Se da una parte chi parla di sicurezza accenna indirettamente a costi molto alti, dall’altra c’è chi sostiene che questo non sia vero. Un esempio per tutti il celebre software TrueCrypt che, pur essendo completamente gratuito, garantiva livelli di sicurezza elevatissimi. Ma è davvero possibile garantire sicurezza a costi contenuti?
La sicurezza non è un problema meramente tecnologico. Potremmo invece definirla una “filosofia di vita” composta da tanti elementi:
- Organizzazione aziendale;
- Hardware;
- Software;
- Etica;
- …
Non è quindi possibile pensare che la sicurezza possa essere garantita solo da una legge, da un software o da un particolare hardware. Questo significa che un’azienda in grado di cambiare dinamicamente il proprio rapporto con il lavoro, aumentando i criteri di controllo in modo sensato, operando in maniera etica e sicura, avrà bisogno di un minore investimento in strumenti tecnologici.
Tra gli attacchi presenti nel mondo degli hacker, non a caso, esiste un termine per identificare tutto questo: Ingegneria Sociale. Kevin Mitnick ha scritto diversi libri sull’argomento. Wikipedia spiega sufficientemente di cosa si tratta:
Nel campo della sicurezza informatica, l’ingegneria sociale (dall’inglese social engineering) è lo studio del comportamento individuale di una persona al fine di carpire informazioni utili. […] Un ingegnere sociale (social engineer) per definirsi tale deve saper fingere, sapere ingannare gli altri, in una parola saper mentire.
Un social engineer è molto bravo a nascondere la propria identità, fingendosi un’altra persona: in tal modo egli riesce a ricavare informazioni che non potrebbe mai ottenere con la sua identità reale. Nel caso sia un cracker, può ricavare informazioni attinenti ad un sistema informatico. Il social engineering è quindi una tecnica per ricavare informazioni molto usata dagli hacker esperti e dalle spie, e dato che comporta (nell’ultima fase dell’attacco) il rapporto più diretto con la vittima, questa tecnica è una delle più importanti per carpire informazioni. In molti casi il cosiddetto ingegnere potrà riuscire a ricavare tutto ciò che gli serve dalla vittima ignara.
Non essendo strettamente legata all’uso di un software o di un hardware, non ci si può proteggere dall’ingegneria sociale se non con l’utilizzo dell’etica professionale. Parola abbastanza desueta al giorno d’oggi. L’etica professionale, ad esempio, impone alle persone la non comunicazione delle proprie credenziali ai colleghi, il rispetto di procedure di sicurezza, il rispetto della segretezza delle informazioni e tutte queste cose si basano su uno “stile di vita” diverso da chi, quotidianamente, racconta i fatti suoi su Facebook. Ovviamente è un’estremizzazione fatta per far capire quanto sia delicato l’argomento.
La sicurezza quindi si raggiunge tramite la formazione, la sensibilizzazione, l’organizzazione e solo dopo tramite l’acquisto e l’ammodernamento degli apparati ICT. Questo garantisce successo, risparmio e qualità nel lavoro.