A minacciare la sicurezza e la riservatezza dei dati non sono solo agenti esterni alla struttura organizzativa imprenditoriale…
…ma la mancanza di un approccio organico e proattivo alla sicurezza, che consideri anche possibili negligenze e vulnerabilità interne, rischia di danneggiare gravemente l’attività d’impresa.
Alla base di una qualunque attività imprenditoriale vi è l’informazione, unico autentico ed originale patrimonio capace di garantire un particolare successo e vantaggio competitivo. A prescindere dalle dimensioni, nessuna azienda può dirsi indipendente dal proprio sistema informativo, che ne rappresenta la struttura portante e deve, per questo motivo, passare attraverso una fase di valutazione, classificazione e, soprattutto, protezione. Questo è tanto più vero se si considerano le più moderne realtà imprenditoriali, dove la convergenza di informatica e telematica hanno imposto nuove modalità nella trasmissione di tali informazioni: l’innovazione tecnologica e la pervasività dei sistemi ICT hanno reso il sistema informativo sempre più complesso, difficile da governare e, dunque, vulnerabile.
Una simile considerazione, pur nella sua estrema banalità ed ovvietà, permette di cogliere l’importanza fondamentale di assicurare una reale protezione all’intera architettura dell’informazione aziendale, attraverso mirate strategie di messa in sicurezza. Queste strategie devono essere in grado di coniugare gli obiettivi e il contesto informativo aziendale con i possibili rischi ai quali esso può essere sottoposto, arrivando a delineare delle contromisure tecnologiche ed organizzative che, a supporto degli obiettivi, permettano di scongiurare tali rischi.
Quella di delineare una precisa strategia di sicurezza rappresenta una necessità generalizzata, che certo va adattata, nei tempi e nelle modalità, alle dimensioni e alle particolarità delle singole aziende, ma che non può venire elusa dalle piccole realtà, spesso spaventate dalla complessità, dal costo e dalle tempistiche; le PMI tendono a sottovalutare il problema, avendo limitata percezione delle problematiche ad esso legate, scarsa conoscenza delle tematiche e delle procedure relative e limitandosi ad una valutazione superficiale.
In realtà l’approccio corretto invita a considerare la sicurezza non come un costo aggiuntivo, dunque la moneta da pagare per lo sfruttamento di risorse innovative, ma come un indispensabile investimento per il business aziendale, senza il quale si può rischiare di vanificare gli sforzi fatti: un modo per proteggersi, oltre che dalle minacce esterne, anche dagli errori involontari, interni all’azione aziendale o relativi a malfunzionamenti.
Le reti, le infrastrutture tecnologiche e i sistemi multimediali vengono utilizzati nelle normali routine lavorative non soltanto per facilitare il rapporto tra azienda e clienti (in maniera, cioè, idonea alla soddisfazione di particolari esigenze conoscitive e operative di questi ultimi), ma anche per permettere lo scambio funzionale tra i diversi settori e uffici dell’azienda stessa, e l’interazione tra titolari, dipendenti e fornitori.
Quello della sicurezza è, allora, un problema interdisciplinare, che coinvolge differenti competenze, settori e processi e deve essere gestito dinamicamente in funzione degli obiettivi e della tipologia di azienda considerata e in relazione all’evoluzione del business e delle tecnologie. All’analisi dei rischi, alla stesura delle policy di sicurezza, alla classificazione delle informazioni, deve inevitabilmente seguire un programma di sensibilizzazione, formazione e organizzazione funzionale di tutto il personale interno all’azienda, idoneo a garantire i requisiti di integrità, disponibilità e confidenzialità delle informazioni trattate.
Ci preme a questo punto focalizzare l’attenzione su un aspetto fondamentale, spesso poco considerato in materia di sicurezza, e cioè il fatto che gli attacchi possono venire non solo dall’esterno, ma anche dall’interno del network aziendale, sia per negligenza, sia, appunto, per mancanza di una adeguata alfabetizzazione e formazione del personale in materia.
Si pensi ad esempio alla chiavetta usb, anzi, per dirla con Farhad Manjioo (“Quando il pericolo viene da una chiavetta”, Internazionale, 19 ottobre 2010), all’“onnipresente, apparentemente innocua chiavetta usb”; queste “zanzare del mondo digitale […] sono piccole, portatili […], così comuni da essere praticamente invisibili”. La pericolosità di simili driver risiede proprio nel fatto che nessuno li percepisce come potenzialmente pericolosi: “negli ultimi dieci anni ci siamo abituati al malware che circola su internet. Sappiamo che non dobbiamo cliccare sugli allegati delle email sconosciute e che non si deve digitare la password su siti di cui non ci possiamo fidare. Ma le chiavette usb sono sempre riuscite a sfuggire ai nostri sospetti”, non creano timori, anzi, “se ne troviamo una per strada o in ufficio, di solito la colleghiamo al computer per capire di chi è”. Molti degli attacchi informatici più eclatanti degli ultimi anni sono stati generati da una contaminazione via usb: ad esempio Conficker, il virus che nel 2009 entrò nei computer della marina francese grazie a chiavette usb infette e contaminò milioni di PC; o Stuxnet, “il più raffinato attacco informatico di sempre”, “capace di programmare di nascosto macchine che gestiscono processi industriali delicati come l’attività di centrali energetiche, oleodotti, gasdotti, aeroporti e navi”. I virus di questo tipo si installano spesso grazie alla funzione di AutoRun, pensata dal sistema operativo per rendere più immediata l’installazione del software, e, nonostante alcuni tecnici aziendali disabilitino per questo motivo la funzione, sono stati sviluppati virus capaci di aggirare simili misure. L’unica soluzione davvero efficace, pur di non semplice realizzazione, sembra essere quella di proibire ai collaboratori di inserire periferiche usb scambiate in precedenza o di provenienza ignota. Rafforzare i controlli e introdurre regole precise sulle condizioni di ammissione dei dispositivi, dunque.
Ma le chiavette non sono le uniche soluzioni “mobili” tipicamente usate in azienda e potenzialmente pericolose: notebook portatili e smartphone impongono altrettanta attenzione. Si consideri, in particolare, l’eventualità che ci si colleghi involontariamente a delle reti non sicure, con notevoli rischi anche in riferimento alla diffusione di dati riservati: dispositivi di questo tipo rendono mobili informazioni che appartengono all’azienda e che devono, per questo, essere tutelate. Le soluzioni potrebbero essere l’implementazione di un sistema cifrato per i dati sensibili e il controllo gli end point in entrata e in uscita dal sistema interno. È auspicabile comunque lo sviluppo di una strategia aziendale appositamente pensata per la sicurezza lato mobile, che preveda un approccio trasversale capace di definire strategicamente le procedure e i processi necessari a contrastare i rischi di perdita dei dispositivi, le vulnerabilità e gli attacchi, senza penalizzare produttività, efficienza e flessibilità aziendale. Tale strategia richiede di essere supportata da una policy aziendale e da linee guida (la cui osservanza deve essere monitorata), da un programma di distribuzione dei ruoli e delle responsabilità, infine dalla formazione dei dipendenti per ridurre la loro disattenzione.
Ampliando per un secondo la prospettiva, ci si rende conto anche di un altro aspetto legato alle problematiche di sicurezza per usb e devices: un qualsiasi dipendente malintenzionato potrebbe facilmente sottrarre, mettendola letteralmente in tasca, qualsiasi tipo di informazione riservata per condurla all’esterno, del tutto inosservato. Certo una simile preoccupazione rientra nella capacità che titolari e responsabili devono avere di attorniarsi di persone non solo qualificate ma anche integre e oneste, tuttavia non può non essere presa in seria considerazione.
Meritano particolare controllo anche i punti di accesso alla rete messi a disposizione dei dispositivi aziendali, particolarmente vulnerabili ad attacchi: si rende necessario imporre una password per l’accesso, password che dovrebbe essere piuttosto complessa e cambiata periodicamente.
Infine le e-mail, sede privilegiata di spamming, a volte non direttamente dannoso per l’azienda (se non in termini di tempo perso per eliminare la posta indesiderata), altre volte veicolo di trojan horse, virus e worm. Al fenomeno dello spamming è legato quello del phishing, che consiste nell’indurre le persone a divulgare dati sensibili, facendo credere che la richiesta provenga da una fonte autentica, simulata dai cosiddetti “phisher”. L’azienda deve quindi sensibilizzare l’intero capitale umano a sua disposizione, affinché non apra allegati provenienti da mittenti sconosciuti e affinché presti particolare attenzione nel diffondere qualunque tipo di informazione riservata, anche qualora il mittente appaia come conosciuto e accreditato.
I numerosi vantaggi e le indispensabili opportunità offerte dai nuovi strumenti di impresa possono, in definitiva, trasformarsi in una fonte di vulnerabilità per l’azienda, la quale è tenuta, inevitabilmente, ad adottare le misure idonee a bloccare i tentativi di intrusione nei propri sistemi da parte di soggetti, sia esterni che interni, non autorizzati. Essa deve anche prestare particolare attenzione alla custodia dei dati raccolti, evitando perdite, disgregazioni e danneggiamenti dovuti ad una scarsa consapevolezza, sensibilità e formazione sul tema sicurezza da parte del personale interno.
La violazione può rappresentare per l’azienda una perdita non solo in termini di produttività, di dati e di vantaggio competitivo, ma anche in termini di immagini, dato che tale violazione mette a rischio la riservatezza dei dati con cui l’azienda si trova ad avere a che fare all’interno del complesso sistema di relazioni con clienti e fornitori.
Rischi sia esterni, sia interni determinano, quindi, conseguenze negative a loro volta sia esterne che interne all’azienda e l’unica soluzione pare essere un approccio proattivo alla sicurezza, che preveda la stesura preliminare di una organica strategia da seguire ed attuare.
Pubblicato su: PMI-dome
Bobiblog 