Sicurezza informatica interna e politica del personale

Sicurezza informatica interna e politica del personale

La Sicurezza informatica interna non è un concetto che deve essere noto solo al settore Sistemi Informativi che se ne occupa ma deve essere impartito a tutti i livelli. Bisogna quindi sensibilizzare i dipendenti sul loro comportamento e sulle consegueze che le loro azioni potrebbero provocare. Ad esempio, se un dipendente scrive su un foglio le proprie credenziali d’accesso (nome utente e password) e poi getta il foglio nel cestino, un attaccante impersonato da un dipendente dell’impresa di pulizie potrebbe entrarne in possesso ed intrufolarsi nel sistema. L’ignoranza  del  personale  in  materia  di  sicurezza  può  considerarsi  un  anello debole del sistema che gli hacker possono sfruttare utilizzando il Social Engineering.

Sicurezza informatica e ignoranza del personale
L’ignoranza del personale può rappresentare l’anello debole del sistema di sicurezza informatica

Il  Social  Engineering  è  una  tipologia  di  attacco  che  manipola  le  persone servendosi di tecniche psicologiche per carpire informazioni utili dai dipendenti quali ad esempio password che permettono l’accesso al sistema. Per evitare che il  personale  rappresenti  il  punto  debole  del  sistema  di  Sicurezza è  importante che le aziende si occupino della loro formazione facendo in modo che il concetto di sicurezza informatica sia impartito non solo al settore aziendale che se ne occupa ovvero i sistemi informativi ma a tutti i livelli a partire dalla segretaria fino a raggiungere i vertici più alti.

Il crittografo e saggista statunitense Bruce Schneier a tale proposito scrive: “La sicurezza non è un prodotto, è un processo.  Inoltre non è un problema di tecnologie bensì di persone e gestione.”

Infatti  il  punto  debole  della  sicurezza  è  rappresentato non  tanto  dalle  tecnologie  che  vengono  continuamente  aggiornate,  rendendo  più  difficile  agli  hacker la  scoperta  di vulnerabilità,  ma  dal  fattore  umano  in  quanto  sfondare  questo tipo di firewall non richiede alcun investimento oltre il costo di una telefonata e comporta un minor rischio. L’arte del social engineering quindi non richiede necessariamente delle conoscenze approfondite in campo informatico come testimonia il più ricercato hacker Kevin Mitnick il quale utilizzo’soprattutto l’astuzia e la persuasione per penetrare le reti di grandi società di telecomunicazioni tra le quali compaiono: Pacific Bell e Motorola, Nokia, Fujitsu, Novell e NEC.

“Quando non molto tempo fà ho deposto davanti al congresso ho spiegato che spesso riuscivo ad ottenere password ed altre informazioni delicate dalle aziende fingendo di essere qualcun altro e banalmente chiedendole”. Kevin Mitnick, L’arte  dell’inganno, 2002.

Precedente La sicurezza informatica: tutte le tipologie di attacchi esterni Successivo Sicurezza informatica e archiviazione dei log di sistema

Lascia un commento

*