10 regole sulla sicurezza informatica preventiva.
Benvenute, e benvenuti, a una nuova serie di contenuti, che ho denominato "Il digitale per tutti" e che vi faranno compagnia tutti i venerdì mattina fino alla fine del 2023 su questo blog. Sono, essenzialmente, dei decaloghi nei quali ho elaborato una serie di regole, comprensibili anche per i non esperti, per affrontare singoli temi legati alla cybersecurity e agli attacchi informatici. Il fine è, ovviamente, quello di aumentare la sensibilità nei confronti di questi temi e, di conseguenza, le difese collettive.
Alcune premesse
S'intende per "sicurezza preventiva" una strategia di sicurezza informatica che cerca di effettuare delle analisi particolarmente accurate, sia teoriche sia pratiche, su tutti i rischi, gli attacchi, gli incidenti e gli "accidenti" che possano capitare a un sistema, a un servizio o a un utente.
Un primo passo, molto utile, può essere quello, ad esempio, di analizzare il rischio collegato al fattore umano e alle procedure che devono essere seguite in un determinato contesto produttivo.
Come sappiamo, il fattore umano e il mancato rispetto di regole e procedure (anche semplici) sono casi molto comuni di generazione di incidenti informatici.
Un approccio più "automatizzato" ed evoluto potrebbe poi prevedere la scansione di siti web e app web al fine di identificare delle vulnerabilità, sino ad arrivare a dei veri e propri penetration test (attaccando su commissione siti e servizi) per valutarne in concreto la robustezza.
Io trovo particolarmente utili - e, in alcuni casi, anche divertenti - degli esperimenti preventivi che consistono nell'organizzare delle simulazioni di attacchi di phishing dirette ai dipendenti di una azienda o di un ente (meglio se molto grande).
Elemento essenziale della prevenzione, è superfluo dirlo, è l'organizzazione di corsi di formazione dedicati alla cybersecurity per aumentare la consapevolezza di tutti coloro che trattano dati.
Infine, è opportuno analizzare le procedure interne per comprendere il livello di sicurezza dei dati in una organizzazione anche con riferimento alle misure di sicurezza adottate o da adottare.
DIECI semplici regole da seguire per comprendere questi punti
- Comprendere cosa sia e che fine abbia un'analisi del rischio per i diritti e le libertà degli utenti, ed effettuarla.
- Comprendere cosa sia una valutazione d’impatto, ed effettuarla per quei trattamenti che la richiedono (in particolare quelli che trattano i dati più delicati delle persone).
- Mettere al centro dell’analisi di sicurezza il fattore umano, sicuramente il più vulnerabile nella maggior parte dei contesti. L'uomo è, spesso, l'anello più debole della catena.
- Effettuare una costante scansione e monitoraggio dei siti web (propri e dei propri partner) per individuare possibili vulnerabilità nel codice e nella gestione dei contenuti.
- Effettuare una scansione dei servizi aperti dai siti web per verificare la possibilità di accedere ai dati o ai sistemi passando proprio da servizi poco sicuri o mal configurati.
- Effettuare una scansione delle app, soprattutto di quelle che accedono ai dati o agli archivi di una azienda o di un ente, anche se create da terze parti.
- Simulare attacchi di phishing nei confronti dei dipendenti prevedendo (piccole) sanzioni (ad esempio: l'obbligo di seguire un corso di formazione specifico per non farsi più ingannare) o premi (in caso di segnalazione agli amministratori della e-mail di phishing) a seconda della risposta all'attacco.
- Fare corsi di formazione specifici per tutti coloro che trattano i dati. I corsi potrebbero ben riguardare i temi della cybersecurity, della protezione della postazione di lavoro, del phishing e della gestione dei data breach.
- Elaborare delle procedure interne di sicurezza, applicarle (che non rimangano "sulla carta") e farle conoscere a tutti.
- Prestare attenzione alle misure di sicurezza tecniche e organizzative implementate e alla loro efficacia, aggiornandole costantemente.