La percezione (falsa) della sicurezza dei dati

10.06.20

La percezione (falsa) della sicurezza dei dati

Nell’era della digital transformation il patrimonio informativo aziendale e anche personale, fatto di dati, brevetti, progetti e proprietà intellettuali ha oggi un valore elevatissimo e, come tutti gli oggetti di valore, va protetto da eventuali attacchi esterni.

Per il nostro terzo appuntamento con Smart Meeting, il ciclo di incontri digitali inerenti alla comunicazione in epoca Covid-19, abbiamo parlato proprio di sicurezza dei dati.

Paolo Bain, titolare di Henko, società che si occupa di trasformazione digitale e tecnologie avanzate, ha realizzato un interessante contributo tracciando una panoramica a 360° sul concetto di dato, andando ad analizzare poi quali sono comportamenti corretti e sbagliati che normalmente vengono adottati. Sono emerse diverse case-history molto attuali ed interessanti che hanno acceso il dibattito tra i partecipanti e che hanno permesso di fare delle riflessioni circa i metodi per prevenire e proteggere le proprie informazioni digitali.

Semplicità non è sinonimo di sicurezza

Il Covid-19 ha costretto moltissime aziende, soprattutto tradizionaliste, ad affrontare un cambiamento che molto probabilmente non avrebbero mai neanche immaginato, ovvero quello di mettere i propri dipendenti in Smart Working.

Se da un lato questo ha significato guardare verso un’innovazione digitale non da poco, dall’altro ha portato con sé una serie di problematiche legate alla sicurezza dei dati personali e aziendali.

Riuscire a mettere in piedi un sistema di lavoro da remoto può risultare semplice, ma questa semplicità non significa per forza sicurezza. Banalmente tutti quanti dovrebbero cambiare i parametri di accesso del proprio router, evitando di lasciare quelli originali. I dati parlano chiaro: l’82% degli utilizzatori inglesi non ha mai cambiato la propria password e il 42% non sa neanche perché dovrebbe. Questo denota il fatto che il problema più importante nella sicurezza informatica risiede proprio nel comportamento umano.

Come rendere sicuri i propri dati?

Innanzitutto proteggere i propri dati in maniera efficiente ed efficace significa anche investire in quest’area e va considerato nel budget annuale di un’azienda. Si tratta a tutti gli effetti di un approccio strutturato e strategico, capace di tener conto del contesto in cui vive l’azienda e dei fattori che lo possono influenzare.

Si possono distinguere tre macro modalità di messa in sicurezza dei dati:

  • By design: lavorando a monte e quindi progettando un’infrastruttura sicura.
  • Implementazione: attraverso un aggiornamento costante dei propri software.
  • Behaviour: grazie al comportamento della singola persona.

Per i primi due punti si tratta di appoggiarsi a consulenti esterni del settore per ottenere la migliore sicurezza possibile. Il terzo punto, come accennato prima, è sicuramente quello più debole. Ormai c’è una sorta di overconfidence rispetto ai propri dispositivi ed alla tecnologia, ci si fida a prescindere, senza tenere davvero a mente i rischi derivanti da comportamenti poco attenti.

I casi Zoom ed Easyjet

Nel corso dello Smart Meeting sono emersi due casi molto recenti di violazione dei dati, uno riguarda Zoom e l’altro Easyjet.

Zoom, la piattaforma per eccellenza delle videoconferenze, recentemente tornata alla ribalta per gli aperitivi digitali durante il lockdown, ha sollevato molti dubbi circa la sua sicurezza e rispetto per la privacy. La compagnia di sicurezza informatica Cyble infatti ha scoperto che sarebbero stati venduti nel dark web le credenziali di circa 500.000 utenti registrati sull’app. Gli sviluppatori di Zoom hanno cercato di risolvere il problema, ma per il momento sono riusciti solo a nascondere il numero ID e la password dalla descrizione della videochiamata, sperando che questo migliori il livello di privacy.

Easyjet, la compagnia low cost britannica ha visto violate i suoi dati lo scorso maggio, nello specifico 9.000.000 di indirizzi e-mail e informazioni sui viaggi relativi ad altrettanti utenti, e anche i dati di circa 2000 carte di credito. Le persone coinvolte, a detta della compagnia, saranno avvisate tramite una mail per ridurre il rischio di phishing e truffe affini. Per quanto riguarda le carte di credito si ritiene sia molto probabile che queste siano state sottratte al momento stesso dell’immissione dei dati sul sito, compromesso già in precedenza a causa di un’errata configurazione in ambito sicurezza e violato poi successivamente da un malware.

Social Media e dati personali

Quando ci si iscrive su un social network si deve dare subito il consenso al trattamento dei dati, quindi in un certo senso deve essere messo in conto che, quando si compiono delle azioni (cliccare “mi piace” o “condividi”) e, più in generale, si interagisce con altri utenti si mette a rischio la riservatezza dei propri dati personali.

Il primo passo è quello di andare sulle impostazioni della privacy del proprio profilo e modificare i vari parametri a seconda di quello che ci interessa o meno far vedere agli altri. Evitare poi di condividere informazioni troppo personali e cambiare spesso password è un ulteriore passo avanti nella protezione dei propri dati.

Facebook inoltre da la possibilità di attivare l’autenticazione a due fattori: si tratta di sistema di sicurezza aggiuntivo dove viene richiesto di inserire uno speciale codice di accesso o eventualmente di confermare il tentativo di accesso ogni volta che qualcuno prova ad accedere al tuo profilo a Facebook con il tuo account da un browser o dispositivo non riconosciuto.

Nel caso di account rubato, Facebook mette a disposizione un form apposito dove la richiesta viene presa in carico, inoltre è bene andare a segnalare l’accaduto anche alla polizia postale.

Prevenire è meglio che curare

Per affrontare al meglio una violazione dei dati (data breach) è opportuno predisporre ruoli e procedure all’interno dell’organizzazione aziendale a monte. Questo significa non solo apportare una serie di adeguamenti tecnici, come per esempio il backup dei dati, ma anche formare il personale rispetto a queste tematiche. Si tratta quindi di sviluppare un sistema di sicurezza in cui prevenzione, monitoraggio e azioni di risposta siano tutte prese in considerazione e valorizzate con opportuni investimenti.

Nel caso di violazione dei dati è sempre e comunque necessario rivolgersi alla Polizia postale, sporgendo denuncia nei casi di reati in materia di truffe e crimini su e-commerce, phishing, hacking, ebanking e copyright. Non banalizzare questo tipo di reato è fondamentale, bisogna denunciare sempre affinchè la polizia possa essere efficacemente aiutata nel suo particolare ruolo di indagine e di repressione di questa tipologia di reati.

Ti è piaciuto l'articolo?

CONTATTACI
up