Metti una sposina che, a casa la sera, sola, quando suo marito è fuori a giocare a poker con gli amici, decide di ascoltarsi della buona musica.
Metti che voglia ascoltare proprio l'ultimo CD degli Artic Monkeys, di cui ha sentito un pezzo di sfuggita l'altro giorno in radio e che tanto gli è piaciuto.
Metti che il negozio di dischi sia chiuso e che la sposina non abbia altro a disposizione che il PC del maritino, di cui conosce la password di accesso.
Metti, infine, che sul notebook sia installato Kazaa...
Risultato: la sposina mette a disposizione della rete le informazioni di 17.000 tra impiegati attuali e passati del gigante farmaceutico Pfizer, dati contenenti informazioni sensibili come il Social Security Number associato al nome (leggete l'articolo su The Register per saperne di più).
Dimenticavo: il marito, come è lecito pensare, lavora alla Pfizer.
Risultato per la Pfizer: un'offerta ai dipendenti interessati di un servizio di monitoraggio del credito per un anno.
Cosa possiamo trarre da tutto questo?
Prima di tutto che non dovremmo lasciare le mogli sole a casa la sera, onde evitare accadimenti oltremodo spiacevoli.
Ma ancora più importante è la necessità di una serie di regole che le aziende dovrebbero implementare: innanzitutto di sensibilizzazione e di proceduralizzazione che si estrinseca nel comunicare che alcuni strumenti non possono essere installati dall'azienda e non devono essere installati dai dipendenti.
Dal momento che mettere solo un avviso non basta come misura contro un comportamento indesiderato, sarà necessario impedire questo tipo di comportamenti, e quindi installare appositi sistemi che impediscano l'installazione di software non desiderato oppure che ne consentano il monitoraggio.
Spesso nelle aziende non viene compreso che la maggior sicurezza è un fattore abilitante al proprio business: vengono implementate procedure utili solo qualora la normativa lo richieda.
A nessun ente, poi, viene demandato l'onere del controllo, ma solo nel caso di un procedimento giudiziario sarà possibile scoprire se l'azienda aveva ottemperato agli obblighi normativi (in Italia, la 196/03 impone alle aziende di proteggere i dati sensibili e di adeguare la propria sicurezza con il progredire delle minacce, implementando quindi nuovi sistemi e procedure di controllo).
Gli USA e il Regno Unito hanno fatto un passo in più: impongono alle aziende che hanno subito perdite di dati sensibili di avvisare le potenziali vittime e di darne quindi pubblica notizia.
Certo è che, nemmeno in questo caso, si avrà la sicurezza che l'azienda ottemperi all'imposizione normativa, ma le sanzioni, nel caso che la notizia arrivasse all'autorità giuridica, sono ovviamente severe.
Credo che alla fine il cerchio si debba chiudere sull'azienda che deve raggiungere la consapevolezza del grado di rischio che per sé stessa può avere una perdita di dati: reputazione, danni finanziari, procedimenti giuridici, multe, sono le potenziali conseguenze a cui può andare incontro.
Ho messo per prima la reputazione, proprio perché è quella che ha l'impatto maggiore: sia che si tratti di una banca, sia che si parli di un negozio online, la fiducia che l'utente ha nell'azienda che perde i suoi dati può calare vertiginosamente a fronte di una fuga di informazioni.
Nessun commento:
Posta un commento