Affrontare, in termini di risk assessment, la valutazione del fattore umano, nella configurazione di processi di gestione dell’Information Security, implica tenere in considerazione, almeno due modelli tecnologici, la cui piena delimitazione, anche da un punto di vista giuridico, non é sempre di cosí immediata comprensione e disciplina. Mi riferisco, in particolare, a quei particolari domini applicativi definiti dagli acronimi BAN (Body Area Network) e PAN (Personal Area Network).
Si tratta, dei domini applicativi piú prossimi all’individuo, inteso come persona fisica, costituiti dall’insieme dei device e delle applicazioni su di essi funzionanti, collegati tra loro, con i protocolli disponibili, indossati dall’uomo o, in alcuni casi impiantati nel corpo umano.
Know how & attack surface
Conseguenza della diffusione dell’uso del modello descritto, dal punto di vista della sicurezza delle informazioni, è l’ampliamento, senza precedenti, della superficie di attacco disponibile ad attivitá illecite di malintenzionati in possesso del necessario know how.
Cioè, diversamente da quanto avveniva in passato, quando la sicurezza delle informazioni, quella logica in particolare, si esprimeva nella protezione di risorse localizzate, in un’area individuata, presidiabile con il vantaggio della conoscenza del perimetro da monitorare, ora la superficie esposta di una organizzazione è ampia tanto quanto è distante il piú lontano dalla sede dei suoi dipendenti in un dato tempo.
Ciò implicando, non solo la necessità di confrontarsi con la sicurezza intrinseca, del dispositivo impiegato, per esempio, dal dipendente in trasferta, che dovrá proteggerlo secondo le politiche stabilite (evitando reti non protette, custodendolo in modo appropriato e usando i vari sistemi di autenticazione), ma anche la necessità per l’organizzazione di confrontarsi, con le norme dei vari Stati in cui i dati del dispositivo, e/o il dispositivo stesso, si trovano.
Senza entrare nel merito, delle problematiche legate al cloud computing ed alle norme in materia di esportazione dei dati, si pensi, per intendersi, alla differente intensitá delle procedure di controllo operate, dai differenti Stati alle loro frontiere, con riferimento ai dispositivi elettronici di elaborazione e al loro contenuto – che, in alcuni casi, consentono al personale di sicurezza, una vera e propria acquisizione logica di una copia dell’intero dispositivo in funzione per una sua successiva eventuale analisi.
The car’s hacking book
Per fare altri esempi di immediata comprensione, si può pensare al fatto che, da un punto di vista tecnologico, è senz’altro possibile ritenere una smartcar collegata ad un cloud accessibile via smartphone, come a un unico sistema informativo soggetto, in quanto tale, nei limiti del contesto tecnologico da considerare, alle regole previste e applicabili sia in termini di Information Security sia in termini di disciplina legale.
Ma, sia lo smarthphone, sia l’autovettura, entrambi componenti dell’unico ‘sistema informativo’ del nostro esempio, presentano rischi specifici di compromissione, correlati a tecniche di intrusione, manipolazione o danneggiamento, i cui esiti possono avere impatti dannosi, assai rilevanti.
Da un punto di vista legale, per esempio, in caso di violazione del sistema frenante di una smartcar potremmo dover considerare, oltre alle norme in materia di danneggiamento e accesso abusivo a sistemi informatici o telematici, anche quelle in materia di delitti contro la persona. Questo per aver provocato, in ipotesi, attraverso la violazione informatica, lesioni personali al conducente o ai passeggeri, ovvero la loro morte.
Nondimeno, la violazione dello smarthpone, analogamente a quanto appena chiarito, potrebbe implicare di dover considerare, per la protezione degli interessi o dei diritti lesi, le norme in materia di informazioni riservate o di tutela della corrispondenza.
In questo scenario diventa evidente quanto sia importante stabilire, per le organizzazioni che all’interno di esso devono operare, senza subire danni a cose o persone, dei criteri di massima da seguire nella disciplina dell’uso da parte del personale addetto, nelle varie funzioni, degli strumenti e delle informazioni di cui dispongono.
Byod or not Byod? Questo è il dilemma
La prima scelta da compiere per un’organizzazione in merito alle politiche di sicurezza da applicare nei confronti del personale dipendente è quella, non scevra di importanti implicazioni legali, relativa all’eventualità di impiego, da parte di quest’ultimo per finalitá correlate all’adempimento della prestazione lavorativa, di dispositivi di elaborazione propri da integrare, caso per caso e in base a regole prestabilite, con policy relative alla protezione del patrimonio aziendale.
Oltre le questioni legate al social enginering o a minacce piú marcatamente tecnologiche (malware, trojan etc.), a proposito del ‘bring your own device’ quello che è importante sottolineare, quanto a proteggibilitá delle informazioni aziendali allocate o elaborate per il tramite di un dispositivo ad uso promiscuo, è il fatto che, detta promiscuitá limiti, in alcuni casi totalmente, non solo il controllo preventivo sulla diffusione, la condivisione o l’accesso alle informazioni, ma soprattutto anche drasticamente la loro successiva stessa disponibilitá per indagini od analisi.
Ciò in quanto nel nostro ordinamento, e in ambito processual-penalistico, in particolare, vige la regola per cui nessuno puó essere costretto ad autoaccusarsi; con la conseguenza che, in termini pratici, nessuno, neanche il personale dipendente, può essere costretto a rivelare, banalmente, la password di accesso ai dati di un dispositivo di cui è proprietario.
Quindi, delle due l’una, o il dispositivo è di proprietá della organizzazione e viene usato nell’ambito di policy scritte, accettate e correlate a specifiche configurazioni del dispositivo stesso, che ne garantiscono, comunque, l’accessibilitá, oppure, il rischio che l’organizzazione corre è, in ultima analisi nel peggiore degli scenari, quello di perdere la disponibilità delle informazioni in esso contenute. Intaccando così uno dei tre pilastri del concetto stesso di sicurezza delle informazioni che, come sappiamo, devono essere: riservate, integre e disponibili.