Sicurezza in azienda: il fattore umano

di Luciano Serafino

scritto il

La sicurezza informatica non è solo tecnologia. Le persone della vostra azienda possono rappresentare il tallone d'Achille per la sicurezza e affidabilità di dati e apparati IT

Le politiche aziendali orientate alla sicurezza informatica della struttura lavorativa sono spesso mirate a privilegiare la componente tecnologica, in quanto imputata di essere quella maggiormente soggetta agli attacchi di hacker o comunque soggetti malintenzionati; questo perché si identifica sovente il maggior pericolo come proveniente dall’esterno dell’organizzazione o comunque da persone con grandi capacità di tipo informatico. In quest’ottica di analisi del problema sicurezza informatica si tende erroneamente a sottovalutare l’importanza del fattore umano nella definizione delle politiche di sicurezza delle reti informatiche e in genere di tutti quei dati strategici strettamente collegati al mondo dei computer.

Infatti, mentre le tecnologie di difesa hardware e software diventano sempre più sofisticate e dedicate alle più ampie necessità aziendali, le conoscenze e le abitudini dei dipendenti di una azienda sono spesso deficitarie, in particolar modo se rapportate all’importanza dei dati con cui ciascuna persona si interfaccia giornalmente. Il risultato primario di tale squilibrio consiste nell’individuare come causa predominante degli attacchi informatici falle che si generano all’interno della rete stessa, avendo origine all’interno dell’azienda in esame.

Attacchi interni

Gli attacchi provenienti dall’interno dell’azienda possono differenziarsi in due grandi categorie: quelli involontari dovuti a scarsa conoscenza della tecnologia da parte del personale ovvero al classico errore umano, e quelli volontari provenienti da hacker interni all’organizzazione.

Per quanto riguarda la prima delle classi appena citate, il problema è fondamentalmente da ricercarsi nella necessità, spesso sottovalutata, di formare adeguatamente il personale prima di porlo a contatto con importanti realtà informatiche, nonché accertarsi che colui che sarà demandato a manipolare dati sensibili sia in grado, e sia cosciente, della tecnologia che andrà ad utilizzare nello svolgere le proprie mansioni. I più comuni degli errori, in questo caso, sono infatti strettamente riconducibili alla scarsa conoscenza e di conseguenza all’errore umano che ne discende; lanciare un file senza accertarsi che non contenga virus, comunicare con facilità dati riservati, aprire file di posta elettronica sospetti, sono comportamenti che seppur dolosi possono originare la colpa di dar vita ad importanti danni informatici.

L’altro grande problema relativo agli attacchi interni è legato al fenomeno dell’hacker interno all’azienda. Sempre più spesso capita che azienda blindate da qualunque tipo di attacco dall’esterno siano molto deboli nella sicurezza interna alla rete stessa, spesso per necessità legate ad esigenze di flessibilità lavorative. Un tipico esempio è rappresentato dall’accesso fisico ad un computer di un collega che spesso risulta troppo semplice ed immediato oppure da più raffinate tecniche di sniffing. Una semplice ed immediata soluzione a questa tipologia di problema può essere rappresentata dall’implementazione di linee guida di sicurezza interna che abbiano il compito di guidare il personale a comportamenti mirati all’ottenimento di una maggiore sicurezza della rete, e conseguentemente dei dati.

Attacchi esterni

Il fattore umano assume un peso fondamentale nelle tecniche di attacco alle reti informatiche portate dall’esterno della rete stessa. Infatti la principale metodologia per condurre un attacco di questo tipo si basa sul concetto di social engineering; tanto che con questo sistema sono state effettuate le azioni di pirateria informatica più eclatanti e conosciute.

Il social engineering , o ingegneria sociale, sfrutta principalmente un particolare risvolto dell’errore umano. È una tecnica mediante la quale si carpiscono i dati sensibili utili a penetrare un sistema attraverso il raggiro di persone che sono a conoscenza dei dati obiettivo dell’"indagine". In pratica l’abilità consiste nel farsi "consegnare", con una motivazione qualsiasi, questi dati, perpetrando in tal modo una truffa in piena regola mediante l’inganno della controparte. Una volta in possesso di tali dati, diventa poco più di un gioco penetrare il sistema per prenderne possesso e disporne liberamente.

Quindi ancora una volta l’anello debole della catena è rappresentato dal fattore umano. In una situazione del genere assumono un’importanza secondaria tutti gli accorgimenti hardware posti a protezione della rete, quali firewall nonché procedure di autenticazione. L’errore consiste infatti, nell’aver ceduto un’informazione senza averne compreso l’importanza.

La soluzione a tale problematica è individuabile in una corretta istruzione del personale, al quale è necessario far intendere che nessuna procedura di sicurezza o di recupero dati interno all’azienda prevede la comunicazione di dati personali mediante la divulgazione telefonica piuttosto che tramite l’invio in risposta ad una e-mail. A tal proposito può risultare particolarmente utile stilare un protocollo che riporti le procedure standard da seguire nel caso si manifesti la necessità di comunicazione a terzi di informazioni confidenziali per l’azienda; in tal modo ogni procedura che si discosti anche minimamente da tale impostazione sarà subito individuata come sospetta.

Social Engineering

Vediamo ora nel dettaglio come può manifestarsi una procedura di social engineering, in modo da poter meglio comprendere tutte quelle procedure che devono destare sospetti di un attacco informatico in atto, e dalle quali è indispensabile tenersi alla larga.

Un classico attacco, come si è accennato, consiste nel chiamare al telefono qualcuno che dispone delle informazioni necessarie, impersonando un tecnico esterno o un dipendente con un problema piuttosto urgente.

Gli aspetti fondamentali di tale tecnica, infatti, prevedono:

  • di presentarsi come qualcuno che in realtà non si è, per professione, ruolo aziendale, o avente diritto a richiedere determinate informazioni;
  • di giocare con debolezze conosciute dell’obiettivo,dal punto di vista psicologico, comportamentale, o abitudinario;
  • di richiedere più o meno direttamente, e più o meno in maniera camuffata, informazioni alle quale normalmente non si avrebbe accesso.

Questa tecnica trae forte vantaggio dall’imitazione degli accenti regionali, plasmandoli in base alla specifica situazione; a questo aspetto spesso viene associata una profonda conoscenza del gergo tipico dei tecnici e degli operatori telefonici.

In quest’ottica spesso si connota la spiccata capacità di distogliere l’attenzione dal vero motivo del contatto, creando un personaggio affidabile nel quale la vittima si possa identificare, e che non debba suscitare in essa alcun tipo di sospetto. In tal senso solitamente la richiesta di informazioni è mirata verso dati che nella maggior parte dei casi possano risultare innocui alla vittima, e che comunque possano identificare l’interlocutore "attaccante" come soluzione fortuita ed immediata al possibile problema della vittima.

Pur nella complessità della singola situazione, il manifestarsi di uno o più dei suddetti comportamenti devono destare sospetto nella possibile vittima, e allertarla nel non fornire ulteriori informazioni all’interlocutore, magari invitando lo stesso a esigere le informazioni richieste in un altro momento, e sfruttando tale "pausa" per informarsi sulla autorevolezza e correttezza della procedura adottata.

I Video di PMI

Quali sono i contenuti migliori per Google?