Oggi tutti parlano di sicurezza informatica: i giornali ne scrivono molto e le notizie sull’argomento sono spesso lette con avidità. Ma per chi, come me, lavora nel settore IT la sicurezza non è una semplice notizia… ma una vera sfida!

Silvia Arezzini, INFN

Perché per noi grande è una preoccupazione: come si fa ad essere “sicuri” della nostra “sicurezza”? E non è un gioco di parole ormai, infatti, sulla sicurezza informatica si gioca (!) una gran parte dell’organizzazione di un’azienda o di un dipartimento o di un ente di ricerca, come quello in cui lavoro io.

Il vero problema è che non si può essere mai sicuri al 100%, perché in questo campo abbiamo a che fare con il concetto di rischio. Infatti, per quanto si lavori per realizzare un buon livello di security si corre comunque il rischio che qualcosa vada storto e che quindi si verifichi il tanto temuto incidente di sicurezza!

Perché?

Perché gli aspetti tecnici non esauriscono il problema: non basta aver predisposto misure appropriate, studiato l’approccio corretto, selezionato apparati hardware e prodotti software di eccellenza. Nel campo della sicurezza informatica è infatti sempre presente un “fattore umano” insopprimibile, un elemento critico che può materializzarsi all’improvviso provocando il crollo delle difese predisposte con attenzione e arguzia.

È noto il fenomeno del phishing che con i suoi più recenti fratelli smishing e vishing, consiste in messaggi di posta elettronica o sms o addirittura telefonate dall’apparenza innocua, ma diretti a carpire informazioni capaci di aprire ai malintenzionati le porte digitali di casa nostra (e del nostro luogo di lavoro…).

È un fenomeno tipico in cui il fattore umano gioca un ruolo cruciale e rappresenta uno dei rischi che corriamo ogni giorno!

Ma non è il solo. Frodi basate su falsi messaggi di posta elettronica, mancata installazione di antivirus, password di default non modificate al momento dell’immissione in rete: questi sono solo alcuni esempi di pericoli, non sempre facilmente individuabili, e tutti originati non esclusivamente da mancati accorgimenti tecnici, bensì riconducibili all’uso di programmi, strumenti e applicazioni informatiche da parte degli utenti di una organizzazione.

Ma quindi, se le fonti di rischio non sono eliminabili, dovremmo forse rinunciare? Certo che no! Anche se non possiamo eliminare del tutto questi rischi, possiamo almeno provare a ridurli! Come?

Credo che un buon modo possa essere quello di creare, coltivare e far crescere una “cultura della sicurezza informatica”, una sorta di consapevolezza e sensibilità che accompagnino la nostra vita lavorativa, un valore aggiunto alle nostre professionalità specifiche all’interno di una organizzazione.

La “cultura della sicurezza informatica” riguarda tutti, non solo gli informatici: riguarda gli amministrativi, i tecnici, i dirigenti e si fonda sulla volontà di proteggere i beni comuni, le infrastrutture, gli apparati, i dati. In sintesi: proteggere la nostra organizzazione.

Come realizzare questa cultura?

Mille i modi possibili, infinite le combinazioni…

Noi dell’IT certo, abbiamo un ruolo importante: quello di promuoverla attraverso la nostra competenza e magari attraverso la disponibilità a confrontarci con i colleghi ed a spiegare il perché delle regole o delle proibizioni che vengono introdotte. Informazione quindi, ma anche formazione. Ad esempio, istituendo dei percorsi, anche in e-learning, aperti a tutti gli utenti e orientati a spiegare alcuni dei comportamenti pericolosi e delle misure da attuare per la riduzione dei rischi.

E i colleghi? Che ruolo dovrebbero avere?

Penso che anche per loro il primo compito dovrebbe essere quello di informare: segnalare eventi strani e messaggi sospetti agli addetti IT è quasi scontato, meno scontato è il contatto da ricercare per capire come organizzare le proprie attività professionali in modo da ridurre i rischi informatici, ad esempio introducendo nelle procedure dei vari uffici controlli periodici o verificando con costanza i meccanismi di ripristino dei dati simulando eventi distruttivi.

Un ruolo speciale lo attribuisco poi alla dirigenza, che oltre a promuovere questa cultura dovrebbe agevolarla nei modi più appropriati per l’organizzazione di appartenenza.

Nel mio Ente, l’INFN, abbiamo recentemente messo in piedi un paio di iniziative che agiscono in questa direzione:

• un corso e-learning in autoapprendimento sulla sicurezza informatica (livello base) destinato  a tutti coloro che richiedono l’accesso alle risorse informatiche dell’Ente, obbligatorio…. Un corso “fatto in casa” i cui moduli sono stati realizzati da colleghi sistemisti di diverse sedi. Il tono è colloquiale, ma le informazioni sono rigorose e alla fine si deve superare un test. È risultato, in generale, gradito ed è sicuramente utile per richiamare i concetti fondamentali della sicurezza.
• Un corso frontale destinato ai colleghi amministrativi, che si occupano di fatturazione e pagamenti, e orientato a sensibilizzare il personale sulle frodi informatiche, in particolare tramite e-mail.  Agli aspetti tecnico-informatici si sono affiancati gli aspetti tecnico-procedurali grazie alla collaborazione tra personale con differenti competenze. E il corso si è concluso con la redazione di una procedura di pagamento aggiornata che prevede alcuni controlli informatici in parallelo a quelli amministrativi.

Sono orgogliosa che all’INFN sia presente il desiderio di impostare e realizzare una cultura della sicurezza, non solo perché sono una “vecchia” sistemista che conosce i rischi del mestiere,ma anche perché sono membro del team DPO (Data Protection Officer): tra le mie attività di tutti i giorni campeggia quindi la privacy e… so per certo che non esiste privacy senza security!

Doppia cultura quindi: cultura della privacy e cultura della security, un passaporto per il progresso della tecnologia dove il “fattore umano” non è un ostacolo, ma una risorsa!