Sicurezza informatica interna e politica del personale
La Sicurezza informatica interna non è un concetto che deve essere noto solo al settore Sistemi Informativi che se ne occupa ma deve essere impartito a tutti i livelli. Bisogna quindi sensibilizzare i dipendenti sul loro comportamento e sulle consegueze che le loro azioni potrebbero provocare. Ad esempio, se un dipendente scrive su un foglio le proprie credenziali d’accesso (nome utente e password) e poi getta il foglio nel cestino, un attaccante impersonato da un dipendente dell’impresa di pulizie potrebbe entrarne in possesso ed intrufolarsi nel sistema. L’ignoranza del personale in materia di sicurezza può considerarsi un anello debole del sistema che gli hacker possono sfruttare utilizzando il Social Engineering.
Il Social Engineering è una tipologia di attacco che manipola le persone servendosi di tecniche psicologiche per carpire informazioni utili dai dipendenti quali ad esempio password che permettono l’accesso al sistema. Per evitare che il personale rappresenti il punto debole del sistema di Sicurezza è importante che le aziende si occupino della loro formazione facendo in modo che il concetto di sicurezza informatica sia impartito non solo al settore aziendale che se ne occupa ovvero i sistemi informativi ma a tutti i livelli a partire dalla segretaria fino a raggiungere i vertici più alti.
Il crittografo e saggista statunitense Bruce Schneier a tale proposito scrive: “La sicurezza non è un prodotto, è un processo. Inoltre non è un problema di tecnologie bensì di persone e gestione.”
Infatti il punto debole della sicurezza è rappresentato non tanto dalle tecnologie che vengono continuamente aggiornate, rendendo più difficile agli hacker la scoperta di vulnerabilità, ma dal fattore umano in quanto sfondare questo tipo di firewall non richiede alcun investimento oltre il costo di una telefonata e comporta un minor rischio. L’arte del social engineering quindi non richiede necessariamente delle conoscenze approfondite in campo informatico come testimonia il più ricercato hacker Kevin Mitnick il quale utilizzo’soprattutto l’astuzia e la persuasione per penetrare le reti di grandi società di telecomunicazioni tra le quali compaiono: Pacific Bell e Motorola, Nokia, Fujitsu, Novell e NEC.
“Quando non molto tempo fà ho deposto davanti al congresso ho spiegato che spesso riuscivo ad ottenere password ed altre informazioni delicate dalle aziende fingendo di essere qualcun altro e banalmente chiedendole”. Kevin Mitnick, L’arte dell’inganno, 2002.