Nei luoghi di lavoro BYOD e dispositivi smartificati stanno progressivamente diffondendosi. Una volta era la fotocopiatrice multifunzione, oggi sono sempre di più gli oggetti intelligenti connessi e comunicanti. Per chi si occupa di sicurezza il tema diventa sempre più caldo. La questione è complessa ma la domanda è semplice: come attuare strategie di risk management adeguate a un nuovo orizzonte di minacce e di problemi?
IoT: ci sono gli scettici e ci sono gli inconsapevoli
Dal Byod agli smart object ci sono solo due gradi di separazione. Il primo grado è il computer che entra nel telefonino, il secondo è il sistema operativo che può equipaggiare qualsiasi cosa (Windows 10 docet).
Sale riunioni intelligenti, sale operatorie digitalizzate, fabbriche automatiche sono sicuramente un’evoluzione dello smart working ma anche le tecnologie indossabili hanno uno sviluppo sempre più evidente. Nella logistica, ad esempio, anelli, cinture, pettorine, caschi e soluzioni a guanto stanno diventando l’elemento armato di una nuova intelligence. Nel resto dei settori queste soluzioni sono ancora circoscritte ai Google Glass o agli smart watch ma tra non molto anche questo genere di soluzioni andrà gestita e risolta anche in termini di profilazione degli accessi e di sicurezza.
Oggi la maggior parte delle persone che hanno sentito parlare di Internet of Things non capisce o non crede a fondo in questa svolta dell’ICT. Così la maggior parte della dirigenza aziendale ritiene di saperne abbastanza di protezione e tutela al punto da considerare gli smart object una questione che non li tocca e non li toccherà mai, e questo li porta a pensare che la loro azienda sarà comunque al sicuro. A questa, dicono gli esperti, si aggiunge un’altra falsa credenza: che essere compliance equivalga a essere al sicuro.
Rischi per la sicurezza
Detto questo, gli esperti riportano la questione ai suoi fondamentali: chi lavora nell’IT sa perfettamente che se un dispositivo è connesso e comunicante significa che ha un suo indirizzo IP, che esiste un URL, che c’è un interruttore di accensione e spegnimento. Tutto questo significa che esiste il triangolo magico per un attacco potenziale.
Può essere vulnerabile una macchina per il caffè di quelle interattive e inteliigenti che funzionano con le chiavette negli uffici così come possono essere posti sotto attacco i sistema di allarme fisici. Ogni sistema che in qualche modo memorizza le informazioni sui clienti o ha a che fare con la proprietà intellettuale, può essere sotto minaccia se i sistemi di protezione della rete sono deboli o si sottovaluta il tasso di rischio.
Ogni volta che si introduce un sistema connesso e comunicante e non si attuano controlli di autenticazione e di accesso, gli attacchi DOS (denial-of-service) possono impattare sulla business continuity. Alcune di queste vulnerabilità possono essere risolte e rimosse senza troppe complicazioni o strascichi ma bisogna prima conoscere il livello di rischio.
Il lato umano troppo umano della sicurezza
Esistono politiche di sicurezza molto forti per la gestione del BYOD e della Internet of Things tali da garantire business continuity e proattività di risposta in caso di incidenti. Android, ad esempio, è noto che stia entrando nel mirino degli hacker. In tutto questo è fondamentale progettare sistemi di gestione che consentano massima integrazione e minima complessità gestionale.
Gli esperti suggeriscono di programmare test e revisioni frequenti alle procedure di sicurezza che includano il BYOD e l’Internet of Things in modo da intercettare subito i margini di rischio e le vulnerabilità di questo tipo di soluzioni: ad esempio patch mancanti, interfacce Web aperte e meccanismi di autenticazione deboli.
È questo il modo migliore di iniziare: gran parte della sicurezza delle informazioni è un gioco mentale in cui spesso è il pregiudizio a vincere sulla ragione. La psicologia umana conta tanto quanto una buona soluzione tecnologica. Secondo gli esperti, il trucco per comprendere questo lato umano della sicurezza è quello di imparare il più possibile su di esso e, una volta diventati abili nel dominarlo, le componenti tecnologiche saranno a posto.