CyberSec (S01 E11): Le policy

Stabilire regole chiare per la sicurezza

Come si è già visto, molto spesso le principali minacce ai sistemi informatici e ai dati digitali sono generate da comportamenti errati, ossia dall’azione dell’uomo che decide di mantenere prassi o abitudini contrarie alle migliori regole di sicurezza esistenti.

A tal fine, in molte realtà professionali e aziendali è diventata una (corretta) abitudine redigere delle cosiddette “policy” (o regolamenti, o linee guida) che informano il dipendente o il professionista circa alcune regole di base, e specifici comportamenti da tenere, che consentano di aumentare il livello generale di sicurezza dell’ambiente dove il soggetto lavora.

Le policy possono variare con riferimento alla loro “forza applicativa”: possono essere semplici suggerimenti, o possono addirittura generare illeciti disciplinari se violate. I contenuti, però, sono molto simili, e riguardano tendenzialmente tre ambiti: il computer o dispositivo di lavoro del soggetto, la rete in cui il soggetto entra e condivide i dati e la presenza del dipendente/collaboratore sul web e in Internet, utilizzo della posta elettronica aziendale compreso.

Circa il primo punto, ossia la consegna e l’uso del dispositivo elettronico aziendale al dipendente (che sia un computer fisso, uno portatile, un tablet, uno smartphone o altro strumento), di solito la policy stabilisce che sia necessario, per chi riceve il device, comprendere a fondo che ciò che viene consegnato è uno strumento di proprietà dell’azienda, per esclusivo uso aziendale e connesso ai fini produttivi e lavorativi. Lo specificare che quel computer è dell’azienda, anche se viene consegnato a un soggetto, ha due fini: il rispetto “fisico” nell’utilizzo di quel computer, in vista ad esempio di danni materiali allo stesso, e la consapevolezza che tutte le attività effettuate su quel computer devono essere correlate alla vita aziendale e, quindi, non può essere utilizzato per fini privati. Nel primo punto, il rispetto fisico della macchina, non rientra solo l’obbligo di trattare bene il dispositivo, di non rovinarlo o di non romperlo, ma anche il fatto di curare la sua manutenzione, ossia avere sempre il sistema operativo aggiornato, l’antivirus installato e attivo, il non installare programmi, giochi o app che non abbiano nulla a che fare con l’attività lavorativa e che possano mettere a rischio non solo la produttività del soggetto ma anche la sicurezza del sistema, e così via. Il secondo punto, ossia il far comprendere che il dispositivo, anche se nella disponibilità del soggetto, è sempre di proprietà dell’azienda serve per rendere chiaro che ogni operazione effettuata su quel dispositivo deve sempre essere utilizzata per il lavoro. Nessuna commistione, quindi, con interessi, attività o trattamento di dati personali. Questo secondo punto è il più delicato, soprattutto nei dispositivi mobili che, spesso, sono utilizzati sia per attività lavorative sia per fini privati. E che possono essere sottoposti a un controllo.

Il secondo tipo di policy, una volta che con la prima si è chiarito che il computer consegnato è comunque di proprietà dell’azienda o dello studio e che l’uso che ne deve essere fatto deve avvenire secondo certe regole, disciplina l’ingresso del soggetto nella rete dell’azienda o dello studio. In concreto, subito dopo che a un soggetto sono consegnati strumenti aziendali, gli si dà anche l’accesso alla rete interna della struttura, dove vengono salvate informazioni, condivisi documenti, fatti circolare dati. La seconda policy spiega come comportarsi in questo ambiente senza mettere a rischio la sicurezza informatica di tutti: quali dati trasferire e di che dimensioni, dove salvare i documenti e con che nome, come impostare il backup del proprio computer per evitare perdita di dati in caso di disastro, come comunicare con gli altri utenti della rete, quali parti del sistema sono accessibili e quali no (profili di autorizzazione) e, in generale, le regole di buona educazione per convivere nell’ambiente digitale in cui si entra.

Un terzo tipo di policy, più complessa, riguarda invece l’uso “esterno” della connessione a Internet, ossia la posta elettronica aziendale (e i messaggi verso l’esterno), la navigazione sul web e la presenza sui social o in altri ambienti di discussione. In questo caso la situazione è più complessa perché i fattori da controllare, e possibilmente da esplicitare in una policy, sono numerosi. I più comuni, in una realtà medio piccola, sono: i) l’uso privato della posta elettronica aziendale; ii) quali siti web sono considerati attinenti all’attività lavorativa e quali, invece, sono considerati al di fuori degli interessi dei dipendenti e, quindi, sono vietati; iii) l’uso dell’indirizzo dell’azienda per partecipare a discussioni su forum, bacheche o dibattiti sui social network non correlati alle attività aziendali o che possono mettere in cattiva luce lo studio o l’azienda; iv) il collegamento a siti o ambienti pericolosi sia per la produttività aziendale sia da un punto di vista di sicurezza.

Il primo caso, quello dell’uso privato della posta aziendale, andrebbe risolto, nella policy, in maniera molto semplice e chiara: specificando che l’indirizzo aziendale va utilizzato solo per comunicazioni di lavoro e non personali, per le quali l’utente potrà utilizzare un altro suo indirizzo privato. La commistione tra contenuti privati e di lavoro nella stessa casella di posta è infatti pericoloso anche in un’ottica di controllo: il datore di lavoro che dovrà andare a recuperare con urgenza informazioni di lavoro in un account, rischierà di venire a conoscenza anche di informazioni private con conseguenti imbarazzo e possibile violazione della privacy altrui.

Nel secondo caso, andrà specificato per iscritto nella policy quali siano i siti web cui non è permesso l’accesso in ambito lavorativo e quali, invece, sono considerati attinenti alla mansione. Questo lo si fa, di solito, per evitare perdite di tempo e di risorse durante l’orario lavorativo.

Il terzo punto è una questione di immagine: utilizzare l’indirizzo aziendale o una qualifica correlata a uno studio professionale per partecipare a discussioni o dibattiti online può ledere l’immagine del datore di lavoro o creare confusione tra opinione personale e opinione della realtà di appartenenza.

Nel quarto punto, infine, il focus è la sicurezza: il vietare comportamenti non solo illeciti ma anche rischiosi, quali la connessione a siti web contenenti virus, o lo scaricamento di file in violazione del diritto d’autore, o il cliccare su allegati sospetti, può portare a una messa a rischio globale di tutti gli utenti.