Banche (inglesi) e sicurezza

Qual è il motivo per cui un impiegato di una delle maggiori aziende inglesi di credito al consumo , se ne gira con una borsa in macchina contenente i dati di 13.000 clienti?
Non trovate bizzarro che la borsa sia poi stata sottratta dalla macchina chiusa a chiave del suddetto impiegato?
Ad ogni buon conto, sebbene solo 1800 delle 13000 schede cliente contenessero dati sensibili come il nome, l'indirizzo, il numero di conto e l'ammontare del conto è difficile ipotizzare che possano essere commesse frodi su tali dati. Ma non si sa mai.
In ogni caso, i dati di 13.000 dei clienti di Halifax Mortgages sono ora nelle mani di sconosciuti che potranno farne l'utilizzo che vorranno: lascio ai lettori formulare le ipotesi più birichine.
Viene da chiedersi il motivo per cui un'azienda spenda centinaia di migliaia di sterline per rendere le transazioni elettroniche sicure e a prova di hacker, mentre lasci gli impiegati alla mercè di loro stessi, non sensibilizzandoli sulla rischiosità di un trasporto di informazioni fisico.
Viene anche da chiedersi perchè trasportare le schede cartacee di 13000 clienti evitando così di doverle inserire in una scomoda chiavetta USB (sic!) dove potrebbero essere anche state crittografate.
Ora,è tempo che la Financial Services Authority, l'autorità di controllo inglese , faccia partire un'indagine per valutare quali siano le falle nei protocolli di sicurezza di Halifax.
Non dubito che siano state formulate e implementate delle policy riguardo alla sicurezza delle informazioni, atte a permettere l'implementazione di processi di governo e controllo dell'accesso e della distribuzione delle stesse.
Le policy sono però uno degli elementi necessari, che si accompagnano ad altri due, altrettanto fondamentali:

1. la diffusione della cultura della sicurezza;
2. la praticità d'uso degli strumenti.

La cultura della sicurezza (altrimenti detta security awareness) è una componente che deve permeare tutta l'organizzazione bancaria perché ogni singola persona che vi lavora sia consapevole del rischio associato a ogni sua attività (che non è mai nullo, neanche quando si va a prendere il caffè alla macchinetta): per far sì che permei l'organizzazione aziendale, è opportuno che venga accompagnata da una buona spiegazione dei vantaggi che si hanno con una maggior coscienza della sicurezza.
Come accompagnamento all'implementazione di processi e prassi viene poi l'usabilità degli strumenti: se, ad esempio, tutti i dipendenti di un'azienda sono coscienti delle procedure di mantenimento della sicurezza, ma hanno a disposizione degli strumenti tecnologici poco efficienti o difficili da usare, tenderanno a utilizzarli scarsamente, se non addirittura a metterli da parte. Se, supponiamo, nel caso dell'Halifax, fosse stato consegnato e spiegato al dipendente un programma facile da usare che crittografasse i dati e permettesse di conservarli in una chiavetta USB, il problema probabilmente non si sarebbe creato.
Lo strumento, quindi, deve essere sicuro, e sarà tanto più utilizzato quanti più vantaggi porterà alla normale attività lavorativa.
Il Regno Unito, negli ultimi tempi, è particolarmente sensibile alla questione: per la sparizione di un notebook contenente (potenzialmente) i dati sensibili di 11 milioni di utenti, la Nationwide è stata multata di 980.000 sterline. Anche in questo caso, con l'installazione di un programma di cifratura dei dati, i danni potenziali sarebbero stati più contenuti.