Privacy e Cyber Security: alcuni campanelli d’allarme per le PMI

PrivacyECybersecurityPMI

Hai appena ricevuto l’incarico di consulente privacy: come capire il livello di preparazione di una società ai rischi cyber in un’ottica di GDPR compliance se non si è dei tecnici? La risposta è più semplice di quanto non sembri. Sappiamo tutti infatti che quando si parla di GDPR e CyberSecurity stiamo entrando in quella che noi chiamiamo la “tana del bianconiglio” data la facilità con la quale gli argomenti diventano complessi.  

Per quanto ci si avvalga di tecnici per l’analisi del livello di sicurezza o di checklist “up-to-date”, il problema persiste: come capire a quale gradino siamo effettivamente posizionati? Nella nostra esperienza ci sono alcune “cartine tornasole” o, per meglio dire, alcuni “campanelli d’allarme” che possono aiutare un consulente privacy a valutare il livello di sicurezza anche senza particolari competenze specifiche. Consideriamoli insieme:

  1. L’azienda non si è dotata di un gestore di password. Sembra che si finisca sempre lì vero? Eppure un gestore di password è il primo gradino strettamente necessario (e non sufficiente) per poter iniziare a ragionare in termini di sicurezza. Tutti noi sappiamo, infatti, quanto stressante e frustrante possa essere gestire le password in maniera corretta (e no, salvarle in un browser non è farlo in maniera sicura!): come possiamo pensare che gli utenti lo facciano se non gli diamo gli strumenti giusti e non gli insegniamo come fare? (Se non sai da che parte iniziare… qui trovi qualche idea!)
  2. Gli utenti non sono stati formati su come riconoscere il phishing. Secondo campanello d’allarme: se gli utenti non sono stati formati a riconoscere le email pericolose, probabilmente penseranno che siano come quelle di SPAM che gli arrivano nella loro cartella di posta elettronica personale: le simulazioni phishing servono esattamente a questo;
  3. Per collaborare si inviano versioni su versioni via email. Perché non rispettare il principio di minimizzazione dei dati e ottenere una gestione pulita ed efficiente dei documenti aziendali utilizzando software di collaborazione appositi?
  4. Gli utenti si scambiano le password tra di loro per accedere ai file. Campanello d’allarme simile al punto precedente eppure diverso da questo per due semplici motivi. Il primo è che se le password vengono sistematicamente comunicate ad altri per consentire gli accessi, è altamente probabile che la password – nel corso del tempo – diventi sempre più facile e utilizzi i classici escamotage per ovviare ai controlli automatizzati sul riuso delle password (tipo aggiungere un punto alla fine della password). Questo è un problema perché aumenta le probabilità di finire vittime di attacchi di tipo password spaying (magari fatti correttamente testando i bypass delle politiche di sicurezza più diffusi e quindi non risultanti in log per analisi bruteforce detection). Il secondo motivo è che i file sono solo nella postazione dell’utente e quindi il rischio di perdita dei dati (N.B. Non dell’intera struttura ma solo della singola postazione) è da considerarsi più elevato. Ci sono solo le copie di sicurezza calendarizzate: quant’è la finestra d’apertura del rischio?

Anche solo verificare questi campanelli d’allarme aiuterà a capire il livello di sicurezza della società e permetterà di indirizzare correttamente le implementazioni di sicurezza, magari a cominciare dal prossimo trimestre.