Sicurezza informatica e dipendenti: INSIDE AGENCY lancia l’allarme sensibilizzazione
Il crimine informatico si consuma effettivamente il più delle volte dall’interno dell’azienda
L’ambizioso progetto della rivoluzione digitale nei processi di produzione, nota in Europa come “industria 4.0” e che ha l’obiettivo di automatizzare tutta la filiera della produzione industriale, dalla progettazione alla realizzazione e sino alla distribuzione, induce molte aziende a ritenere erroneamente che i benefici, soprattutto in termini di innovazione e competitività, cui il digitale può condurre, costituiscano nuove occasioni di cyber-spionaggio, con la conseguenza che le stesse si concentrano nella ricerca di tecniche di contrasto a potenziali attacchi hacker, rafforzando i propri firewall, e trascurando invece i rischi che a ben vedere risultano i più frequenti e dannosi, gli attacchi provenienti dall’interno.
Il crimine informatico, nella sua più ampia accezione di insieme di reati che, attraverso una rete, un computer o un dispositivo hardware, colpiscono i dati riservati, e che violano contenuti e diritti d’autore (cui si aggiungono frode, pedo-pornografia, accessi non autorizzati e cyberstalking), si consuma effettivamente il più delle volte dall’interno dell’azienda.
«È ovviamente necessaria la protezione delle infrastrutture informatiche da intrusioni esterne, perché i rischi insiti in una fuga di dati per un’azienda sono elevati non solo dal punto di vista economico-finanziario, ma anche sotto l’aspetto reputazionale – commenta Salvatore Piccinni, Senior Intelligence Analyst di Inside Agency, agenzia specializzata in sicurezza, con sedi in USA, Russia, Emirati Arabi, Brasile, Svizzera, UK, Hong Kong e Sudafrica, e da poco sbarcata anche in Italia, al fine di dare supporto alle aziende nella gestione e valutazione del rischio economico, finanziario e reputazionale di enti, persone fisiche, stakeholder e partner commerciali – tuttavia spesso mi capita di trovarmi difronte a casi di violazioni perpetrate da dipendenti, quasi sempre inconsapevoli, che senza averne in realtà cognizione diventano complici dell’hacker. La classica, più facile e veloce modalità di intrusione è l’inserimento da parte del dipendente nel computer aziendale della chiavetta ricevuta in regalo dall’hacker.
L’azienda deve essere protetta innanzitutto dall’interno: stabiliti quelli che sono i dati sui quali va garantito il riserbo e quindi assicurato l’accesso ai soggetti autorizzati (senza limitarsi ai soli dipendenti, ma ricomprendendo nell’attività di monitoraggio anche eventuali fornitori o terze parti), occorre sensibilizzare fortemente il proprio personale sull’importanza della sicurezza e del corretto utilizzo degli strumenti in dotazione: consultare dati o inviare mail da device personali può rappresentare terreno fertile per violazioni, come pure il semplice gesto di portare il proprio pc fuori dalla sede di lavoro.
Il livello di protezione che accordiamo ai nostri dati non è alto quanto dovrebbe: banalmente, ma si tratta proprio di questo, consiglio sempre il cambio frequente delle password, quale prima misura di difesa per le informazioni sensibili, e soprattutto l’utilizzo di password complesse, questa come forma più elementare di tutela.
A tal proposito un aspetto su cui spesso viene meno l’attenzione delle aziende, e che vorrei segnalare, è la necessità di proteggere i dati aziendali a seguito di cambio di mansioni all’interno dell’organico: ci si dimentica infatti di precludere al dipendente con nuove funzioni l’accesso a dati sensibili cui era invece abilitato in virtù della mansione precedente, rispetto ai quali non ha più interesse alcuno e pertanto il fatto di accedervi solo inconsapevolmente non può in nessun modo generare in lui la preoccupazione di dover proteggere i dati stessi. È una noncuranza che può generare violazioni».
Un primo passo quindi è rappresentato dall’opportunità di migliorare l’informazione interna: non è certamente il caso del dipendente malintenzionato, ma si tratta di rendere i propri collaboratori consapevoli delle minacce e in generale di tutto quanto possa mettere a rischio la sicurezza dell’azienda.
«In questi casi siamo difronte a condotte che non integrano la fattispecie di cybercrime – continua Salvatore Piccinni – ma che possono allo stesso modo ledere l’azienda: per questa ragione ritengo che gli investimenti per la sicurezza siano indispensabili per il conseguimento degli obiettivi. Conoscere infatti le proprie vulnerabilità è la prerogativa per eliminarle: spesso un’azienda viene attaccata e depredata di informazioni sensibili senza che possa rendersene conto».