La sicurezza informatica o Cybersecurity: il fattore umano
Quando si parla di sicurezza informatica o di Cybersecurity, si pensa quasi sempre solo a soluzioni tecniche, scordandosi magari che prima di tutto questo ci sono pur sempre le persone. Comportamenti poco avveduti o dannosi da parte degli utilizzatori di sistemi informatici bastano spesso per gettare al vento ogni genere di investimento sostenuto per la sicurezza, attraverso soluzioni tecniche.
Di sicurezza informatica tutti ne parlano, dal singolo utente informatico, per lavoro o per piacere, fino all’imprenditore e alle aziende, grandi o piccole esse siano.
La sicurezza dei dati è costituita dalla fusione di tre diverse componenti: tecnologica, organizzativa e legale. L’anello più debole della catena della sicurezza dei dati rimane però uno solo, e intendiamo l’utilizzatore, elemento che bisogna non solo sensibilizzare ma anche formare, soprattutto poiché le nuove normative in vigore – stiamo parlano della LPD (Legge sulla protezione dei dati) e del regolamento europeo GDPR (General Data Protection Regulation o, per dirla nella nostra lingua, Regolamento Generale sulla Protezione dei Dati) – sottolineano le responsabilità dei fornitori di servizi informatici nel garantire la sicurezza dei dati.
La Cyber Security rappresenta un campo relativo alla sicurezza informatica, dove strumenti specifici e tecnologie appropriate proteggono i sistemi informatici dagli attacchi esterni. Un campo, questo, che si basa sulla riservatezza delle informazioni e sulla loro integrità, sull’autenticità dei dati e sulla disponibilità di un sistema informatico. La Cybersecurity, che raggruppa non solo elementi tecnici, ma anche fattori organizzativi, umani e giuridici, ha lo scopo di analizzare gli aspetti vulnerabili di un sistema informatico, con le minacce ed i rischi ad esso correlati. L’odierno approccio alla Cybersecurity è fondato sul cosa e come fare per prevenire incidenti di sicurezza e come comportarsi qualora un incidente del genere dovesse verificarsi.
Cinque le parole chiave che riassumono questo concetto: identifica (identify), proteggi (protect), rileva (detect), rispondi (respond), ripristina (recover).
I problemi legati alla Cybersecurity hanno subito un’evoluzione con il passare del tempo e oggi ciò che viene soprattutto preso di mira non è tanto la componente tecnica o l’infrastruttura dell’azienda o dell’organizzazione, ma si fa soprattutto presa sul fattore umano: proprio per questo è più che mai importante educare le persone alla sicurezza informatica.
Se un tempo gli attacchi erano più che altro una sorta di sfida fra uomo e macchina, oggi la pirateria informatica ha raggiunto livelli tali da costituire un reale pericolo, economico, sociale, tecnologico e politico: il mezzo più semplice da sfruttare per ottenere accesso ai sistemi informatici e rubare dati e informazioni, è rappresentato dalle persone, che utilizzano costantemente, non sempre con l’attenzione dovuta, gli strumenti tecnologici e informatici.
Si rende così evidente come non sia più pensabile che il tema della sicurezza informatica venga affrontato soltanto guardando agli aspetti tecnologici, quando in realtà sono soprattutto gli utilizzatori ad essere maggiormente esposti ai pericoli della rete, a seguito della digitalizzazione e dall’uso abituale di Internet. Risulta così più che mai importante un altro genere approccio alla sicurezza informatica, poiché il fattore umano e non tanto quello tecnico riveste un ruolo rilevante nella vulnerabilità dei sistemi informatici aziendali. Bisogna rendere le persone consapevoli dei pericoli e delle minacce cui espongono loro stesse e l’organizzazione per la quale operano, fornendo strumenti e misure adeguate a tutelarsi, evitando minacce e adottando le opportune difese, attraverso comportamenti appropriati.
Ma, ora, vediamo tutte le ragioni per cui in realtà si adottano delle misure di sicurezza e da che cosa ci si deve oppure ci si vuole realmente proteggere, tenendo conto che le minacce di un sistema informatico posso essere diverse, e più in particolare:
- catastrofi naturali e incidenti imprevisti;
- aggressione da parte di hacker, soggetti esterni intenzionati a compromettere la sicurezza del sistema informativo per danneggiare l’azienda, sottraendo informazioni, compromettendo i dati oppure rendendoli indisponibili, impedendo così la corretta gestione dei servizi o magari anche per impedire la realizzazione di un prodotto;
- software malevolo, virus e malware, in grado di danneggiare i dati o i sistemi informatici, anche solo deteriorandone le prestazioni;
- attività scorrette e illecite da parte di personale interno all’organizzazione aziendale, dipendenti e collaboratori dell’azienda, a volte anche inconsapevolmente.
Tutte minacce che causano danni all'attività aziendale, con:
- la compromissione dei sistemi informatici che consentono all’azienda di fornire un servizio ai propri clienti;
- la fuga di notizie riservate, che potrebbero danneggiare direttamente l’azienda (come dati commerciali o brevetti) o anche i suoi clienti (numeri di carte di credito o informazioni sanitarie);
- la modifica o la cancellazione di dati rilevanti (come lo spostamento di valori finanziari sui conti bancari, sui conti assicurativi o quelli previdenziali).
Da tutto questo, diventa naturale e comprensibile come vi siano alcune domande a cui il responsabile della sicurezza delle informazioni in un’azienda o un’organizzazione sarebbe tenuto a rispondere:
- A quali informazioni hanno accesso gli utenti?
- Chi ha accesso alle informazioni: quali, dove e come?
- Chi gestisce le autorizzazioni di accesso ai dati?
- Siamo sicuri che gli utenti del nostro sistema informativo abbiano solo le autorizzazioni necessarie per lo svolgimento del loro lavoro?
- Siamo sicuri che le autorizzazioni assegnate agli utenti del sistema informativo rispettino le linee guida sulla sicurezza interne e le normative vigenti?
- Qual'è il processo con cui vengono assegnate credenziali ed autorizzazioni ai nuovi dipendenti dell’azienda? E per i consulenti esterni? Per i fornitori? Per i partner con cui condividiamo alcune informazioni o servizi?
- Qual'è il processo con cui vengono modificate le autorizzazioni degli utenti che cambiano sede o ruolo aziendale? E quando cessano la collaborazione con l’azienda cosa succede?
- Quale processo viene seguito, secondo quali regole e quanto il tempo impiegato nella gestione del ciclo di vita delle credenziali e delle autorizzazioni assegnate agli utenti?
- Abbiamo definito criteri di assegnazione delle autorizzazioni basate sulla funzione aziendale degli utenti?
- Viene posta maggiore attenzione nell’assegnazione di autorizzazioni riguardanti le risorse più critiche del sistema informativo aziendale? Secondo quali regole? Quali sono le risorse più critiche?
Per consentire una effettiva attività di gestione della sicurezza del sistema informativo aziendale è quindi necessario definire delle regole, delle procedure, dei processi organizzativi e predisporre dei controlli, così come è indispensabile avvalersi di sistemi integrati in grado di automatizzare e guidare sia gli amministratori sia gli utilizzatori nell’applicazione dei regolamenti e delle procedure, riducendo ogni possibilità di errore e di violazione delle politiche aziendali e delle normative.
Tutte attività preventive, atte a mitigare ogni genere di minaccia informatica dovuta all’elemento più debole della catena: l’essere umano, che necessita non solo di sensibilizzazione, ma anche e soprattutto di formazione.
Per concludere, è bene sottolineare come un livello assoluto di sicurezza non potrà mai essere ottenuto: la sicurezza informatica è di fatto un processo di miglioramento continuo, che richiede un’analisi, un’identificazione e una verifica dei rischi, definendo e adattando piani e misure di prevenzione e di lotta, atti a conoscere, analizzare, rilevare e combattere ogni genere di minaccia, adottando le opportune misure e implementando le necessarie procedure in caso di incidente.