Il tema della cybersecurity è ormai oggetto quotidiano di interesse per molte imprese ma non è considerato come una priorità, soprattutto per le PMI. Recentemente (marzo 2017) è stato presentato, nell’ambito del Cybersecurity framework un report su 15 controlli essenziali rivolti alle PMI e alle microimprese.
Nel report, a cui peraltro ho dato un piccolo contributo con molti colleghi, vengono riportate misure tese a consolidare la sicurezza delle aziende di dimensione medio piccola che, nel caso italiano, sono la maggioranza.
I controlli essenziali consentono di costruire una governance efficace della sicurezza in azienda, tuttavia va detto che anche questo framework rischia di essere inadatto alla situazione quando un solo imprenditore, o una impresa a conduzione familiare, portano avanti le attività senza considerare l’IT come una priorità.
Le aziende sono sempre meno strutture da proteggere in una sede o un edificio isolato, spesso possono vivere in uffici condivisi o co-working oppure il personale lavora in mobilità. In questo contesto la sicurezza è sempre meno perimetrale, i dispositivi personali sono condivisi tra orario di lavoro e non per cui non possono avere vincoli troppo stringenti o limitazioni nell’installazione di software o configurazioni personalizzate. In questo contesto è difficile applicare sistemi e logiche di sicurezza disegnate secondo un protocollo troppo rigido, più che difendere un fortino è necessario pensare a difendere persone singole in un territorio insicuro. In questo caso, aumentare la sicurezza si può solo aumentando la consapevolezza personale e la dotazione di strumenti e tecniche.
Proviamo allora a dare dei suggerimenti che possono aiutare la PMI (ma anche le imprese di ogni dimensione) ad aumentare il livello di sicurezza in modo pratico. L’adozione di buone pratiche e un buon framework rimane la cosa migliore ma, facendo tesoro della massima, “il meglio è nemico del bene”.
Anzitutto è necessario comprendere quanto è importante per noi la sicurezza informatica e valutare con attenzione i danni che potremmo ricevere senza averla in adeguata considerazione. Questa è la cosa più importante perché ogni misura di sicurezza che adottiamo comporta un costo in tempo, risorse o attenzione ed è necessario che questo costo sia conveniente ovvero non sia minore del costo che avremmo da una perdita di dati. Qui possono aiutare delle semplici domande da farsi: cosa voglio proteggere? Da chi mi voglio proteggere? Quanto possono essere brutte le conseguenze di una perdita? Quanto è complicato e costosa la prevenzione di un attacco? Farsi un esame può aiutare a prendere coscienza delle nostre necessità.
Visto che ormai molte aziende lavorano molto di più fuori dall’ufficio che dentro è importante curare questi aspetti. Concentriamoci su quattro aspetti di sicurezza:
- Aspetto umano, nessuna tecnologia sarà mai sicura se dietro non c’è una persona intelligente che adotta comportamenti sicuri. Riguarda il comportamento che possiamo avere per evitare che la nostra sicurezza informatica sia inefficace.
- Vulnerabilità del dispositivo riguarda le misure da adottare affinché un intruso che venga in possesso del nostro dispositivo (sia fisicamente che virtualmente) non possa accedere ai dati.
- Sicurezza della rete riguarda la sicurezza della comunicazione, la protezione degli account nonché aspetti non rilevanti ai fini aziendali come la non tracciabilità.
- Sicurezza dei messaggi riguarda gli aspetti di protezione del contenuto in termini di confidenzialità.
Tratteremo gli aspetti con semplici suggerimenti che non ci metteranno al sicuro dagli hacker di qualche governo straniero o nostrano ma impediranno al truffatore di poterci rubare da ingenui. Esistono misure di sicurezza che possono consentire di aumentare notevolmente il profilo di sicurezza ma è bene ricordare che se veniamo messi sotto attenzione specifica di hacker governativi diventa molto difficile proteggersi, la sicurezza per quanto elevata possa essere è sempre in funzione del tempo. Non esiste fortezza inespugnabile se ho un tempo abbastanza lungo per assediarla e mezzi efficaci per farlo.
L’aspetto umano è il più importante, la gran parte degli attacchi ormai avvengono grazie a tecniche di social engineering come il phishing che è diventato molto sofisticato e pericoloso. La tecnica più semplice consiste nel inviare una mail che chiede all’utente di mettere dei dati sensibili su un sito o che ha un allegato apparentemente innocuo ma che installa un virus.
Nel caso del link ad un sito è necessario sempre essere diffidenti rispetto a dove puntano i link verificando prima di cliccare l’indirizzo. Bisogna fare molta attenzione poiché esistono tecniche che utilizzano le diverse combinazioni di caratteri per ingannare anche il lettore più attento. Ad esempio la tecnica omografica consiste nel registrare domini con nomi simili ad aziende famose e giocare sul fatto che alcuni caratteri possono confondersi tra loro in determinati font. Un po’ quello che accadeva con la macchina da scrivere che la “L” minuscola e l’”1” avevano la stessa forma. Ecco se registro www.payla1.com e lo faccio simile all’originale può accadere che qualche ingenuo ci metta user e password e io mi porto via i dati e i soldi. Situazioni di questo tipo ce ne sono molte di più di quello che si immagina.
In generale evitare di aprire email da persone o organismi non conosciuti, adottare client di posta che fanno una buona selezione. Molto meglio farsi mandare una mail due volte che un virus.
Bisognerebbe poi fare un trattato di raccomandazioni per come si fanno le password ma provo a riassumerlo: lunga, complessa, con numeri e punteggiatura, cambiata spesso. Qui tornano utili dei programmi da tenere sul proprio computer che fanno la password per voi e che ve le tengono tutte insieme in modo che non sia scomodo utilizzarle. Con una sola password potete aprire questi programmi che poi si occupano di darvi la password giusta o di inserirla per voi. Evitate come la peste di utilizzare una sola password ovunque e abbiate inusitata diffidenza verso soluzioni salvifiche che vi promettono sicurezza facendo una password presso un provider che poi ci pensa lui a rendervi sicuri.
È molto raccomandato di utilizzare le password a due fasi. Molti siti ormai le utilizzano. Consiste nel configurare le opzioni in modo che oltre alla solita password, per entrare, è necessario inserire un codice che ci viene inviato ad esempio tramite sms o che ci fornisce una app specifica. Questo migliora in modo notevole la sicurezza.
La vulnerabilità del dispositivo è un altro aspetto importante, qui si può adottare la tecnica di crittografare il disco rigido o le chiavette. MacOS ha la funzionalità già presente nel sistema operativo, in altri casi esistono dei prodotti commerciali. Ormai ognuno di noi ha un portatile, un tablet o un telefono con il quale lavora in ufficio, a casa o in giro. Nel caso dei dispositivi mobili (telefono e tablet) è bene sapere che sono già crittografati, ormai sono anche rintracciabili attraverso i servizi di google o apple ed è bene registrarli affinché in caso di problemi ciò sia possibile. Nella gran parte dei casi è anche possibile rintracciare tablet e PC se opportunamente configurati.
Ma sopra tutte le raccomandazioni prendete in considerazione di aggiornare frequentemente tutte le vostre applicazioni, app, sistema operativo. È ormai un’operazione molto semplice, non perdete occasione di farlo. Questo vi consente di avere il sistema in grado di rispondere alle sempre nuove minacce e vulnerabilità.
Infine, sempre su questo tema, non bisogna dimenticare di installare e tenere aggiornato un buon antivirus e fare un backup frequente.
Per quanto riguarda la sicurezza della rete è importante sapere che le nostre connessioni su internet (fisso e wireless) non sono protette a sufficienza. Non basta la password del wi-fi o anche la rete mobile (ormai la gran parte delle volte usiamo il wireless). Il nostro traffico potrebbe essere rilevato e raccolto dalla società “partner” dove stiamo facendo una riunione, da un intruso, dal un cliente del bar dove lavoriamo, persino da casa, ecc. È bene dunque adottare misure minime ma efficaci che consentono di ovviare a questo problema.
Quando ci colleghiamo ad Internet e mandiamo una mail, ad esempio, inviamo i dati del nostro account e anche se i siti sono “sicuri” con il protocollo SSL (il lucchetto che compare di solito nei browser) questo traffico potrebbe essere intercettato e decodificato. Se poi accediamo alla posta con una applicazione, il server del provider potrebbe accettare solo connessioni insicure (o potrei non averne configurata una sicura) o password in chiaro. Per ovviare a questo problema potreste adottare una VPN (virtual private network) commerciale che per qualche decina di dollari l’anno vi mette a disposizione un canale sicuro tra voi e il loro server da mobile e da PC (le aziende più grandi possono configurarne una VPN aziendale ad esempio per dare accesso ai servizi interni ma di solito è necessario un buon livello di competenze interne per avere un buon servizio). Una VPN commerciale è una ottima soluzione anche per aziende più grandi che vogliono avere un buon servizio affidabile da molti paesi, scegliere tra le diverse opzioni disponibili richiede una buona conoscenza delle proprie esigenze e delle caratteristiche tecniche.
Per chiarire il concetto di VPN quando comunicate via internet è come mettere informazioni in bottiglie e farle arrivare lasciandole navigare in un fiume, chiudere bene la bottiglia (il protocollo https per esempio) è una ottima idea per proteggerla se qualcuno la prende ma la VPN consente di “intubare” le vostre bottiglie in un involucro a protezione per cui renderete molto più complicato arrivarci, bisognerà prima aprire il tubo. All’altro capo del tubo (e spesso potrebbe essere anche in un paese straniero o in una altra città) ci sarà un canale molto grande che emerge dal vostro provider VPN e ciò renderà molto complicato cercare la vostra bottiglia. Questo vi renderà difficilmente rintracciabili e non darà informazione su dove siete (o meglio la saprà solo il vostro provider VPN che però in molti casi volutamente non conservano informazioni).
Esiste poi una soluzione ancora più sofisticata che è il protocollo TOR ma sono cose utili se volete sfuggire alla censura di una dittatura o magari se lavorate in paesi poco democratici per trasferta e le tralascio.
Infine la sicurezza delle comunicazioni e dei messaggi. Ormai tutti adottiamo mail, sistemi di messaggistica, accesso a servizi web. Sulle mail la cosa importante è quella di accedere o attraverso web sicuro (ovvero con protocollo https) oppure di accedere con una applicazione di posta elettronica avendo cura di utilizzare dei server configurati in modo sicuro. Spesso la configurazione più semplice è senza sicurezza e molti di default lavorano così. In alcuni casi i provider di posta elettronica non pubblicizzano bene le configurazioni di posta sicure anche se le hanno. Bisognerebbe utilizzare solo accessi sicuri, assicuratevi che il vostro client di posta elettronica per accedere al server utilizzi il protocollo TLS o altri sicuri.
Per quanto riguarda gli accessi ai servizi web è bene utilizzare sempre il protocollo https, senza di esso non abbiamo la certezza che le comunicazioni tra noi e il sito siano protette o meglio abbiamo la sicurezza che non lo sono.
Per quanto riguarda la messaggistica da mobile esistono diverse applicazioni che vantano maggiore o minore sicurezza (WhatsApp, Telegram, Signal…), per un uso corrente basta anche WhatsApp che è maggiormente diffuso, se invece inviate messaggi o fate chiamate di lavoro che necessitano maggiore sicurezza è meglio Telegram o Signal. Se poi volete rendere tutto molto sicuro fate la chiamata o mandate il messaggio attraverso questi strumenti dopo aver attivato una VPN.
Queste sono misure semplici e facilmente applicabili, resta il fatto che nel caso la propria azienda si ritiene abbia dimensioni e/o esigenze particolari è consigliabile rivolgersi a professionisti che possano aiutare a valutare correttamente i rischi e le soluzioni, che possano confezionare le migliori tecniche per proteggere il proprio business.
