La protezione inizia dall’utente

Sicurezza

Gli endpoint aziendali sono i punti di accesso alla rete più numerosi e
critici in quanto gestiti direttamente dagli utenti

Quante volte è stato ribadito sia il dato inconfutabile che l’utente finale rappresenta l’anello più debole nella catena della sicurezza aziendale sia che se debitamente informato e formato può sicuramente contribuire attivamente alla protezione dell’architettura IT?

Spesso, i singoli dipendenti sono utilizzati a loro insaputa come punti di accesso alla rete aziendale da parte di malintenzionati. Purtroppo l’elemento umano possiede una gamma di reazioni talmente vasta da risultare praticamente impossibile da prevedere, prevenire e proteggere. E’ vero che la sicurezza al 100% non esiste in alcun settore, ma gli utenti rappresentano sicuramente un punto debole per qualunque struttura. Oltre agli attacchi classici infatti, i singoli utenti possono essere soggetti anche ad attacchi di ‘social engineering’. Si tratta di tecniche ormai sofisticatissime che facendo leva su alcune caratteristiche o predisposizioni psicologiche del destinatario lo convincono ad operare alcune azioni che portano l’attaccante a guadagnarsi l’accesso al sistema dell’utente.

Un esempio per tutte. Ultimamente nelle caselle degli utenti sono iniziate a comparire mail provenienti da un fantomatico capitano Prisco Mazzi. Questo tipo di mail punta sull’autorevolezza del mittente per intimorire il destinatario e indurlo ad aprire l’allegato. Ecco quindi che, facendo perno su uno degli aspetti psicologici propri dell’utente (ma sconosciuti a una macchina) lo si induce a un’azione programmata. Per lo stesso motivo quindi un dipendente spesso risulta sempre più imprevedibile di un firewall.

Ma che male faccio?

Ogni giorno, i dipendenti commettono alcuni errori grossolani, ad esempio inviano le proprie password consentendo ad altri di visualizzarle, scaricano e aprono allegati di posta elettronica contenenti virus, utilizzano chiavette e lettori mp3 per portarsi a casa dati aziendali, aprono caselle personali di webmail oppure installano software P2P. L’errore umano, e non gli eventuali difetti del sistema, rappresenta la causa principale di violazioni della protezione, secondo quanto indicato nel ” Committing to Security Benchmark Study” condotto dalla Computing Technology Industry Association (CompTIA). L’utilizzo delle chiavette ad esempio non rappresenta solo un rischio nel momento in cui il dipendente vi trasporta dati aziendali critici e poi la dimentica in palestra, ma può costituire una fonte di rischio anche nel caso in cui avvenga il contrario. Documenti e programmi privati dell’utente possono infatti essere salvati sulla chiavetta e quindi aperti o utilizzati sul computer aziendale.

Inserire una chiavetta Usb privata e utilizzarvi il contenuto altrettanto privato sul luogo di lavoro comporta una lunga serie di rischi per la sicurezza ed espone comunque il dipendente a sanzioni disciplinari, in quanto utilizza uno strumento aziendale per fini personali. Per quanto riguarda la sicurezza invece è da evidenziare come documenti creati su computer casalinghi, che adottano sistemi di protezione sicuramente meno efficaci di quelli attivi a livello aziendale possano infettarsi molto più facilmente e quindi agire da perfetti Trojan Horse.

McAfee ha recentemente presentato i risultati di una ricerca commissionata in sei nazioni in Europa, con Lo scopo di comprendere i danni all’organizzazione causati dalla perdita dei dati e il livello cui i dipendenti mettono a rischio i dati aziendali più importanti. Ne sono emersi alcuni dati inquietanti. In base ai risultati della ricerca infatti è emerso che in media, 11 documenti riservati vengono portati fuori dagli uffici europei ogni settimana su dispositivi portatili, mentre addirittura il 52% dei dipendenti europei porterebbe con sé i dati aziendali al momento di andarsene. I documenti interni di ogni giorno e i dati dei clienti sono invece due delle tipologie di documenti più comuni che vengono portati al di fuori dell’azienda in modo elettronico o fisico. Seguono le informazioni finanziarie dell’azienda. Le chiavette Usb sono il dispositivo portatile più diffuso con oltre un quarto dei dipendenti (26%) che li utilizza regolarmente per rimuovere le informazioni. Quello che è peggio è che invece di trattare questi dispositivi con cura, il 15% degli impiegati europei li ha prestati ad altri. Per cercare in qualche modo di arginare il problema, le aziende dovrebbero stabilire rigide policy di utilizzo delle chiavette Usb. Attenzione comunque che anche nel caso dell’utilizzo delle chiavette Usb può non esserci premeditazione, ma semplicemente mancanza d’informazione. A un dipendente non informato dei rischi ai quali può esporre la propria azienda non sembra infatti di agire in modo rischioso, se durante la pausa pranzo termina di aggiornare i conti di casa sul foglio excel che ha salvato sulla chiavetta.

Attacco alle retrovie

Sempre in base ai risultati della ricerca MCAfee è risultato che i servizi di posta elettronica Web e anche l’IM vengono utilizzati per trasferire informazioni confidenziali fuori dall’azienda. Questi due strumenti, ancora più che nel caso delle chiavette Usb aprono pericolosissimi varchi all’interno del perimetro di difesa aziendale. Nel caso delle webmail ad esempio, i messaggi ricevuti e inviati possono sfuggire ai controlli dei programmi di protezione aziendale, attivi e in ascolto solo sui canali che generalmente vengono utilizzati per la posta aziendale.

Molti dipendenti utilizzano normalmente questi metodi che consentono loro di aggirare le misure di sicurezza. Sempre secondo i risultati della ricerca McAfee infatti, un quarto (26%) di coloro che hanno inviato informazioni dei clienti al di fuori dell’azienda hanno ammesso di aver utilizzato servizi di email web come Yahoo o Hotmail. Pessimi risultati anche per quanto riguarda l’uso di programmi di Istant Messagging. Anche in questo caso, circa un quarto (23%) di coloro che ammette di inviare documenti al di fuori dell’azienda ha utilizzato anche servizi di Instant Messenger (IM) per trasferire piani di business aziendali mentre uno su cinque (20%) ha inviato informazioni finanziarie aziendali e spreadsheet utilizzando IM.

I programmi di Istant Messagging rappresentano ancor più della posta via Internet una pericolosissima falla nel perimetro di difesa aziendale. L’IM è infatti è stato recentemente utilizzato per diffondere botnet e worm (come la famiglia Mytob) ma gli utenti sono stati spinti a rivelare informazioni confidenziali da parte di criminali informatici utilizzando falsi account IM. In questo caso, a differenza delle chiavette Usb (che in qualche modo possono comunque risultare utili per determinate attività aziendali, che ne giustificano quindi l’inserimento nelle policy aziendali) il sistema di protezione migliore risulta quello di disabilitare completamente questi servizi. La Webmail e i canali utilizzati sia dagli Istant Messanger e dai programmi P2P possono essere infatti completamente disabilitati applicando le corrette configurazioni ai firewall aziendali.

Conclusioni

Tre semplici strumenti come le chiavette Usb, gli Istant Messanger e la webmail, a disposizione di utenti non debitamente informati, possono vanificare l’intera politica di sicurezza It a livello aziendale. Ribadiamo il fatto che spesso l’utilizzo improprio degli strumenti menzionati non è effettuato dal dipendente con intenzioni dolose. Purtroppo infatti, la mancata informazione/formazione dell’utente gli autorizza implicitamente comportamenti e strumenti che possono rivelarsi dannosi per l’intera azienda. In alcuni casi, come per i servizi personali di webmail e gli IM è possibile intervenire preventivamente disabilitandoli. In altri casi invece, come nell’utilizzo di chiavette Usb è più semplice informare debitamente l’utente e includere l’utilizzo dello strumento all’interno di apposite policy.

Autore: ITespresso
Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore