Nel definire le politiche di sicurezza si tende a privilegiare la
componente tecnologica rispetto a quella umana. Per una politica di sicurezza reale, questo criterio deve essere
ribaltato.
L'80% degli attacchi informatici si scatena all'interno delle reti informatiche: questo dato, riferito al 2002 ma
ancora di stringente attualità, è indicatore del paradosso della sicurezza informatica. Mentre le
tecnologie di difesa diventano sempre più sofisticate, le conoscenze e le abitudini umane dei dipendenti sono
spesso deficitarie. Il risultato? Appunto che la stragrande maggioranza degli attacchi informatici sfrutta delle falle
oppure ha addirittura origine all'interno della rete stessa.
Le cause delle falle interne
Le principali cause sono due: la scarsa conoscenza della tecnologia e l'errore umano. È inutile dilungarsi su
quale possa essere il rimedio: aggiornare, formare, comunicare. Infatti, una miglior conoscenza delle tecnologie in
uso e dei sistemi di difesa - a partire dai più comuni atteggiamenti corretti - risulta di gran lunga il miglior
antidoto al diffondersi di virus o alla cessione involontaria di dati rilevanti o sensibili. Strettamente legato alla
scarsa conoscenza, infatti, è l'errore umano che ne discende. Lanciare un floppy senza essersi accertati che
non vi siano virus, comunicare con facilità dati riservati, aprire file di posta elettronica sospetti:
sicuramente non sono comportamenti dolosi, ma l'assenza di dolo non significa assenza di colpa. E la sicurezza
informatica non ammette ignoranza.
Attacchi esterni: il social engineering
Il metodo più efficace per sviluppare un attacco informatico dall'esterno riporta al concetto di social
engineering. Con questo sistema sono state effettuate le azioni di pirateria informatica (senza entrare in alcuna
questione di giudizio etico di tali azioni, ancora molto controverso) più eclatanti e conosciute. Con questo
sistema sono cresciuti i maggiori hacker mondiali, a partire da Kevin Mitnick, il celebre Condor. Il social
engineering, o ingegneria sociale, sfrutta, manco a dirlo, proprio l'errore umano. È una tecnica per cui si
carpiscono i dati sensibili utili a penetrare un sistema attraverso il raggiro di persone che sono a conoscenza di
quei dati. In pratica, ce li si fa consegnare con una motivazione qualsiasi, una truffa in piena regola per ingannare
l'ignara controparte. Una volta in possesso dei dati utili, allora si può penetrare il sistema per prenderne
possesso. L'anello debole della catena è il fattore umano. Non importa quanti e quali firewall siano installati,
quali procedure d'autenticazione siano attive, quali precauzioni tecniche siano state prese: tutto viene vanificato
dall'errore della persona, che materialmente cede un dato senza capirne l'importanza.
Attacchi interni: il colpevole è già in casa
Un altro dei grandi problemi degli attacchi che scaturiscono direttamente all'interno della rete è costituito
dagli hacker interni. Si tratta di un fenomeno in aumento nelle grandi reti, e quindi in teoria piccole e medie
imprese possono tirare un respiro di sollievo. Tuttavia, anche senza arrivare a ipotizzare la presenza di un hacker
interno, il problema della sicurezza interna della rete va affrontato. Infatti, troppo spesso reti blindate
all'esterno presentano, per esigenze di flessibilità di lavoro, scarse protezioni interne. Per esempio, e
banalmente, l'accesso fisico al computer di un collega è spesso consentito in maniera troppo facile. Prevedere
delle linee guida di sicurezza interna potrebbe essere il primo passo per aumentare la sicurezza totale della rete.
Progetto Firewall umano
Visti tutti i possibili elementi di falla del sistema interno, rimane da chiedersi come potervi porre rimedio. È
quanto ha fatto anche l'HFW Council, un'associazione di professionisti di tutto il mondo che ha delineato i tratti
principali di un interessante progetto denominato
Firewall umano. Il nome dice
già tutto: realizzare un piano tale da rendere il fattore umano sicuro come quello tecnologico. Come la rete
è protetta tecnicamente da un firewall, così deve essere protetta umanamente da un firewall umano. Come?
Seguendo almeno gli otto punti tratteggiati nelle linee guida del progetto. 1. Far emergere all'interno dell'azienda l'importanza del fattore umano nella politica di sicurezza informatica.
Coinvolgere il management nella definizione delle policy di sicurezza, allargare a tutti i dipendenti la conoscenza di
tali policy, verificandone la loro attuazione all'interno dell'azienda. 2. Assegnare ruoli e responsabilità precise in modo che ciascuno sappia che cosa fare e quando, soprattutto per
situazioni di emergenza o di urgenza. 3. Redarre un piano di azione dettagliato rispetto alle priorità individuate dalla policy di sicurezza. Le
prime misure da adottare in caso d'attacco devono andare a garantire i dati essenziali, le successive i dati importanti
ma non essenziali, quindi i dati di una certa rilevanza, e così via, sempre nel rispetto di un budget assegnato. 4. Le policy devono essere scritte e alla portata di tutti i dipendenti. Quindi, devono essere facili da capire e a
disposizione di tutti. Devono essere flessibili, in modo da adattarsi ai cambiamenti organizzativi. 5. Sviluppare un programma di formazione per i dipendenti, che parta dalla spiegazione delle policy e sia in grado di
spiegare i principali atteggiamenti da tenere nell'operatività quotidiana. 6. Accettare lo scambio con i dipendenti a proposito delle politiche di sicurezza. Mettersi in ascolto di dubbi,
segnalazioni, perplessità, spiegarli o risolverli aumenta la capacità di reazione dell'azienda rispetto
ai pericoli della sicurezza informatica. 7. Mantenere le policy in costante aggiornamento e miglioramento, soprattutto rispetto alla loro diffusione e
comprensione interna all'azienda. 8. Definire le procedure da attivare in caso di incidenti o errori, con la chiara indicazione dei vari responsabili e
della azioni da compiere.
