N° 150 APRILE 2006

Altro che problemi tecnologici, la sicurezza It non può prescindere dal fattore umano. Per esempio: vi siete mai chiesti quanto ognuno di noi nasconda un animo da hacker?

Partiamo da un presupposto, forse un po’ pessimista, ma molto reale: “impossibile difendersi”. Impossibile assicurare a un cliente un sistema infallibilmente sicuro. Perché? Perché il contrario sarebbe come dire che esiste una civiltà, una cultura esente da atti criminali. Un’Atlantide platonica. Che, però, è pura filosofia ideale.

Tutto parte dall’uomo
Perché la sicurezza informatica si basa su tre presupposti fondamentali: un atto “criminale”, una realtà (sociale o industriale) che crea il terreno a questo atto e un sistema che respinge o modera le conseguenze dell’atto. Solo quest’ultimo aspetto è tecnologico, tutto il resto è – e non va dimenticato nemmeno da chi crede che la tecnologia comunque possa tutto – umano, troppo umano. Culturale da una parte, psicologico dall’altra.
Per questo abbiamo improntato questa volta il tema della sicurezza da un nuovo punto di vista: chi sono gli attori diretti o indiretti del problema della sicurezza. In scena tre protagonisti di un dramma che si svolge, purtroppo troppo spesso, nelle realtà aziendali (anche se non sempre la cronaca fa in tempo a rilevarlo): il cliente, l’hacker (chiamiamolo genericamente così poi entreremo nei distinguo) e il consulente di sicurezza che dovrebbe stare tra l’uno e l’altro.
Ma c’è anche chi osserva da lontano, anzi no, molto spesso da vicino, lo spettacolo. Sono i rappresentanti della Icaa (International Crime Analysis Association) che Computer Dealer&Var ha avuto modo di incontrare nella persona di Roberta Bruzzone durante un seminario organizzato da Sophos in collaborazione con PcWare.
La Bruzzone, psicologa e criminologa, studia per professione diversi crimini, e non solo quelli informatici, e fa notare che «sì, gli hacker sono astuti e sempre più agguerriti e organizzati dal punto di vista degli attacchi fraudolenti, ma è anche vero che le aziende si stanno dotando per lo più di sistemi che controllano proprio gli attacchi esterni». Inermi, ancora molto inermi, invece, si è spesso rispetto agli insider.

Profilo psicologico
Dipendenti scontenti, personale assunto in fretta e furia, sottopagati e senza per forza mostrare un profilo più o meno spinto dal punto di vista criminale, la Bruzzone divide il mondo degli insider principalmente in tre categorie: quello degli high profile (sanno come e perché compiono un atto di cyber crimine); quello dei low profile (anche uno scaricatore di Mp3 rientra in questo contesto, tanto da essere punito esattamente con sei anni di reclusione, ovvero come se fosse un omicida colposo) e quello degli unaware (sono sempre meno forse, ma c’è ancora chi agisce inconsapevolmente rispetto a procedure di sicurezza interna).
Che fare allora di fronte a una società che sta producendo inconsapevolmente sempre più questo genere di crimini? Una risposta potrebbe trovarsi nella gestione del personale, oltre che nella tecnologia. Molti problemi hanno a che fare con l’insoddisfazione sociale. Anche se ovviamente questa non è affatto una giustificazione. Ma c’è anche un problema psicologico: dovuto all’avvicinarsi sempre più diffuso alla tecnologia che crea una sorta di tecno mediazione, ovvero di un meta strumento che non fa percepire la portata del crimine. La Bruzzone fa un esempio: «Voglio infastidire uno o fargliela pagare, scendo in strada gli graffio la macchina: sento il rumore della carrozzeria graffiata, ho in mano uno strumento capace di danneggiare, percepisco chiaramente che sto commettendo un danno e la portata di questo mi è subito evidente. Tutt’altra cosa è essere seduto alla mia scrivania a mandare un e-mail che danneggia o che insulta: l’apparecchio che ho davanti non mi fa comprendere a fondo il danno dell’azione».
Soluzione: antivirus e procedure aziendali sempre più rigorose sono probabilmente necessarie, «ma è il caso di fare cultura, informare e formare – spiega la Bruzzone -. E poi non sarebbe male creare un clima aziendale adeguato dopo aver utilizzato una selezione del personale attenta: 500 persone assunte in una settimana a un call center, nascondevano sette narcotrafficanti. Gli è andata ancora bene».

Certificazioni please
Detto ciò veniamo alla figura del consulente di sicurezza che, si capisce da quanto sopradetto, deve anche essere un po’ psicologo e magari anche un po’ criminologo. «Di fatto deve essere sempre più serio – commenta a proposito la Bruzzone -. Si trovano in giro ancora troppi pseudo consulenti, poco preparati e solo attratti dal mercato. E io dico che si fa sempre in fretta a spendere troppi soldi per comperare sicurezza». Oltre alla battuta, l’esperta di crimini informatici ha in mente il suo consulente ideale: «Che abbia almeno in curriculum le certificazioni necessarie come la Cissp o la Bs 7799. Già queste, di per sé, dimostrano che è un tecnico preparato».

LASCIA UN COMMENTO

Inserisci il tuo commento
Inserisci il tuo nome