Arrivare a definire politiche di sicurezza all’interno di un’azienda significa avere definito il compromesso tra costo per l’implementazione delle soluzioni di protezione, il valore dei beni da proteggere e la flessibilità operativa. Per questo, in molti casi sarebbe preferibile parlare di rischio accettabile (o meglio accettato) anziché di sicurezza.
Le tecnologie IT sono in grado di offrire un notevole contributo per cercare di realizzare la corrispondenza tra la situazione reale e il livello di rischio accettato. Il ruolo delle tecnologie si inserisce in un contesto di controllo e di automazione: un controllo sui “numeri” per valutare metriche, anomalie e trend e un’automazione sull’applicazione di regole, differenziate in base al controllo effettuato.
Fino a quando si resta all’interno di questi confini, il problema di definire il livello di rischio e mantenerlo al di sotto del limite accettato si traduce nell’accuratezza con cui si riescono a definire le metriche e predisporre le regole.
Anche in questo caso si tratta di un processo che, sulla base dell’esperienza e con il supporto di specifici tool informatici, è comunque possibile definire in modo sufficientemente accurato dopo un certo periodo di tempo, avendo l’accuratezza di predisporre meccanismi in grado di tenere in considerazione l’evoluzione dinamica degli scenari in gioco.
Metodologie adeguate sono state definite; per esempio, si può ricordare il ciclo Plan-Do-Check-Act che caratterizza il sistema di certificazione della gestione della sicurezza BS7799/ISO17799 (ma anche le norme ISO indirizzate alla certificazione di qualità e ambientale) che stabilisce le best practice per una corretta gestione del rischio e la garanzia dell’informazione.
L’elemento fondamentale che sfugge da questa logica di segmentazione è però quello legato alla componente umana. Purtroppo non esiste alcuno strumento informatico in grado di contrastare comportamenti superficiali o l’incuria.
Per questo, sempre più spesso i criminali informatici puntano a sfruttare le vulnerabilità legate alle persone oltre che quelle che caratterizzano le tecnologie IT.
Tra le tecniche più efficaci, quelle di social engineering che sfruttano meccanismi di relazione sociale per impossessarsi di informazioni. La leva fondamentale del social engineering è che le informazioni non vengono sottratte ma vengono fornite in modo inconsapevole dal bersaglio dell’attacco o da qualcuno a lui vicino.
Non a caso queste tecniche rappresentano il vero "grimaldello" alla base del successo delle minacce APT (Advanced Persistent Threat) attualmente da tutti considerate tra quelle più periocolose e in rapida crescita.
Le tecniche di social engineering sfruttano due leve.
La prima è la naturale propensione dell’uomo a farsi coinvolgere emotivamente e cercare di essere utile quando messo di fronte a situazioni eccezionali o di pericolo. Per questo le tecniche di social engineering sono sempre associate a situazioni particolari che richiedono interventi da realizzare con urgenza in risposta a situazioni molto variegate: da quelle più legate alla sfera personale "è morto un parente" a quelle orientate al business “dobbiamo concludere il deal entro un ora altrimenti lo perdiamo".
La seconda è di poter desumere dati riservati o informazioni importanti in tempi successivi, dalla correlazione di un insieme di micro informazioni ognuna delle quali, da sola, appare priva di importanza e quindi è facilmente carpibile da chi la detiene. Elementi ricorrenti sono l’ostentazione indiretta di un rapporto di confidenzialità con personaggi di spicco all’interno dell’azienda, per esempio indicandoli con il nome di battesimo, favorendo la disponibilità dell’interlocutore a fornire notizie su di lui.
Anche il phishing è, in un certo senso, riconducibile ai principi del social engineering, tradotti in modo automatizzato e strutturato. Gli obiettivi principali per questo tipo di tecniche sono orientati al furto di identità, alla sottrazione di informazioni critiche.