Il fattore umano nella sicurezza informatica

Quando si parla di cybersecurity, o di sicurezza informatica (i due termini non sono perfetti sinonimi, al di là della lingua), il pensiero comune va a quegli strumenti che difendono dagli attacchi degli hacker esterni (firewall, antivirus, filtro antispam, etc.). Tali strumenti sono appannaggio degli specialisti informatici (gli amministratori di sistema), e vengono dati per scontati dagli altri (gli utenti) se non altro perché “io non ne capisco niente”. In realtà, è ormai appurato che proprio gli utenti siano una delle concause più diffuse degli incidenti informatici.

Gli incidenti informatici

Gli incidenti informatici sono tutti quegli eventi indesiderati che coinvolgono, appunto, i sistemi informatici e i dati. A grandi linee, essi sono:

Furto di informazioni (conseguenze: diffusione di dati sensibili, furto d’identità spionaggio, pregiudizio)
Perdita di dati (conseguenze: stop delle attività, perdite economiche, errori)
Modifica dei dati (conseguenze: truffe, errori nelle attività)
Indisponibilità dei servizi (conseguenze: stop delle attività, perdite economiche)

a cui bisogna aggiungere quasi sempre il danno reputazionale.

Le sorgenti (cause), oltre ai già citati attacchi esterni, comprendono anche i guasti delle apparecchiature, eventi non di origine umana (terremoti, incendi, alluvioni, etc); ma l’esperienza dice che una delle principali è il personale interno, semplicemente perché ha accesso (logico e/o fisico) ai sistemi ed è quindi in grado di operarci direttamente, cioè senza “attraversare” tutte le protezioni che sono state previste verso l’esterno.

La prevenzione

L’approccio di demandare la gestione dei rischi informatici completamente agli specialisti è totalmente sbagliata. Anche lo specialista più bravo non è in grado di fare tutto da solo: egli infatti non conosce i dettagli del lavoro fatto dagli utenti, come per esempio:

Nomi e ruoli delle persone con cui si comunica
Contenuto dei documenti e dei database
Criticità o priorità delle varie attività svolte

e di conseguenza non è in grado di valutare correttamente le contromisure. Ecco quindi che il primo ruolo degli utenti di un sistema informatico è partecipare alle attività di analisi dei rischi, fornendo le proprie indicazioni utili a definire correttamente le priorità di intervento.

Il Social Engineering

Il Social Engineering può essere spiegata come l’arte di far fare ad altri ciò che vuoi tu, attraverso l’inganno o il ricatto. Più comune è l’inganno, che può essere generico; mentre il ricatto ha bisogno, se non è un bluff, di conoscenze specifiche sul soggetto. Quindi il primo è più usato per attacchi generalizzati, il secondo mirati.

Attraverso l’inganno (la metodologia più diffusa è il phishing, con le sue diverse forme su posta elettronica, siti web, messaggi SMS o chat, etc) è possibile carpire credenziali, installare malware, ottenere informazioni (spesso riservate), rubare denaro; ed è l’utente a risultare “colpevole” del misfatto, proprio perché le azioni malevole risultano effettuate attraverso il suo account.

Esistono prodotti che aiutano ad individuare i tentativi di inganno, ma non sono perfetti: l’unica arma è l’attenzione e la capacità di riconoscere situazioni anomale.

L’uso corretto dei sistemi

In ambienti collaborativi, l’uso degli strumenti informatici non può essere troppo libero: infatti, se esistono molti modi per fare un’operazione (per esempio, salvare i file di un progetto), tutti corretti dal punto di vista tecnico, dal punto di vista organizzativo è necessario che siano previste indicazioni precise (es. come nominare i file; in quali cartelle salvarli; evitare di lasciarli aperti quando non si usano; etc). Una serie coerente di regole permette di avere il flusso più efficiente di lavoro, ma soprattutto di prevedere i problemi (inclusi gli incidenti informatici) e quindi prendere le necessarie contromisure.

Al contrario, l’uso totalmente libero fà sì che i possibili problemi che si possono verificare siano più numerosi e più probabili, rendendo molto più complesso (ed in qualche caso impossibile) il lavoro di impostare le contromisure; e quindi di avere impatti maggori quando si verificano i problemi.

Soluzioni

Il contrasto a tutti questi rischi è presto detto:

Coinvolgimento: gli utenti (o i loro responsabili, certamente non gli amministratori di sistema), anche quando non se ne rendono conto, sono gli unici a poter valutare correttamente le conseguenze pratiche degli incidenti informatici, e quindi devono essere coinvolti nelle analisi dei rischi.
Formazione: gli utenti (tutti) devono possedere le competenze basilari che permettano loro di distinguere le situazioni anomale da quelle normali, in modo da poter attivare le necessarie verifiche ed eventualmente le azioni correttive.
Educazione: gli utenti (tutti) devono essere consapevoli che operare sui sistemi informatici in modi non conformi a quanto previsto espone a pericoli supplementari.

LabPrivacy RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.

Il fattore umano nella sicurezza informatica

Condividilo nel tuo Social

Post correlati

Quando il rischio diventa realtà: le conseguenze degli incidenti informatici

La salute informatica è un obbligo per tutti

Corso GDPR for dummies – 41 – Le sanzioni per le organizzazioni

Corso GDPR for dummies – 40 – Trasferimenti fuori SEE

Corso GDPR for dummies – 39 – Trasferimenti entro SEE