta e strutturata gestione degli accessi ai sistemi. Punti di partenza imprescindibili ma, purtroppo, non certo sufficienti: per gestire la ‘variabile’ volubile per definizione -quella umana- è necessaria un’azione di formazione coordinata e protratta nel tempo. Un processo che non si esaurisce mai, teso ad inculcare nella forza lavoro un approccio all’informatica responsabile, senza lasciar davvero nulla all’improvvisazione.
Il pilastro fondamentale di questo percorso è la redazione di un Regolamento Ufficiale di Sicurezza Informatica. Qui vengono definite tutte le procedure, i regolamenti e le misure di condotta che ciascuna risorsa aziendale dovrà osservare in ogni fase della giornata lavorativa, atti a ridurre al minimo il rischio informatico.
I contenuti di questo documento devono essere di dominio comune, ad ogni livello aziendale; il modo migliore per assicurarsene è facendo sì che i nuovi dipendenti lo leggano e che di ogni importante aggiornamento (e in ogni caso ciclicamente ogni tot mesi) venga data comunicazione per mezzo mail all’intero organico.
Il registro linguistico deve essere trasparente e alla portata anche di chi non è specialista, pena la mancata o (peggio ancora) errata interpretazione del regolamento e quindi un indebolimento della sua efficacia. Ogni qualvolta un dipendente non ha chiare indicazioni su come comportarsi, è presumibile prenda una decisione autonoma. La quale, per quanto possa esser propositiva non è detto risponda alle esigenze effettive aziendali. E’ proprio questa ‘zona grigia’ che va aggredita, tramite una politica di formazione senza soluzione di continuità.
Che cosa andrebbe inserito, idealmente, in un Regolamento di Sicurezza Informatica degno di questo nome?
Seguendo le indicazioni sopra dette, è buona prassi attenersi al ‘tutto o quasi‘: meglio una direttiva in più che una zona ambigua, terreno fertile per l’iniziativa personale, l’errore e, quindi, la falla di sicurezza. Nel momento in cui l’accesso all’informazione è agevolato e l’informazione è semplice e immediata, il dipendente avrà un’utile risorsa cui attingere in caso di dubbio.
Vediamo alcuni esempi (certamente non esaustivi) delle casistiche che è necessario trattare, suddivise per categoria:
Pianificare periodicamente l’aggiornamento dei Sistemi Operativi, così come dei Firmware dei dispositivi aziendali: pc, smartphone, IoT, telecamere, stampanti, ecc… qualsiasi dispositivo in grado di collegarsi a internet costituisce, per definizione, un possibile varco d’accesso alla rete aziendale.
Usare la cifratura su pc e smartphone aziendali, così da prevenire l’accesso ai dati riservati a chiunque non abbia l’autorizzazione.
Evitare il collegamento di periferiche di salvataggio esterne (chiavette e dischi usb) a meno che non si sia certi del contenuto. A tal proposito, sarebbe preferibile evitare anche la connessione di smartphone per mezzo di cavo USB, dato che alcuni malware sono in grado di propagarsi attraverso questo tipo di connessione.
Lo smaltimento di vecchi hard disk andrebbe gestito solo da personale qualificato.
Attivare Wi-fi, Bluetooth, Microfono e Webcam solo quando strettamente necessario, dopodiché disattivarli.
In caso di furto di dispositivi aziendali dare chiare indicazioni sulle figure responsabili da contattare.
Impiegare programmi di messaggistica che utilizzano canali criptati (es. Telegram).
Usare account separati tra uso privato e lavorativo.
Mai aprire gli allegati alla cieca, perfino quando provenienti da contatti conosciuti. Degli attacchi BEC abbiamo parlato poco tempo fa nell’articolo sulla Cyber Conference 2019; il concetto è che un attacker è ormai perfettamente in grado di impersonare le persone fidate, per cui massima attenzione (nel dubbio contattare direttamente l’interessato chiedendo conferma della comunicazione)!
Dissuadere dall’installazione di applicazioni, se non previo permesso ufficiale.
Abbiamo dedicato due articoli a questo spinoso argomento: Creazione password, Gestione password.
Riepiloghiamo in ogni caso le linee guida essenziali:
Attivare salvaschermo e relativa password, così da evitare sguardi indiscreti al terminale.
Impostare password ‘forti’: la complessità è data non solo dalla diversità di caratteri utilizzati (lettere, numeri, caratteri speciali) ma anche e soprattutto dalla lunghezza. E’ proprio quest’ultima che rende poco proficui i cosiddetti Brute force attack.
Mai salvare le password nel classico documento di testo in chiaro… nel caso, utilizzare un password manager (da mantenere sempre aggiornato).
2FA: usarla sempre dove possibile.
Cambiare le password periodicamente.
Non condividere le password né i propri dispositivi con altre persone.