1.7. La sicurezza non può essere considerata come un fattore secondario
Non ha importanza cosa pensiate dell'ambiente nel quale vengono eseguiti i vostri sistemi, non potete considerare la sicurezza come un qualcosa di scontato. Anche i sistemi del tipo 'standalone' non collegati ad internet, possono risultare a rischio (anche se ovviamente il loro rischio risulta essere diverso da un sistema collegato al mondo esterno).
Per questo motivo è molto importante considerare le ripercursioni sulla sicurezza dovute alle vostre azioni. Il seguente elenco illustra le diverse problematiche da considerare:
La natura dei possibili rischi per ogni sistema soggetto alla vostra attenzione
La posizione, il tipo, ed il valore dei dati presenti sui sistemi
Il tipo e la frequenza degli accessi autorizzati ai sistemi
Mentre voi state pensando alla sicurezza, non dimenticate che i potenziali intrusi non sono solo quelli che attaccano il vostro sistema dall'esterno. Molte volte la persona che perpetra una violazione risulta essere un utente interno alla compagnia. In questo modo la prossima volta che vi aggirate tra le scrivanie dell'ufficio, guardatevi intorno e domandatevi:
Cosa può accadere se quella persona cerca di compromettere la nostra sicurezza?
 | Nota Bene |
|---|---|
Ciò non significa che dovete trattare i vostri colleghi come se fossero dei criminali. Significa soltanto di controllare il tipo di lavoro che una persona svolge, per capire di conseguenza il potenziale rischio che tale persona possa rappresentare nei confronti della sicurezza. |
1.7.1. I rischi dell'ingegneria sociale
Mentre la prima reazione degli amministratori, per quanto riguarda le problematiche riguardanti la sicurezza, può essere quella di concentrarsi sull'aspetto tecnologico, è molto importante mantenere una certa prospettiva. Molto spesso, le violazioni che si verificano nel campo della sicurezza non presentano un fattore tecnologico, ma presentano un fattore umano.
Le persone interessate a tali violazioni, spesso usano un fattore umano per poter baipassare i controlli tecnologici dovuti all'accesso. Questo metodo è conosciuto come ingegneria sociale. Ecco un esempio:
L'operatore del secondo turno riceve una telefonata esterna. Colui che chiama dice di essere il CFO dell'organizzazione (il nome e le informazioni personali del CFO sono state ottenute dal sito web dell'organizzazione, nella pagina "Team Manageriale").
La persona che chiama dice di trovarsi in tutt'altra parte del modo (forse questo fa parte di una storia inventata, oppure la vostra pagina web riporta che il CFO della vostra compagnia è presente in un determinato salone in una città di un'altra nazione).
L'impostore racconta tutte le sue disavventure; il portatile è stato rubato all'aeroporto, ed è con un cliente molto importante e necessita di accedere alla pagina intranet dell'azienda, per poter controllare così lo stato dell'account del cliente stesso. Con molta gentilezza questa persona chiede di poter accedere alle informazioni necessarie.
Sapete cosa potrebbe fare il vostro operatore in circostanze simili? Se il vostro operatore non ha una policy specifica a riguardo (in termini di procedure), voi non saprete mai con sicurezza cosa potrebbe accadere.
L'obiettivo delle policy e delle procedure è quello di fornire una guida chiara su quello che si può e non si può fare. Tuttavia, le suddette procedure funzionano se tutte le persone le osservano. Ma si presenta sempre lo stesso problema — e cioè risulterà difficile che tutte le persone rispetteranno le suddette policy. Infatti, a seconda della natura della vostra organizzazione, è possibile che voi non abbiate l'autorità sufficiente a definire tali procedure, e tanto meno a farle rispettre. E allora?
Sfortunatamente, non vi sono risposte facili a questa domanda. l'educazione degli utenti potrebbe esservi molto utile; fate ciò che potete per informare la vostra community sulle procedure inerenti la sicurezza, e metteteli a conoscenza della presenza di tale fenomeno. Organizzate dei meeting durante l'ora di pranzo. Inviate degli articoli relativi alla sicurezza tramite le mailing list dell'organizzazione. Rendetevi disponibili per rispondere ad eventuali domande che possono essere formulate da parte degli utenti.
In breve, inculcate il più possibile queste idee ai vostri utenti.