Il mondo dell’informatica è puramente guidato da tecnici. Chiunque abbia avuto a che fare con persone che operano nel mondo della tecnologia sa bene quanto spesso i tecnici possano arrivare a parlare arabo, e siano comunque impostati nel modo di lavorare e di porsi al cliente. E’, letteralmente, deformazione professionale.
Io ho avuto la fortuna di ricevere una formazione da perito informatico, di acquisire esperienza sul campo in varie diverse realtà, ma anche di laurearmi in sociologia ed in particolare in quella branchia degli studi rivolta alla sicurezza ed alla criminalità. Molti di voi potrebbero chiedersi quale possa essere il punto di intersezione tra la cyber-security e l’analisi dei fenomeni sociali, o per meglio dire delle regole che governano relazioni ed interazioni tra individui: presto detto, nel lontano 2014 uno studio made in IBM stimava che degli attacchi hacker portati avanti con successo addirittura il 95% fosse dovuto a fattori umani. L’approccio dei tecnici è cambiato di conseguenza, i report più recenti infatti mostrano numeri differenti ma comunque catastrofici (immagine a lato). Il mio obiettivo è quello di generare consapevolezza, con la speranza che questo post possa arrivare ai titolari di aziende ed imprese e far loro comprendere quanto sia necessario fare prevenzione (e quindi, investire). Analizziamo assieme le principali cause dei data breach dovuti a negligenze umane, e vediamo assieme quali soluzioni adottare.
Password
Il dipendente medio, una volta reclutato in Azienda, viene messo subito di fronte alla necessità di doversi scegliere delle credenziali di accesso. Non è scontato. Gli viene assegnato un PC aziendale, per il quale deve pensare ad una password. Gli viene creata una nuova casella di posta elettronica, per la quale probabilmente utilizzerà la stessa identica password. Ancora: portali dei fornitori, software gestionale, connessioni da remoto e molto altro. E tu, caro titolare o CEO, non potrai farci assolutamente nulla; sceglieranno password che usano da decenni con nomi e date facili da indovinare, o combinazioni ancora più scontate come 123456 (che incredibilmente rimane in testa alle classifiche).
Gestione dei dati
Il nuovo dipendente andrà istruito, altrimenti commetterà errori classici e comprovati nella gestione dei dati. Nella mia pluriennale esperienza mi è capitato di vedere tantissimi casi di persone che non riescono a comprendere la differenza tra dati locali, dati condivisi internamente all’azienda, dati in cloud. Addirittura, a volte, confusione tra i concetti di file e collegamento. Lacune così banali si traducono in modifiche non gradite al lavoro dei colleghi, spostamenti ed eliminazioni non reversibili prive di logica, o ben più gravi divulgazioni (su web, o per email) di informazioni sensibili di vitale importanza per la sopravvivenza del business. La concorrenza non aspetta altro.
Sicurezza di base
La maggior parte del lavoro di “blindatura” spetta ai sistemisti, che siano interni o esterni. Tutti gli sforzi di questi esperti vengono inutilmente vanificati, come spesso accade, perché l’utente si ostina a non usare strumenti aggiornati. Ho visto cose che voi umani non potete neanche immaginare, per esempio gente che nel 2020 ancora utilizza sistemi con Windows XP totalmente sprotetti ed esposti alle minacce online. I tuoi programmi craccati o privi delle ultime patch di sicurezza sono il miglior amico di un malintenzionato, che potrà sfruttare le vulnerabilità pubbliche note per far breccia (totalmente indisturbato) nella tua rete aziendale.
I miei consigli
Non farò un elenco puntato, perché sarei costretto a mentire. Non esiste una ricetta unica universale valida per tutti, dal piccolo ufficio all’impresa con N capannoni. Una realtà piccola (2-5 persone) potrà tranquillamente sopravvivere senza spendere una fortuna: basterà avere un po’ di buonsenso, una classica LAN senza troppi fronzoli, sistemi aggiornati e protetti da antivirus, un buon NAS per il backup e la condivisione di dati. Scalando su numeri di dipendenti maggiori, ed introducendo di conseguenza la presenza di più server dedicati, le cose cambiano: si parte da un’adeguata segmentazione di rete e dall’adozione di un firewall, ma bisogna necessariamente pensare anche a soluzioni di backup più avanzate sia per gli endpoint che per le VM, possibilmente ridondate, nonché a come gestire il tutto in maniera centralizzata. Si parte da un’analisi delle strutture e del parco macchine, che porterà a valutare dove e come intervenire. Un responsabile o un team IT interno all’azienda è sempre auspicabile e necessario, perché bisogna vagliare le varie soluzioni possibili, prendere decisioni, ma soprattutto intervenire con rapidità ove necessario.
Fin qui nulla di nuovo, oserei supporre. Quello su cui personalmente auspico che le imprese scelgano di concentrarsi, invece, è la formazione delle risorse umane. Se un lavoro fatto a regola d’arte può limitare la possibilità dell’utente di agire in maniera potenzialmente dannosa (es. blocco di memorie USB esterne non autorizzate, esperienza desktop utente virtualizzata, gestione completa di software ed aggiornamenti lato management, scelta di policy atte all’adozione di livelli minimi di sicurezza), c’è da colmare un problema latente di analfabetismo digitale che colpisce soprattutto la nostra nazione. Secondo l’OCSE l’Italia è il terzo Paese peggiore su 29 analizzati, non c’è da scherzare, con solo il 21% della popolazione in grado di destreggiarsi degnamente con il PC. Se i tuoi dipendenti sono soliti mettere adesivi e post-it in giro per la scrivania al fine di ricordarsi le password, forse è il caso di pianificare una serie di corsi… così che concetti fondamentali come quelli di token e autenticazione a 2 fattori, per esempio, piuttosto che di phishing e malware, non siano più così ignoti e minacciosi.
Se hai trovato l’articolo interessante, ti invito anche a leggere “La caccia al CEO” che è molto attinente.
IT Manager, System Administrator, Sociologo, Politico a tempo perso. Vicentino, classe 1991.
Questo è il mio blog personale, nel quale cerco di proporre analisi e ragionamenti di attualità nei temi in cui sono più preparato. Scopri di più nel mio curriculum vitae, o mettiti in contatto con me!
[…] Abbiamo già visto assieme come minimizzare il rischio che deficit formativi o leggerezze informatiche dei dipendenti possano essere il tallone d’Achille della tua Azienda, e consentire ad un malintenzionato di far breccia nella tua infrastruttura IT. Non bisogna mai sottovalutare l’attaccante, tuttavia: ad essere presi come obiettivi degli hacker potrebbero essere, piuttosto, soci e titolari. Se rientri nella categoria dei manager o dei cosiddetti “C-level” (CEO, CFO, CHRO, CIO, CTO, CSO, etc.), sei sicuramente un possibile bersaglio. Il discorso non cambia se sei un personaggio pubblico, un VIP, un politico importante o una celebrità. Partiamo dalle basi: […]
Comments are closed.