CyberSec (S01 E10): La moltiplicazione dei dati

Mantenere il tracking delle informazioni

Una delle difficoltà maggiori, con riferimento alla protezione dei dati, deriva, nell’epoca moderna, sicuramente dalla loro estrema ubiquità: la diffusione di tecnologie e di servizi nuovi, e la presenza di più dispositivi in mano a un singolo professionista, hanno fatto sì che, negli ultimi anni, uno stesso dato potesse essere presente contemporaneamente in più luoghi. Questo “essere presente in più luoghi” costituisce un problema assai spinoso per l’esperto di sicurezza, ed è facile comprenderne il perché: vi saranno più luoghi da proteggere per evitare un accesso indiscriminato al dato.

Fino a dieci anni fa, il dato oggetto di protezione era, nella maggior parte dei casi, o solamente presente sul computer (meglio: nel disco fisso del computer) o, al massimo, anche su un supporto esterno. Due luoghi, quindi. Non di più. Oggi un dato (ad esempio: una e-mail, o una fotografia) è idoneo a essere in decine di luoghi diversi: il computer del professionista, un server, un telefono cellulare, un tablet, un supporto esterno, una chiavetta USB, in rete sul cloud, e così via.

Da un punto di vista della sicurezza, se uno solo di questi anelli della catena si presenta come più debole rispetto agli altri, si viene a creare una vulnerabilità che può portare a un incidente informatico. Al contrario, ciò significa che compito dell’esperto di sicurezza sarà quello di garantire che ogni luogo dove i dati sono custoditi sia sempre al massimo livello di sicurezza.

In questo caso le cose si complicano, per il semplice fatto che ci possiamo trovare davanti a due tipi di “luoghi” in cui si trovano i nostri dati: quelli che hanno un livello di sicurezza che dipende da noi e che, quindi, possiamo tenere sotto controllo, e quei luoghi, invece, che non dipendono da noi, ossia affidiamo i nostri dati a realtà che, successivamente e nel corso del tempo, non possiamo controllare a fondo dal punto di vista della sicurezza.

Circa i servizi dove i nostri dati sono custoditi, e su cui non possiamo intervenire, l’unico comportamento corretto da adottare è quello di scegliere società che ci garantiscano un alto livello di sicurezza e privacy, valutando le specifiche descritte sui siti e nei contratti e le varie offerte, o suggerire a chi tratta i nostri dati di elevare il suo livello di sicurezza a uno stato simile al nostro.

Si pensi a tre casi tipici nei quali i nostri dati sono direttamente condizionati dalla sicurezza altrui: i) il server, non gestito da noi, dove è custodita tutta la nostra posta elettronica; ii) un servizio di cloud che conservi i nostri dati; iii) tutti i computer dei soggetti che comunicano con noi, e che ricevono la nostra posta elettronica e i nostri documenti.

Con riferimento ai primi due esempi, il gestore di posta elettronica e il gestore di un servizio di cloud, non resta altro che fare una valutazione comparativa e scegliere quel gestore che ci assicuri che, quando la nostra posta elettronica e i nostri dati sono sul suo server, vengano adottate misure di sicurezza che ci diano affidamento.

Di solito, il rivolgersi ai grandi fornitori o produttori è un bene, perché hanno usualmente le ultime versioni dei programmi di gestione e intervengono molto rapidamente su eventuali vulnerabilità e problemi. Si noti inoltre che, per un utilizzo professionale, esiste anche sovente la versione a pagamento della e-mail che già utilizziamo, che fornisce servizi in più, anche in termini di sicurezza, a cifre di solito convenienti.

Con riferimento, invece, ai computer delle persone che ricevono i nostri dati, dobbiamo confidare e avere fiducia nel loro livello di sicurezza. Una buona procedura può essere quella di condividere con loro le nostre conoscenze e le nostre scelte informatiche al fine di suggerire loro come rendere l’ambiente altrettanto sicuro del nostro.

Circa i dati che sono memorizzati sui nostri dispositivi e su cui, quindi, abbiamo un controllo diretto, la situazione è più semplice, dal momento che dipenderà da noi, e solo da noi, la protezione degli stessi. Non solo: potremo anche sincronizzare i nostri dati tra un dispositivo e l’altro, ossia far sì che l’ultima versione, sempre aggiornata, di un dato sia sempre presente su tutti i nostri dispositivi.

Circa la sicurezza dei dati in tutti i nostri dispositivi, non vi può essere una regola generale: dobbiamo valutare il singolo dispositivo e capire quali siano le prassi più adatte. In questa sede possiamo formulare le seguenti, quattro ipotesi più comuni: il professionista deve gestire i) un computer fisso; ii) un computer portatile; iii) un tablet; iv) uno smartphone.

Il computer fisso è, forse, il sistema più semplice da proteggere, in quando poco suscettibile, oggi, di furto fisico. Sarà quindi sufficiente operare in tre direzioni: a) prevedere un sistema di autenticazione forte in ingresso (username e password forte, o sistema di riconoscimento biometrico, ad esempio un mouse con incorporato un lettore di impronta digitale) per rendere problematico il primo accesso ai dati da parte di un eventuale attaccante; b) cifratura di tutti i dati sul computer, per far sì che anche in caso di copia o furto del disco, i dati siano illeggibili; c) cifratura anche dei backup da fare obbligatoriamente, ossia non lasciare in giro dei dati in chiaro copiati da quel computer. Già l’implementazione di queste prime tre tecniche renderebbe assai sicuro il quadro complessivo.

Con riferimento alla seconda ipotesi, un computer portatile, vanno applicate le tre regole poco sopra esposte, tenendo però a mente che è molto più alta la possibilità che il portatile possa essere rubato o smarrito e, quindi, sia il sistema di cifratura dovrà essere forte (così l’eventuale ladro potrà solo riutilizzare la macchina ma non vedere i dati) e il backup dovrà essere almeno giornaliero, per permettere di tornare immediatamente operativi a pochi minuti dall’incidente.

I tablet contengono, spesso, gli stessi dati dei computer, compresa la posta elettronica e altri dati personali. In questo caso occorre attivare il sistema di autenticazione previsto dal tablet (ad esempio: un PIN) e aggiungere una seconda password per l’accesso ai dati e la cifratura del file system (che di solito si attiva nel menù “impostazioni”). Anche nel caso del tablet sarebbe bene avere un backup online quotidiano che ci permetta di ripristinare la situazione in un altro dispositivo.

Infine per lo smartphone vale il principio del tablet: PIN, password per accedere ai dati, cifratura del file system e backup online quotidiano.

Interessanti, in un’ottica di sicurezza, sono quei servizi, o programmi, che sincronizzano tutti i dati nei nostri dispositivi, di modo che, ad esempio, anche se si modifica un documento sul portatile, se poi lo si legge dal telefonino la versione è aggiornata. Permettono, infatti, di avere sempre a disposizione i documenti indipendentemente dal fatto che ci sottraggano il dispositivo o meno.