|
Recentemente con l'introduzione del Documento Programmatico della Sicurezza (DPS) è stata portata una significativa variabile in più nel campo già molto complesso della tutela delle informazioni riservate. Per rompere lo schema diffuso in cui l'adozione di tecnologie e metodologie recenti non viene supportato da adeguate considerazoni sulla tutela delle informazioni si è deciso di garantire un minimo di attenzione nei confronti della privacy degli utenti, obbligando le aziende a mantenere un documento in cui vengono esposte le pratiche sul trattamento dei dati sensibili e riservati, imponendo alcuni criteri di base volti a garantire un miglioramento dello stato delle cose. Come hanno vissuto questa novità le aziende, le dirette interessate? Indubbiamente alcune hanno introdotto delle misure cautelative per salvaguardarsi da accessi esterni e dei progressi anche significativi sono stati fatti, tuttavia spesso la modifica delle metodologie di lavoro e gli investimenti sulla sicurezza sono stati visti come seccature da minimizzare. La tecnologia sul mercato orientata al prevenire anomalie di accesso è decisamente estesa e tendenzialmente costosa o in termini di realizzazione o in termini di manutenzione o anche in termini di cambiamento delle prassi lavorative in essere: è comprensibile che le realtà che non hanno visto la necessità di tutelarsi in questi anni di crescita di impiego di strumenti informatici continuino a non vederne la necessità, se non per accontentare un decreto legge. Spesso l'introduzione di antivirus e di firewall che controllano l'accesso verso e da internet è stata vista come manovra risolutiva, evidenziando quella che è una situazione già nota per buona parte delle realtà lavorative: la sicurezza interna è decisamente meno curata. L'accesso ad una rete o ad una struttura dall'interno di essa stessa è diventato ancora più incentivato e l'applicazione di strumenti informatici volti al limitare e contenere attacchi interni ha costi proibitivi se confrontati con quella che è l'opinione comune del management, che raramente ritiene che quello sia il loro caso. I numeri mostrano da svariati anni che la buona parte delle violazioni alla sicurezza vengono portate dall'interno; lo stereotipo dell'hacker come ragazzino dietro ad un monitor che colpisce una particolare struttura per motivi precisi, magari di spionaggio industriale, è la grossa limitazione alla reale messa in atto di misure risolutive. E così il management continua ad avere libero accesso a tutti i dati, le password sono conosciute da mezzo ufficio ed il personale le rivela senza problemi ad eventuali tecnici. E questo in effetti è l'anello più debole della catena. La segretaria che rivela qualche informazione di troppo temendo di aver combinato qualche pasticcio, il tecnico che riceve una mail spiritosa e apre l'allegato, il manager che lascia incustodito il proprio computer senza bloccare l'accesso e senza garanzie sulla sicurezza fisica (porte chiuse a chiave ad esempio) con personale esterno libero di circolare per l'edificio,... In ultima analisi è evidente che se il lavoro deve essere fatto, qualcuno deve poterlo svolgere e quindi deve potersi interfacciare alle informazioni: lo strumento informatico deve rimanere uno strumento. Quello che è essenziale e che non è stato previsto è la formazione del personale esposto, l'istruzione su quali sono le tecniche che vengono usate e quali sono le difese appropriate, il chiarire i meccanismi sottesi. Un antivirus non difende da un attacco ad hoc, un firewall su internet non difende da un accesso esterno, per quanto possano essere applicate ulteriori misure restrittive investire in questo aspetto senza intervenire sull'utenza è analogo al comperare un costoso antifurto e lasciare le chiavi di casa sotto allo zerbino. Se sei interessato a saperne di più sull'Ingegneria Sociale e nel proteggere la tua Azienda da questo genere di attacchi, puoi Contattarci attraverso l'apposito modulo.
Se hai apprezzato questo testo clicca:  |
