21.9.10

Google implementa l'autenticazione a due fattori sulle Google Apps

Fino a oggi, Google ha permesso di accedere agli account delle Google Apps attraverso un'autenticazione tradizionale mediante nome utente e password.
L'utilizzo sempre maggiore che viene fatto delle applicazioni di Google anche a livello professionale ha spinto il gigante della ricerca-e-non-solo a implementare un'autenticazione a due fattori, completamente gratuita e in grado di utilizzare un mezzo che tutti ormai hanno a disposizione: il telefono cellulare.
A differenza però di vari sistemi già adottati, ad esempio dai servizi di online banking, Google permetterà sia di ricevere una one-time-password via SMS, sia di installare una app sul proprio smartphone in grado di generarla.
Il codice di verifica generato o ricevuto dovrà essere inserito successivamente al nome utente e password.

Disponibile al momento solo negli Stati Uniti e solo nella versione a pagamento delle Google Apps, tra pochi mesi verrà rilasciato nella versione standard aperta a tutto il pubblico.
L'implementazione di Google è basata su uno standard aperto e l'app sarà open source, integrabile eventualmente con tecnologie di autenticazione di altri vendor e adattabile a svariate esigenze.

L'introduzione di un'autenticazione più efficace rimuove uno degli ostacoli che vengono percepiti dalle aziende circa l'adozione del cloud computing: la sicurezza. In questo modo Google si afferma sempre più come un fornitore di suite di produttività per le aziende

Inoltre, l'autenticazione a due fattori è stata da sempre una funzionalità cruciale e ciò che Google sta facendo è senza dubbio fondamentale perché sta aumentando il livello di attenzione nei confronti della sicurezza, affermando su scala planetaria che l'autenticazione a due fattori è una funzione ormai necessaria.
Se ce l'ha Google, devono averla anche le aziende che forniscono servizi più critici al pubblico!
Che ne pensate?

17.9.10

La formazione dei dipendenti in ambito sicurezza deve fare ancora molta strada

Social-Engineer.Org, un'organizzazione che ha lo scopo di aiutare le aziende a comprendere le minacce inerenti le tecniche di social engineering ha annunciato ieri la pubblicazione del rapporto finale sui risultati di una recente competizione tenutasi durante lo scorso Defcon 18 a Las Vegas. Scopo della gara era la raccolta di informazioni dalle aziende utilizzando tecniche di social engineering.
Tra le 15 aziende obiettivo di questo contest figuravano BP, Shell, Apple, Google, Microsoft, Cisco Systems, Proctor and Gamble, Pepsi, Coca-Cola, Symantec, Phillip Morris, Walmart, Mcafee e Ford.
Il rapporto pubblicato sul sito di Social-Engineer.Org rivela interessanti e al contempo allarmanti dati.
Ad esempio che non è necessario essere un esperto navigato in social engineering per penetrare con successo un'azienda: un attaccante senza esperienza ha comunque un facile accesso a risorse gratuite come Facebook, LinkedIn, Twitter, Google Search e Google Street View, risorse che, congiuntamente ai call center e agli uffici di customer service, costituiscono un'ottima fonte di informazioni da molte delle aziende obiettivo.
Per cercare di carpire informazioni dalle aziende "più tenaci" si è ricorsi a varie tecniche tra cui l'uso di pretesti credibili quali i sondaggi sulla soddisfazione dei dipendenti, camuffarsi da clienti inetti o da agenzie di collocamento per intervistare quegli impiegati che avevano pubblicato il curriculum vitae in un sito di ricerca lavoro.
L'obiettivo non era di raccogliere informazioni sensibili, ma di catturare delle "bandiere" corrispondenti a informazioni che possono costituire le basi per approntare un vettore di attacco successivo.
Ecco alcuni esempi di dati da raccogliere:
  • esistenza di una rete wireless aziendale;
  • il nome della rete wireless;
  • l'apertura di un URL;
  • le versioni di browser, lettore PDF, di sistema operativo con service pack, del software antivirusm del client email;
  • l'utilizzo di VPN;
  • come vengono smaltiti i documenti;
  • come viene smaltita la spazzatura;
  • il tipo di sistema telefonico;
  • il corriere utilizzato;
  • il processo di assunzione e licenziamento.
I risultati dell'analisi hanno mostrato che l'impiegato medio di un call center non ha avuto un adeguato training sulla sicurezza e, per questo motivo, non riesce a individuare un potenziale pericolo nella condivisione di informazioni che lui percepisce come insignificanti. Con le informazioni corrette, ovvero grazie alle bandiere citate sopra, un social engineer può fingersi un dipendente guadagnando così la fiducia delle persone chiave che in azienda possono portarlo alla compromissione di informazioni sensibili o confidenziali.
La grande sfida che devono affrontare le aziende che vogliono difendersi da minacce di questo tipo è di inserire in maniera adeguata un training anti ingegneria sociale all'interno del piano di formazione del personale.
Perché un piano di formazione sia veramente efficace, è necessario che coinvolga tutte le persone in azienda: i call center sono uno degli anelli deboli della catena perchè spesso non sono stati sottoposti a un programma di security awareness. Questo si può tradurre in fughe di informazioni e in incremento del rischio in azienda.
Ma il call center è solo la tradizionale punta dell'iceberg, la parte più evidente del sistema.
La dimostrazione dell'inefficacia del training (o della sua inesistenza) è stata riscontrata nella mancanza di resistenza degli impiegati alle domande loro poste: quando non esistono linee guida chiare per affrontare determinate situazioni, essi agiscono come il loro ruolo richiede, ovvero essere utili alla persona che chiama.
Le aziende devono anche agire nei confronti dei social network: questi strumenti costituiscono un vettore di informazioni notevole, ma ancora questa realtà non viene percepita dalle aziende che, sebbene ne possano gestire l'accesso con sistemi tecnologici, non danno direttive su come il singolo dipendente si debba comportare nei confronti della divulgazione di informazioni aziendali.

9.9.10

Nasce rischioblog, per segnalare violazioni della sicurezza aziendale, fughe di dati, frodi, crimini aziendali.

Nei giorni scorsi abbiamo tenuto a battesimo rischioblog, un contenitore di notizie provenienti da tutto il mondo e riguardanti violazioni della sicurezza aziendale, fughe di dati, frodi, crimini aziendali.
Trovano spazio in questo blog le violazioni e le frodi che avrebbero potuto essere evitate o mitigate attraverso adeguati strumenti di controllo, tecnologici e procedurali.
Un estratto dalla presentazione del progetto:
Lo scopo di rischioblog è di alzare il livello di attenzione sul tema delle minacce interne all'azienda che spesso hanno conseguenze più pericolose di quelle originate all'esterno, ma che, per la loro natura più "silenziosa" non godono di un pari e adeguato trattamento.
Quando esaminiamo il mondo della sicurezza, risulta chiaro che la gestione delle minacce più “rumorose” riceve molta più attenzione e investimenti di quella rivolta alle minacce “silenziose”. Ancora oggi, gli investimenti in sicurezza si focalizzano sul “perimetro”, ovvero qualla frontiera immaginaria che separa gli utenti e i sistemi interni all’azienda dal mondo esterno.
Negli ultimi anni l’utilizzo dei sistemi e dei dati è cambiato: abbiamo reso l’informazione più accessibile dai browser, aumentato gli accessi remoti e ci stiamo sempre più affidando ai servizi distribuiti. Parallelemente, anche i rischi si sono evoluti: accanto a quelli già presenti relativi alle minacce interne, si sono affacciati nuovi rischi derivati dal nuovo modo di accesso ai dati.
Si è venuto a creare un divario nella distribuzione delle risorse di sicurezza: le minacce al perimetro aziendale sono tuttora costantemente tangibili, e da tempo ormai tutte le aziende si sono dotate di protezioni come i firewall; ma nuove minacce alle nostre informazioni richiedono diversi controlli di sicurezza.
È quindi corretto e opportuno adottare misure di sicurezza preventive e contenitive, ma non sempre l’investimento viene approvato, per diverse motivazioni. Il budget annuale prevede che vengano rinnovate le manutenzioni dei prodotti che già sono stati implementati, più altri (pochi) investimenti che normalmente devono essere messi in ordine di priorità. Delle varie misure di mitigazione dei rischi, solo quelle più ad alta priorità possono concorrere per trovare la giusta messa in opera.
Le minacce silenziose godono di considerazione negli investimenti solo successivamente a un grave incidente, o quando vengono promulgate nuove leggi o normative industriali. In questo modo spendiamo molto di più (in capitali, tempo e risorse) cercando di rendere sicuri i nostri sistemi e le nostre reti, piuttosto che il patrimonio informativo che costituisce il vero motore del nostro business.
...continua
Qualora aveste segnalazioni di casi che ritenete possano essere pubblicati, scrivete a rischioblog (a) advanction.com (sostituire @ alla (a) ).

7.9.10

Come migliorare gli investimenti in sicurezza


Gli investimenti nella sicurezza sono spesso guidati dalla percezione
Quando il Direttore Generale di un’azienda si vede recapitare centinaia di messaggi spam alla settimana, sarà di certo più propenso ad approvare un’investimento in un sistema antispam.
E' qualcosa di tangibile che ha un effetto immediato sulla nostra percezione e interferendo con la nostra possibilità di lavorare: chiamiamo questa una minaccia "rumorosa", che si discosta dall'altro tipo di minaccia, ovvero quella "silenziosa" in grado di causare danni sostanziali, anche senza influire sullo svolgimento del nostro lavoro.
Nel primo insieme ricadono le minacce più conosciute, quelle di cui tutti parlano e quelle per cui è più semplice individuare soluzioni: parlo di virus, worm, spam, ovvero di quei pericolosi e noiosi fattori che giornalmente influenzano la nostra produttività.
La loro visibilità da parte non solo dei vertici aziendali, ma anche dei rispettivi consorti, di figli, amici e parenti tutti, rende più facilmente affrontabili e giustificabili gli investimenti per le contromisure da adottare.
Le minacce più silenziose, quelle che riguardano, ad esempio, la sottrazione di dati, sono molto più insidiose e agiscono con passo felpato. Spesso, quando accadono, risulta difficile dimostrarne l’impatto, e, a fronte di questo, è più arduo richiedere un investimento al proprio management quando non è possibile quantificare una perdita nei profitti o nei propri asset (intesi come elementi del proprio patrimonio).
Purtroppo, come ben afferma Bruce Schneier nel Saggio “Psicologia della sicurezza”, la sicurezza ha due facce: è sia una sensazione sia qualcosa di reale.
La faccia della realtà presenta una sicurezza che utilizza il calcolo delle probabilità per determinare quanto un rischio si possa verificare e come potervi far fronte con adeguate contromisure, data una quantità di informazioni necessaria e sufficiente in grado di supportare l’analisi.
La faccia della sensazione invece riguarda la percezione che noi abbiamo nei confronti delle minacce e delle relative contromisure: queste due facce, sebbene abbiano diversi punti in comune, non coincideranno mai
Le scienze psicologiche e cognitive considerano il “rischio come sensazione” un’importante vestigia del nostro viaggio evolutivo (http://dccps.nci.nih.gov/brp/presentations/slovic.pdf), sostenendo che la sensazione intuitiva è ancora il metodo predominante con cui l’essere umano valuta i rischi.
Un altra motivazione per cui è difficile sostenere un investimento di sicurezza e ottenerne l’approvazione è la visione negativa dell’argomento “rischio”.
Per chi non vi lavora direttamente, e voglio quindi parlare della stragrande maggioranza degli esseri umani, la sicurezza ha una connotazione negativa perché è legata al rischio, elemento di fronte al quale il cervello dell’essere umano, nel processo valutativo di una determinata attività, tende a fare una smorfia di fastidio e a darvi quindi un’importanza inferiore rispetto alle finalità ultime dell'attività (e ai suoi eventuali vantaggi).
Nella tabella seguente (prosaicamente realistica) ho cercato di evidenziare alcune caratteristiche valutative che concorrono alla decisione sull'investimento, comparando una soluzione antispam e un processo/soluzione anti-frode/fuga di dati.


Spam

Frode/fuga di dati

Caratteristiche salienti

Caratteristiche salienti

pericoloso

pericolosa

fastidioso

costosa

originato dall’esterno (grado di fiducia nell’attore: basso)

originata dall’interno (grado di fiducia nell’attore: medio/alto)



Effetti dell’introduzione di un antispam

Effetti dell’introduzione di una soluzione/processo antifrode

Aumento della produttività

Tracciamento dei flussi informativi/delle attività dei dipendenti

Diminuzione del malware in azienda

Allarmi su movimenti sospetti di dati

Il direttore ha la percezione (reale) di lavorare meglio...
e quindi
...i dipendenti lavorano meglio

Individuazione


Prevenzione


È indubbio che il grande clamore intorno ai pericoli di attacchi causati da malware condizioni fortemente gli investimenti in sicurezza per prevenirne gli effetti. Ma una volta che l’azienda viene protetta maggiormente mediante le relative soluzioni anti-, è opportuno che si focalizzi anche sugli altri problemi, quelli che al momento fanno meno rumore.
Forse una soluzione sta nell’aumentare il rumore di fondo che questo tipo di problemi comporta. Un aiuto viene, negli Stati Uniti e nel Regno Unito, da una serie di normative emanate negli ultimi anni che obbligano le aziende a denunciare ogni incidente di sicurezza che abbia avuto una qualche influenza sui fattori di Confidenzialità, Integrità e Disponibilità dei dati dei privati cittadini. The Breach Blog tiene traccia di questi incidenti dandone notizia non appena divulgati.
Le cause di incidenti che vanno per la maggiore sono le perdite di laptop, di CD/DVD o di chiavi USB, la sottrazione di dati di carte di credito, le fughe di dati in genere, l’errore umano nella gestione di dati sensibili o confidenziali.
Da parte nostra ci impegneremo affinché la conoscenza e le notizie vengano diffuse il più possibile, allo scopo di modificare la frase “Gli investimenti in sicurezza sono spesso guidati dalla necessità di adeguamento a normative o regolamentazioni (compliance).” in “Gli investimenti in sicurezza sono guidati dall’effettiva necessità di protezione delle informazioni in azienda.”

3.9.10

La sicurezza interna e la gestione di fotocopiatrici, scanner, stampanti, ecc ecc

Qualche settimana fa abbiamo constatato come delle fotocopiatrici non adeguatamente configurate possono trasformarsi in un potenziale forziere di informazioni che una volta lasciata l’azienda può avere destini tra i più svariati (vedi articolo).
Oggi ci colleghiamo all'articolo precedente, riparlando di strumenti di gestione documentale "fisica" e quindi non solo di fotocopiatrici ma anche dei cugini scanner e stampanti.
Ebbene, ultimamente si è consolidato il costume di collegare in rete anche quei dispositivi di business automation che una volta erano relegati di fianco alle scrivanie o nei corridoi: sto parlando di fotocopiatrici (ancora), stampanti, scanner, ecc.
Grazie alla connettività di rete e alla presenza di un web server interno (embedded), tali strumenti possono essere monitorati con maggiore efficacia in modo da rispondere con tempestività a problematiche di toner esaurito, vassoio della carta vuoto, ecc.Alcuni di questi strumenti sono da qualche anno dotati anche di disco interno che permette di mantenere una copia dei documenti copiati o stampati, in modo da poterli recuperare successivamente per chi avesse distrutto o restituito l’originale, o smarrito il file sorgente.A fianco di questi ovvi vantaggi per l’attività di ufficio, si innestano altrettanto ovvie problematiche di sicurezza, ovvero: una volta che la mia stampante è in rete e mantiene copie dei documenti sul suo disco interno, essi possono essere raggiunti con più facilita da un insider.Un esempio è mostrato dalle due immagini qui sotto: grazie a Google, è stato semplice individuare una fotocopiatrice Konica Minolta che espone il suo server web di gestione al pubblico.

In questo caso, sebbene sia presente un disco fisso interno, fortunatamente non ci sono file memorizzati nell’area pubblica.

Così come la fotocopiatrice dell’esempio, altre marche e modelli potrebbero essere facilmente raggiungibili da un normale browser all'interno di una rete aziendale.

Un altro esempio riguarda gli scanner HP: prendendo spunto da un articolo di net-security.org (Corporate espionage for dummies: HP scanners), ho cercato in rete alcuni scanner del produttore americano collegati a domini aziendali, e in questo caso l’analisi si è rivelata più fruttuosa.
Grazie alla funzione Webscan, è possibile “la scansione di foto e documenti dalla periferica sul computer utilizzando un browser Web, anche se si decide di non installare il software della periferica sul computer.”

Questo permette, come ha constatato l’autore dell’articolo sopra citato, di recuperare documenti dimenticati negli scanner collegati in rete.
E' altresì immaginabile un ufficio in cui un impiegato ripone un documento nello scanner per digitalizzarlo e un collega (insider) che ne è a conoscenza lancia il processo di cattura via rete.
Semplice e molto poco rischioso.
Poco più difficile, invece, realizzare uno script che permetta l’automatizzazione del monitoraggio degli scanner di rete, per recuperare.
Infine, attenzione ai dispositivi non protetti da password o a quelli con password impostata dal produttore. Qui sotto uno dei casi reperibili direttamente da Google.

Suggerimenti

Ecco alcune semplici regole che vi consentiranno di abbassare il grado di rischio di questi dispositivi. Naturalmente sono da inserite in ogni specifico contesto, ma la prima di esse è introduttiva alle seguenti:

  1. effettuare un risk assessment di questi dispositivi e definire, dipendentemente da come si desidera gestire il rischio, le contromisure da adottare;
  2. contromisura obbligatoria: cambiare la password di Administrator di default;
  3. evitare di memorizzare sul disco fisso interno della fotocopiatrice le copie dei documenti. E' davvero così indispensabile questa funzione? Probabilmente il 98% degli utenti non ne è nemmeno a conoscenza. Ed é una cifra ottimistica;
  4. nelle fotocopiatrici, se proprio è indispensabile memorizzare dei documenti sul disco fisso, esistono dei moduli del sistema operativo della fotocopiatrice che consentono la crittografia dei documenti.

1.9.10

Cloud Security: online summit il 9 settembre

Per online summit si intende una serie di webinar di tema comune che vengono condotti uno di seguito all'altro, nello stesso giorno.
Il 9 settembre prossimo, sulla piattaforma Brightalk, potremo assistere al summit online dedicato alla Cloud Security, dove parleranno esperti di ENISA, dell'associazione EuroCloud Deutschland, del British Standard Institute, di Intel, CA, ecc ecc.
Lo scopo dei 16 webinar della giornata, che si terranno dalle 9 alle 16, è di esplorare lo stato attuale del cloud computing, dare un'occhiata agli standard e alle best practice per gestire i problemi di sicurezza che devono affrontare i fornitori di servizi di cloud computing e i loro clienti.

Maggiori info e iscrizioni su http://www.brighttalk.com/summit/cloudsecurity4

Minaccia Interna: creato un nuovo gruppo su LinkedIN

Dal momento che ancora non esisteva un gruppo di interesse riguardante la minaccia interna su Linkedin, ho provveduto alla sua creazione.
Lo scopo del gruppo è di creare un ambiente di condivisione per informazioni ed esperienze nell'ambito delle minacce create all'interno delle aziende dagli Insider.
Cito dalla descrizione del gruppo:
CERT’s definition of a malicious insider is

A current or former employee, contractor, or business partner who
• has or had authorized access to an organization’s network, system, or data and
• intentionally exceeded or misused that access in a manner that negatively affected the confidentiality, integrity, or availability of the organization’s information or information systems.
Il link è http://www.linkedin.com/groups?mostPopular=&gid=3312456
La lingua del gruppo è l'inglese.

Privacy e Web 2.0: la psicologia del controllo

I moderni strumenti che il Web 2.0 ha messo a nostra disposizione permettono di diffondere informazioni tra le più personali, ma al contempo limitano il nostro controllo su ciò che divulghiamo e su come tale informazione verrà utilizzata.
Pensate a quante informazioni vengano divulgate nei social network o su Twitter, pensate a come, una volta messe in rete, rimangano disponibili per chissà quanto tempo.
Tempo fa incontrai un conoscente che non vedevo da anni: dal momento che sono una persona curiosa (non invadente, curiosa) per prepararmi all'incontro, mi andai a guardare il suo blog, il suo profilo su Linkedin, controllai cosa aveva scritto su Twitter, giusto per farmi un'idea e trovare argomenti di interesse comune di cui discutere nel nostro incontro.
Al tavolo del ristorante accennai ai suoi viaggi e alle foto che aveva scattato, mi dissi d'accordo su alcuni pareri che aveva scritto nel suo blog e gli dissi che non mi aveva mai parlato della sua passione per l'acquariologia.
Sebbene tentasse di celare il suo imbarazzo per i primi due argomenti, quando entrò in scena l'acquariologia il mio conoscente ebbe un moto di sincero stupore: "Ah, e chi te ne ha parlato?"
"Parlato? Ma nessuno." gli risposi. "E' bastato fare una ricerca con Google sul tuo nome e trovare qualche tuo intervento in un forum di acquariofili, proprio in mezzo tra un pesce rosso e un pesce pagliaccio."

Credo che molti di noi, gratificati dal controllo sulla pubblicazione di blog, twits, forum eccetera, non pongono la stessa attenzione sulla mancanza di controllo di lungo termine e nel percepire le conseguenze sulla pubblica divulgazione di informazioni che li riguardano.
Al di là dell'esempio sopra, piuttosto semplificatorio e in cui non veniva toccato alcun argomento estremamente personale, noto spesso, sia in altri sia in me stesso, reazioni contraddittorie di fronte alla percezione che viene violato il nostro diritto di decidere quale informazione possa essere divulgata e come. E lo facciamo indipendentemente dal grado di privacy oggettiva di tale informazione.
Molti utenti di social network aggiornano i propri profili personali, rivelando informazioni private o addirittura imbarazzanti: ma come reagirebbero se tali informazioni venissero riprese e divulgate da altre fonti?
Un esempio sopra tutti: nel 2006 il noto sito di social network Facebook introdusse News Feed, un nuovo servizio con lo scopo di facilitare l'aggiornamento degli status personali pubblicando sulla home page dell'utente le ultime attività sue e dei suoi amici: eventuali cambiamenti di stato, nuove immagini o video, nuove amicizie e via discorrendo. Tutte informazioni peraltro già presenti e disponibili a tutti gli utenti di Facebook.
Gli utenti del social network reagirono negativamente a questa nuova caratteristica chiedendone la rimozione e mostrando implicitamente che la tipologia di diffusione delle informazioni mediante la ricerca era più tollerata della divulgazione di tipo push, ovvero senza che venisse richiesta.
E' altresì vero che è più impegnativo reperire un'informazione andandosela a cercare piuttosto che aspettare che la stessa venga divulgata in broadcast.
Ma il punto cruciale è la differente percezione tra la pubblicazione di un'informazione e il suo eventuale utilizzo.
Sebbene alcuni social network comunichino all'utente che l'informazione pubblicata online potrà essere fruita da sconosciuti, esiste un vero gap tra l'immediatezza della percezione dell'informazione messa online e l'eventuale fruizione successiva da parte di chissachi.
Dal momento che abbiamo il controllo sull'informazione pubblicata, diamo meno importanza al controllo del suo successivo utilizzo.
Il giugno scorso, al Ninth Workshop on the Economics of Information Security (WEIS 2010) tenutosi ad Harvard, é stata presentata una ricerca condotta da Alessandro Acquisti e George Loewenstein della Carnegie Mellon University su un campione costituito da studenti universitari statunitensi, un insieme di soggetti, quindi, con un elevato grado di istruzione, una discreta famigliarità nelle tecnologie del Web 2.0 e dei social network e quindi una consapevolezza delle implicazioni di entrarne a far parte.
Ebbene, una delle conclusioni più importanti ha evidenziato come la considerazione che l'informazione fornita possa successivamente diventare disponibile ad altri individui, oltre a quelli a cui inizialmente si intendeva comunicarla, può rimanere "latente", poiché la cognizione dell'ulteriore accesso appare distante.
Non ci sarebbe quindi la preoccupazione della relativa mancanza di controllo sugli accessi futuri e sull'utilizzo dei dati: tale preoccupazione viene accantonata a causa della percezione di soddisfazione sul controllo dell'effettiva azione di rivelare e pubblicare l'informazione.
La ricerca è partita dall'ipotesi che uno dei meccanismi psicologici che portano le persone a esporsi a un vasto pubblico sia un paradosso del controllo sull'informazione che rivelano: dal momento che abbiamo il controllo sulla pubblicazione di nostre informazioni private, tendiamo a dare meno importanza al controllo (o alla mancanza di esso) sull'accessibilità e sull'uso di tali informazioni da parte di altri.
Una volta formulati tre esperimenti a base di sondaggi, sono stati sottoposti a un campione di studenti: ciascun esperimento presentava una variazione della percezione del soggetto sul controllo sulla pubblicazione di informazioni, senza però alterare le condizioni di accesso e utilizzo dell'informazione che si chiedeva di divulgare.
In due esperimenti è stata diminuita la percezione dei soggetti sul controllo effettivo, mentre in uno è stata aumentata.
E' stata quindi misurata la propensione a rivelare informazioni sensibili come funzione della quantità di controllo che veniva percepita.
I risultati hanno quindi mostrato che:
  • un maggior controllo sulla pubblicazione di informazioni private rende meno importante il controllo sul successivo utilizzo da parte di altri, diminuisce l'interesse verso la privacy e aumenta la propensione a pubblicare informazioni sensibili;
  • un minor controllo sulla pubblicazione di informazioni private porta a un aumento di preoccupazione verso la privacy e una conseguente minor volontà di pubblicare informazioni sensibili.
I risultati sono significativi a due livelli: viene in primis smontata la teoria secondo cui la privacy riguarda il controllo del flusso di informazioni personali.
Non c'é alcun dubbio che conferire a un individuo il controllo su come le sue informazioni personali siano divulgate e utilizzate sia un'importante condizione per la protezione della privacy. La ricerca mostra però che questo tipo di controllo non garantisce ai soggetti di raggiungere un bilanciamento tra la rivelazione delle informazioni e la loro protezione, ma, anzi, è il maggior controllo sulla pubblicazione che induce a rivelare una maggior quantità di informazioni personali.
Gli esperimenti condotti hanno permesso di inferire che, all'interno della decisione di divulgare un'informazione personale, viene assegnato un maggior peso al controllo sulla pubblicazione: anche qualora le persone siano coscienti delle minacce alla privacy derivate da chi accede alle loro informazioni e a come le utilizza, sono meno propensi a realizzare che è il controllo sull'accesso e l'uso dell'informazione che é davvero importante per la protezione della privacy.
Quando il responsabile della pubblicazione era costituito da un entità terza i soggetti erano più propensi a astenersi da divulgare informazioni. Questo potrebbe essere dovuto al fatto che, dal momento che la pubblicazione di informazioni personali è un evento certo e immediato, è anche più evidente in questo caso il rischio che qualcuno acceda e usi tali informazioni in un tempo piuttosto vicino.
La maggior protezione sulla pubblicazione delle proprie informazioni, che negli ultimi tempi sta diventando consuetudine nei social network del Web 2.0, ha il rovescio della medaglia di abbassare il grado di preoccupazione sul successivo utilizzo di tali dati: la pubblicazione costituisce per l’utente una soddisfazione immediata, che ha un maggior peso di una preoccupazione latente e lontana nel tempo.

La fotocopiatrice moderna: un colabrodo di dati

Perchè un hacker dovrebbe impiegare ore e ore del suo tempo cercando di penetrare i sistemi di una rete aziendale per carpirne i dati più sensibili e confidenziali, quando, con molto meno tempo e meno rischi di essere individuati, basta proporre un rimpiazzo economicamente vantaggioso di una fotocopiatrice?

Da poco meno di una decina d'anni, la maggior parte delle fotocopiatrici è dotata di un hard disk interno che, con l'opzione di default, consente la copia di ogni singola pagina fotocopiata e restituita all'utente su carta.

Un interessante servizio della CBS illustra come è possibile accedere ai dati anche attraverso dei casi pratici: lo potete seguire qui http://www.cbsnews.com/video/watch/?id=6412572n

Una troupe della CBS ha seguito l'attività di un'azienda di smaltimento di materiale tecnologico che rileva fotocopiatrici usate: nei due casi illustrati, migliaia di documenti, contenenti dati confidenziali di cittadini statunitensi, Social Security Number, cartelle cliniche con referti ospedalieri, nominativi di persone indagate dalla polizia,

E' comunque da notare che tutti i maggiori produttori di macchine fotocopiatrici rendano disponibili componenti per la cancellazione sicura o la codifica dei dati conservati su disco: tali componenti richiedono un'ulteriore spesa dell'ordine di qualche migliaio di dollari, rendendo spesso l'investimento su una fotocopiatrice estremamente oneroso.

Per mitigare questo genere di rischi, si possono adottare accorgimenti come l'impiego di meccanismi di codifica o cancellazione sicura e/o contrattualizzare un processo di dismissione che comprenda la rimozione e la distruzione del disco interno o quantomeno la sua cancellazione sicura.
E' inoltre opportuno considerare questo genere di potenziali fughe di dati all'interno dell'attività di risk assessment.

Infine, il Garante della Privacy, nel provvedimento del 13 ottobre 2008, dal titolo "Rifiuti di apparecchiature elettriche ed elettroniche (Raae) e misure di sicurezza dei dati personali" dispone di

adottare idonei accorgimenti e misure, anche con l'ausilio di terzi tecnicamente qualificati, volti a prevenire accessi non consentiti ai dati personali memorizzati nelle apparecchiature elettriche ed elettroniche destinate a essere:

a. reimpiegate o riciclate, anche seguendo le procedure di cui all'allegato A);

b. smaltite, anche seguendo le procedure di cui all'allegato B).

Tali misure e accorgimenti possono essere attuate anche con l'ausilio o conferendo incarico a terzi tecnicamente qualificati, quali centri di assistenza, produttori e distributori di apparecchiature che attestino l'esecuzione delle operazioni effettuate o che si impegnino ad effettuarle."

Controllatemi, per favore! Ovvero, come il fattore umano incide su confidenzialià, integrità e disponibilità


Fino a qualche anno fa, la mia carriera si era svolta come dipendente all'interno di dipartimenti IT.
Ogniqualvolta mi si presentasse la richiesta, da parte del dipartimento Internal Audit o del responsabile della sicurezza, di un monitoraggio delle mie attività e di quelle dei miei colleghi, storcevo il naso: "Ma non se ne parla neanche!", "Abbiamo ben altro da fare, dobbiamo far andare avanti il business!", "Abbiamo bisogno di un elevato grado di libertà e di superare determinate barriere" e poi, in ultimo ma con definitiva determinazione "Ma dal punto di vista della Privacy, hai verificato che si possa fare?"
All'accenno della Privacy dei dipendenti e dei potenziali ostacoli posti dalla normativa italiana sul lavoro e dalle rappresentanze sindacali, il progetto di controlli si arenava silenziosamente e inesorabilmente.
Accade talvolta però che la propria inossidabile resistenza al cambiamento venga intaccata da una serie di eventi che la rendono più duttile e malleabile alle istanze esterne.
Sto parlando di quelle situazioni di difficoltà in cui è necessario dare delle risposte a fronte di interruzioni di un servizio all'utenza, quelle situazioni in cui viene puntato il dito verso un presunto probabile responsabile.
Per ogni servizio esiste un gruppo variegato di stakeholder, costituito dagli utenti del servizio, che possono essere interni o esterni nel caso di servizio in outsourcing, dai responsabili dell'erogazione del servizio e, non ultimi, dagli amministratori di sistema.
Nel caso di outsourcing le cose si complicano sensibilmente, perché all'erogazione di un servizio corrispondono dei livelli di servizio garantiti che hanno delle conseguenze anche economiche.
Ebbene, in che situazione si può trovare l'amministratore a fronte di avvenimenti interruttivi provocati sia da problemi di sistema sia da errore umano?
In qualcosa di questo genere:
- nel non poter dimostrare di non avere effettuato un'operazione che aveva condotto a un'interruzione di servizio;
- nell'incapacità di determinare chi, dei vari sistemisti di un gruppo di supporto, avesse svolto una determinata attività che aveva portato a un'interruzione di servizio;
- ad accumulare ritardi indotti dal tentativo di ripristino di una situazione precedente alle modifiche introdotte alla configurazione (chi caspita si ricordava cosa era stato fatto durante la configurazione e com'era esattamente la situazione prima della modifica?)

Pensate poi a episodi di fughe di informazioni dall'interno. Chi viene messo sotto osservazione per primo? Di certo il dipartimento IT, che è quello che, secondo l'opinione comune, detiene la maggior parte delle conoscenze su sistemi. Sappiamo che questo non sempre è vero per quanto riguarda i dati, che sono spesso dominio di conoscenza di altre funzioni aziendali.

Perché quindi sopportare questo aggravio di responsabilità?
Per garantire la privacy del lavoratore?
Ma un lavoratore, secondo il buon senso, la deontologia e non ultimo il codice civile italiano, non dovrebbe
"..usare la diligenza richiesta dalla natura della prestazione dovuta, dall’interesse dell’impresa e da quello superiore dell’interesse nazionale; deve inoltre osservare le disposizioni per l’esecuzione e per la disciplina del lavoro impartitegli dal datore di lavoro o dai collaboratori di questi da cui il lavoratore dipenda gerarchicamente."(art. 2104 c.c.) ?
E quindi dove si pone il problema nel monitorare soltanto le attività sui processi più critici? Attenzione, io non sto proponendo di monitorare le attività del singolo lavoratore, ma di monitorare ciò che viene effettuato negli ambiti più critici dell'azienda, laddove il livello di attenzione sulla sicurezza deve essere più elevato, pena il detrimento delle attività dell'azienda stessa (e quindi anche di chi lavora per essa).
Quando aumenta la complessità nelle infrastrutture IT, gli amministratori implementano soluzioni che permettono di monitorare e mantenere efficacemente questi ambienti.
Ma spesso la domanda "Chi è stato l'ultimo ad accedere a quel server e cosa ha fatto?" rimane senza risposta.
Non è abbastanza monitorare server e applicazioni quando la causa numero 1 dei downtime è l'errore umano: parlate con un esperto di alta affidabilità e il discorso toccherà presto questo argomento.
In più, il problema di mantenere l'uptime è esacerbato dalla dipendenza crescente dall'outsourcing, da consulenti esterni, da impiegati temporanei e sviluppatori che amministrano server e software, una situazione che porta a una diminuzione della responsabilità diretta.
Per raggiungere un'operatività efficiente, gli amministratori devono avere una visione olistica dell'infrastruttura IT, ivi incluso il monitoraggio del fattore umano.
Ben vengano, quindi, policy, procedure e strumenti che consentono di monitorare le attività negli ambienti critici, che tengano quindi traccia di chi ha fatto che cosa e dove, tenendo ben presente però che:
1) il responsabile del controllo non deve essere una funzione dell'IT;
2) di concerto, gli strumenti non possono venire gestiti in toto dal dipartimento IT (che avrebbe quindi la piena padronanza di essi);
3) deve essere monitorata la loro disponibilità e devono essere istanziati immediati avvisi in caso di non disponibilità dello strumento (per evitare che vengano spenti o sconnessi premeditatamente).

Come funzionario IT mi sentirei più garantito se potessi dimostrare la limpidezza del mio operato e se fosse possibile individuare anche gli errori umani in modo più rapido e preciso.
Chi non vuole permettere tutto ciò, o ha qualcosa da nascondere o non si sente completamente sicuro delle proprie competenze e capacità.