I dipendenti accedono sempre più spesso a dati aziendali sensibili in remoto, spesso da dispositivi personali in cui le reti di social media occupano un posto di rilievo. Obiettivi facili per i criminali informatici? I membri del consorzio DOGANA ritengono di sì, e hanno ideato un quadro di valutazione del rischio per aiutare le imprese ad alleviare questa minaccia.

Economia digitale

Sicurezza

Lavorare in qualsiasi momento, da qualsiasi luogo. Questo potrebbe facilmente essere uno slogan pubblicitario per la cultura aziendale sempre più diffusa del telelavoro. E chi potrebbe controbattere? Lavorare da casa riduce le spese aziendali, aumenta la produttività, rende più felici i dipendenti e aiuta anche ad affrontare problemi quali la congestione e le emissioni di CO2. Tuttavia, questa nuova filosofia solleva anche alcune domande, ad esempio a proposito della sicurezza. Se le aziende sono sempre state vulnerabili agli attacchi informatici, il rischio è aumentato considerevolmente a causa del sottile confine tra i dispositivi privati e professionali e il successo senza precedenti dei social network. Come spiega la signora Francesca Giampaolo, coordinatrice del progetto DOGANA, ci sono diversi fattori in gioco. «Non solo le persone usano sempre più dispositivi personali per scopi lavorativi, ma spesso combinano questo uso con quello dei social media il cui modello di business consiste nell’incoraggiarli a rivelare e condividere informazioni personali. Queste piattaforme non riescono a fornire meccanismi di autenticazione solidi e, a peggiorare le cose, molte persone sembrano incapaci di evitare di sottoporsi a rischi inutili e non avere le conoscenze per proteggere in modo efficiente i propri dispositivi». DOGANA risponde a questo problema con un quadro che fornisce una «valutazione avanzata dell’ingegneria sociale e dei punti deboli» per misurare e mitigare il rischio correlato alle vulnerabilità sociali. Sebbene tutte le aziende siano vulnerabili, il sistema consente di quantificare i rischi effettivi sulla base della dipendenza dalle TIC delle imprese, del livello delle conseguenze a seguito di attacchi, del livello di rischio associato e di altre metriche. Il quadro è costituito da una toolchain open source per eseguire la valutazione della vulnerabilità (raccolta di informazioni, preparazione di attacchi e ganci, esecuzione di attacchi e rendicontazione); un programma di formazione comprendente metodi di sensibilizzazione e una serie di strumenti per la mitigazione del rischio automatizzata; e una componente di polizia. Secondo Giampaolo, le principali innovazioni di DOGANA includono il «quadro di raccolta delle informazioni» che solleva i collaudatori dal raccogliere informazioni per conto proprio, riducendo a loro volta i tassi di errore e migliorando l’efficienza. Esiste anche un «quadro di sensibilizzazione», il quale offre una gamma di metodi di sensibilizzazione che possono essere adattati alle esigenze di una specifica azienda; così come il «quadro politico organizzativo» che fornirà una serie di linee guida e requisiti specifici per le imprese europee. DOGANA è inoltre completamente compatibile con la normativa GDPR. «Il quadro è progettato per fornire servizi di SDVA (valutazioni della vulnerabilità indotte dai social - “Social Driven Vulnerability Assessments”) generali, ma allo stesso tempo parti specifiche sono adattate ai quattro domini delle applicazioni che sono state collaudate nella fase di prova (difesa, governo, trasporti ed emergenza)», spiega Giampaolo. «Inoltre, DOGANA è stato progettato tenendo presenti due classi distinte di utenti finali, ciascuna con le proprie limitazioni e responsabilità: il tester SDVA, responsabile delle attività relative alla preparazione e all’esecuzione delle SDVA; e il rappresentante dell’azienda, che può accedere a statistiche e rapporti sui risultati dell’esecuzione di SDVA». DOGANA si rivolge alle aziende i cui dipendenti utilizzano quotidianamente un computer, fornendo una soluzione che può aiutarli a monitorare la percentuale di questi dipendenti che vengono ingannati dagli attacchi di phishing e social engineering in generale. «Aiuteremo queste aziende a erogare corsi di formazione per assicurarsi che i loro dipendenti capiscano perfettamente come evitare di essere ingannati da e-mail che sembrano molto credibili per un utente inesperto», afferma Giampaolo. Le offerte di mercato relative a DOGANA includeranno servizi di consulenza e formazione e ciascun membro del consorzio promuoverà il quadro alle sue reti e ai partner pertinenti.

Parole chiave

DOGANA, social media, sicurezza, dispositivo personale, dati aziendali, valutazione delle vulnerabilità, quadro