La protezione dei dati e, più in generale, del patrimonio informativo aziendale può ritenersi realmente compiuta solo implementando un sistema che ne garantisca sia la sicurezza fisica (o sicurezza passiva) il cui scopo è impedire l’accesso ai luoghi in cui i dati sono custoditi, sia la sicurezza logica (o sicurezza attiva) il cui scopo è invece quello di impedire l’accesso ai luoghi digitali dell’azienda.
Indice degli argomenti
Sicurezza logica: cos’è e cosa significa
Parlare di sicurezza logica in azienda significa, quindi, da un punto di vista macroscopico, affrontare le tematiche relative al modello organizzativo della sicurezza che si desidera attuare.
Una prima analisi va rivolta a come l’azienda intende identificare e autenticare le persone che lavorano al suo interno e quelle che utilizzano i servizi offerti. In altre parole, quali identità digitali saranno assegnate agli utenti che utilizzano il sistema informatico aziendale e ai clienti che utilizzano i servizi offerti su WEB sempreché esistano.
La seconda tematica riguarda il processo di gestione di suddette identità, mentre la terza riguarda come saranno classificate le informazioni gestite dall’azienda e i relativi permessi di accesso.
Tralasciando le modalità di sviluppo sicuro del software, che ormai dovrebbero essere nel DNA degli sviluppatori, resta ancora un ultimo aspetto particolare che riguarda gli amministratori di sistema, per gli amici AdS.
Sicurezza logica: regole di generazione delle identità digitali
Nella prima tematica si affronta la generazione delle identità digitali (account), le quali vengono generalmente costruite attraverso la combinazione dei seguenti fattori:
- una cosa che sai – Conoscenza;
- una cosa che hai – Possesso;
- una cosa che sei – Inerenza.
La combinazione di due fattori genera le cosiddette “credenziali di accesso” al sistema. L’identificazione solitamente è costituita da un codice, che nei casi più fortunati o per meglio dire “user friendly”, è scelto direttamente dall’utente.
Tale scelta spesso cade sul nome.cognome, su un nickname o, infine, su un codice alfanumerico; in tutti i casi un dato da “memorizzare” che di conseguenza afferisce al fattore della Conoscenza. Con l’account si identifica una persona, la quale attraverso un altro codice, generalmente chiamato password, viene autenticata. Anche la password è da “memorizzare” e di conseguenza afferisce al fattore della Conoscenza.
Se ci fermiamo a questo punto, possiamo notare che abbiamo utilizzato soltanto un fattore (Conoscenza) dei tre disponibili e quindi, nel rispetto degli ultimi standard di sicurezza, siamo di fronte ad un’autenticazione debole, che può essere abbastanza facilmente utilizzata illegalmente, ma che comunque è quella che viene utilizzata in maniera diffusa in moltissime aziende sin dai tempi della nascita dell’informatica.
Nelle aziende, questo tipo di autenticazione è sufficiente per accedere a tutte le funzionalità necessarie allo svolgimento dei compiti assegnati dal modello organizzativo aziendale in base al quale vengono assegnati i cosiddetti profili abilitativi.
Anche in ambito Social con questo tipo di credenziali si ha accesso a tutte le funzionalità disponibili.
L’utilizzo della combinazione di due fattori è quello che incrementa la certezza sulla persona che sta accedendo al sistema. Per la clientela delle banche, recenti normative parlano di Strong Customer Authentication (SCA), nelle quali il secondo fattore che va per la maggiore è il Possesso, ovvero l’utilizzo di un device, nella disponibilità della persona, per la ricezione o la generazione di un codice da utilizzare nel processo di autenticazione.
Tale codice si chiama One Time Password (OTP) ed è utilizzabile una sola volta e può essere inviato mediante SMS al cellulare del cliente o generato dallo stesso mediante un’applicazione. In entrambi casi la conclusione positiva del processo di autenticazione conferma che la persona è quella che “dice di essere” è può accedere a tutte le funzionalità messe a disposizione in base al suo profilo.
Una probabile evoluzione futura, per altro già in alcuni casi attivata, è relativa all’utilizzo del fattore dell’Inerenza, il quale si basa su caratteristiche biometriche o comportamentali. Tale fattore ha insiti due vantaggi che ne determineranno il successo, il primo è che le suddette caratteristiche riducono notevolmente la possibilità di utilizzo illecito delle credenziali da parte di terzi soggetti, il secondo è che non è necessaria la “memorizzazione” di alcunché.
Quindi, una maggior robustezza affiancata da una maggior facilità di utilizzo.
Il fattore dell’Inerenza comprende le impronte digitali, il riconoscimento facciale, quello della retina ed infine la voce e l’interazione uomo-macchina durante l’utilizzo dei device (PC e degli smartphone/tablet).
Sicurezza logica: gestione delle identità digitali
Illustrate le caratteristiche delle credenziali, possiamo parlare della loro gestione.
È opportuno che in azienda esista una funzione dedicata allo scopo che risponda in modo rigoroso al principio: “chiunque tu sia, se non hai le credenziali sei un illustre sconosciuto”, questo al fine di evitare inutili esposizioni al rischio il patrimonio aziendale e/o quello dei clienti.
La gestione di account, password, numeri di cellulare, e altri attributi delle credenziali deve bandire i comportamenti “amichevoli e/o clientelari”.
Tuttavia, è lecito mettere a disposizione delle persone un sistema di recupero credenziali in modo autonomo, ovvero se il soggetto in questione dispone del “vecchio codice” può accedere ad un processo di ripristino autonomo.
Il classico esempio è il cambio password conoscendo quella attuale. Mentre se l’utente non ha suddetta disponibilità passa dallo stato di “favorevolmente conosciuto” allo stato di “illustre sconosciuto” e di conseguenza perde tutti i diritti di accesso ai sistemi e alle piattaforme.
Occorre, quindi, un processo di riconoscimento rigido che sgombri il campo da dubbi e errate interpretazioni, in ultima analisi il reset degli attributi delle credenziali verrà effettuato soltanto se l’utente è presente di persona o tramite videochiamata con l’operatore della sicurezza, il quale potrà identificare l’utente in base alla documentazione già in suo possesso.
Altri sistemi che coinvolgono altri soggetti come garanti dell’identità e della volontà della persona sono da evitare con fermezza.
Per quanto detto sopra vale per i fattori della Conoscenza e del Possesso, mentre il fattore dell’Inerenza non genererà mai la necessità di un suo reset, a meno di casi eccezionali e abbastanza macabri.
Sicurezza logica: regole di classificazione dei dati
Come detto la terza tematica del sistema di sicurezza riguarda la classificazione dei dati. Molta letteratura e normativa è stata scritta al riguardo e alla fine l’estrema sintesi afferma che esistono dati visibili a tutti e dati da proteggere in base allo scopo o alla proprietà.
Tra i dati visibili a tutti possiamo citare il bilancio di un’azienda, il listino dei prodotti con i relativi prezzi, le condizioni generali di un finanziamento. Per questa tipologia di dati non è necessario alcun profilo di accesso, si tratta di dati disponibili in rete, in linea generale sulle pagine pubbliche dei vari portali aziendali, alle quali i visitatori possono accedere senza bisogno di autenticarsi.
Tra i dati da proteggere per scopo possiamo elencare i processi di produzione, le formulazioni farmaceutiche, i brevetti, il software. Tali dati/informazioni fanno parte del patrimonio aziendale e devono essere protetti non solo dall’accesso indebito proveniente dall’esterno, ma anche da eventuali accessi illeciti da parte del personale dipendente.
In tal senso le aziende, solitamente, utilizzano per la definizione dei profili di accesso il ruolo previsto nel modello organizzativo aziendale, sovente coniugato con l’incarico attribuito ad un certo dipendente. Una corretta gestione dell’assegnazione dei profili richiederebbe che i passaggi di ruolo annullassero le vecchie attribuzioni in favore delle nuove e dovrebbe essere evitata l’assegnazione di funzionalità “ad personam”.
Restano i dati da proteggere in base alla proprietà, questi dati sono i cosiddetti “darti personali”, così come definiti dal Regolamento Europeo 2016/679 (GDPR) all’art.4, il quale definisce un privilegio per tutti i cittadini europei, ovvero tali dati sono e restano di proprietà dell’individuo qualsiasi impiego ne venga fatto.
Ad esempio, non esaustivo, possiamo citare i dati anagrafici, lo stato patrimoniale, i dati di contatto, le operazioni bancarie effettuate, lo stato di salute, le preferenze politiche e/o sessuali. Questi dati anche se conferiti ad una azienda durante il processo di iscrizione ad un servizio o durante l’acquisto di un prodotto, restano di proprietà della persona che identificano e l’azienda può utilizzarli soltanto ai fini per i quali li ha raccolti.
Quindi una volta accertata l’identità dell’individuo, l’azienda può consentire l’accesso ai dati di “proprietà”.
Sicurezza logica: il ruolo degli amministratori di sistema
Nel nostro sistema di sicurezza non possono mancare gli amministratori di sistema (AdS); questo è un tema molto delicato, all’interno del quale si mescolano, normative, best practice, illusioni e realtà. Quali sono gli aspetti esistono principali per i quali le aziende hanno bisogno degli AdS?
- Facility Management – gestione delle infrastrutture preposte all’erogazione del sistema informatico, si parla quindi di apparati di rete, di server, di client, e di sistemi operativi, nonché di Data Bases Management System.
- Application Management – gestione degli eventuali malfunzionamenti delle applicazioni, con interventi diretti sulle singole componenti per la soluzione, anche temporanea dell’errore.
Il primo caso è il più diffuso, specialmente nelle medie/grandi aziende dove i processi di cambiamento sono molto formali e il tempo di risoluzione di un’anomalia non è un fattore critico di successo perché mitigato dalla presenza di un processo alternativo per l’erogazione della funzionalità in errore.
Esempio: c’è un blocco nell’erogazione di una funzionalità erogata alla clientela, lo specialista della funzione analizza il problema, trova la soluzione, la verifica, costruisce una richiesta di cambiamento e la sottopone al responsabile degli interventi in produzione.
Tale responsabile convoca la propria squadra, viene valutato l’impatto dell’intervento e pianificata la sua attivazione in produzione. Nel frattempo, altri colleghi preposti alla gestione della clientela adottano soluzioni alternative “personalizzate”. È difficile determinare un tempo medio di risoluzione, ma possiamo affermare una grandezza intorno alle 24 ore.
Il secondo caso è diffuso nelle aziende piccole dove i processi di cambiamento sono sostanziali e, pur nel rispetto delle norme, è indispensabile che il tempo di risoluzione di un disservizio sia il più breve possibile.
Solitamente si tratta di aziende che offrono le loro funzionalità sul WEB è un blocco può causare facilmente la perdita di un business a favore dei concorrenti.
In questo scenario l’AdS deve essere in grado, sia dal punto di vista della conoscenza che da quello dei profili, di analizzare l’anomalia, individuarne la correzione anche temporanea e attivarla in produzione nel più breve tempo possibile.
Comunque, in entrambi i casi è comprensibile che un AdS ha le “chiavi di casa” e quindi è in grado di fare il bene, ma anche il male dell’azienda. Quindi è fondamentale che le aziende effettuino una scelta ponderata e consapevole degli AdS, attivando un rapporto di fiducia sostenuto anche da un reciproco controllo tra i vari AdS, perché a posteriori è sempre tardi.
Se l’AdS, prima di essere un esperto informatico, è un frodatore non è possibile mitigare con successo un suo intervento a sfavore dell’azienda. Il frodatore studierà i processi aziendali e con calma e pazienza troverà il modo di cogliere il proprio obiettivo.
In altre parole, la scelta di un AdS somiglia a quella della “donna di servizio” per la propria casa; se la scelta è errata la casa sarà pulita, ma vuota.
Creare consapevolezza tra gli utenti aziendali
Fino ad adesso abbiamo parlato del sistema di sicurezza e delle sue componenti fondamentali, per chiudere manca soltanto la componente soggettiva, la consapevolezza.
La consapevolezza aziendale che dovrebbe tradursi in periodica formazione e informazione, sia verso i dipendenti che i clienti.
Una consapevolezza che dovrebbe pervadere tutti i livelli aziendali, garantendo le risorse necessarie per la protezione del business aziendale, anche se tale protezione “non si vede né si vende”.
Se l’approccio alla consapevolezza aziendale si traduce sostanzialmente con stanziamenti di budget, e con definizione di rigidi processi di amministrazione delle credenziali e dei relativi profili di accesso, quello che ricade sulle persone assegnatarie delle credenziali è molto più soggettivo e variegato.
Ognuno di noi possiede una discreta quantità di credenziali, quelle dell’azienda per la quale lavoriamo, quelle della posta personale, quelle di Facebook, quelle di Trenitalia, quelle dell’Agenzia delle Entrate, quelle dell’INPS, quelle di Amazon e molte altre ancora.
Se siamo fortunati l’account lo abbiamo scelto e quindi è di più facile gestione, ma la password è un codice “spinoso” che deve rispettare alcune regole abbastanza incomprensibili, che sono:
- lunghezza di almeno otto caratteri;
- combinazione di lettere, numeri e caratteri speciali;
- cambio periodico.
L’errore più frequente che viene commesso è quello di utilizzare la stessa password per tutte le “porte di accesso”, errore gravissimo, al quale si aggiunge quello dell’utilizzo di un “nome di famiglia” (mamma, moglie/marito, figlio/a, animale) seguito dall’anno di nascita, oppure il mese e anno correnti o infine il plurinominato 12345.
Così facendo rendiamo molto facile la vita ai truffatori che mirano ad assumere le nostre sembianze virtuali per trafugarci il patrimonio, fare acquisti con piani di finanziamento ed altre operazioni simili. Occorre quindi un metodo per la generazione delle password che complichi molto la vita ai truffatori senza ritorcersi contro di noi.
È il caso dell’applicazione un ragionamento per la definizione della password, ad esempio l’anagramma del titolo dell’ultimo film visto oppure dell’ultimo viaggio fatto, o ancora di uno dei piatti preferiti, se poi aggiungiamo il mese o l’anno otteniamo una password robusta facilmente ricostruibile ricordando l’evento.
Indirizzata la costruzione della password, affrontiamo il problema della distinzione degli accessi, l’ottimo teorico e di averne una per ogni utilizzo, ma questa è un’utopia, quindi occorre almeno distinguere le password per gli accessi ai siti delle banche, mentre per le altre necessità è sufficiente una categorizzazione tra i siti Social, quelli di commercio, quelli delle utenze (acqua, luce, gas) e quelli dei trasporti.
Specialmente per gli ultimi, un qualsiasi pagamento dovrebbe richiedere un’ulteriore conferma in base allo strumento di pagamento mitigando ulteriormente il rischio di utilizzo illecito da parte di terzi.
Una trattazione particolare riguarda la casella di posta, anche per queste è bene utilizzare una password diversa per ogni casella e soprattutto è bene non conservare all’interno di tali caselle mail contenenti credenziali, documenti, estratti conto, cedolini paga, che costituiscono gli elementi base per un potenziale furto di identità.
Per quanto riguarda le credenziali che utilizziamo quando indossiamo l’abito da lavoro valgono le stesse regole, con l’aggiunta di una maggiore attenzione per quelle posizioni aziendali decisorie che indirizzano l’esito dei processi aziendali.
Inoltre, in questo ambito è importante essere consapevoli che la situazione amichevole di collegialità che solitamente si sviluppa in azienda non deve in alcun modo dare spazio alla “condivisione delle credenziali”, perché gli esiti potranno soltanto non essere che critici e/o compromettenti. In azienda non ci sono motivazioni valide per utilizzare le credenziali di un altro collega, accondiscendente o meno.
Conclusioni
Come detto in precedenza abbiamo tutti molti account con relativa password e di conseguenza è indispensabile attivare una conservazione “sicura”.
Le soluzioni a questo problema possono essere artigianali, come un foglio Excel protetto da password conservato su di una chiavetta USB, o strutturate, come sono le molte applicazioni disponibili sui vari stores per gli smartphone.
La scelta è ovviamente soggettiva, però occorre almeno un suggerimento: almeno per le password non utilizzate il cloud perché vi fidereste di sconosciuti quali sono gli AdS che lo gestiscono.
Concludendo, la sicurezza logica richiede un set di poche regole per la definizione delle credenziali e dei profili di accesso, una struttura organizzativa con relativi processi per l’amministrazione delle medesime, alcuni amministratori di sistema scelti con oculatezza e una consapevolezza strutturale che parte dai vertici aziendali e termina ai clienti dell’azienda stessa.
