Controllare ogni tanto dove si ripone la fiducia

Il personale IT (interno o esterno che sia) ha spesso in mano le chiavi dell’organizzazione.

Non quelle fisiche per aprire la porta: al personale IT non serve una porta per entrare in un’organizzazione in cui lavora legittimamente.

Negli Stati Uniti ci sono vari studi e alcune linee guida, tra cui la Common Sense Guide to Prevention and Detection of Insider Threats [PDF] del CERT della Carnegie Mellon University che merita sicuramente una lettura da parte di tutte le entità coinvolte per prendere coscienza dei rischi ed implementare eventuali soluzioni.

In Italia c’è il problema del relativo (se paragonato agli USA) nanismo delle aziende, che spesso, anche per ragioni di bilancio, vanno alla ricerca del prezzo più basso e vedono il personale IT (interno o esterno che sia) allo stesso livello del manutentore del riscaldamento  o dell’impianto elettrico.

Anche in molte delle realtà più piccole i computer sono più importanti degli immobili che li ospitano. Se viene sottratto o si danneggia irreparabilmente un computer si perdono documenti, mail, contatti, agende… In molte realtà i computer sono le aziende.

Il personale IT può uscire una sera dall’ufficio con in tasca una copia di tutti i dati aziendali, che possono stare molto comodamente in un pacchetto di sigarette.

La soluzione più ovvia è anche la più costosa: duplicare il personale IT e fare in modo che ci sia sorveglianza reciproca e concorrenza di responsabilità. Purtroppo questo è un lusso che si possono concedere solamente le aziende italiane veramente grosse.

Nella mia esperienza ho visto i risultati di tutte le casistiche elencate nella guida linkata in apertura e riassunte nel grafico a torta qui sopra. Non sono mai situazioni piacevoli perché un collega ha tradito la fiducia che era stata riposta in lui dall’organizzazione, la quale è restia a concederla di nuovo ad un’altra persona e lo fa molto controvoglia, almeno all’inizio.

Il consiglio base che posso dare alle organizzazioni anche le più piccole è “delegate, ma documentatevi”.

Dovete per forza delegare perché l’IT non è il vostro lavoro, ma fate in modo di avere sempre una documentazione cartacea (basta la stampa di una mail) di alcuni aspetti base della vostra infrastruttura, tra cui, a titolo di esempio:

  • password di accesso degli utenti privilegiati (root, Administrator, admin…) di tutti i vostri dispositivi: server, PC, stampanti di rete, router, eccetera e sistema per verificare le credenziali; ovvio che ogni tanto dovreste verificarle;
  • intestatari, TECH-C e ADMIN-C dei vostri nomi a dominio;
  • copie (se l’originale ce l’ha il commercialista) di tutte le fatture di acquisto del software, compresi gli antivirus e i Windows preinstallati (c’è l’etichetta Microsoft? La versione installata è uguale a quella dichiarata dall’etichetta?);
  • procedure di verifica e ripristino (ripristino!) del backup che voi stessi verificate: lo scopo del backup non è quello di salvare i dati, ma di poterli rileggere; magari fate (o fate fare) un ripristino ogni tanto di un documento salvato due giorni prima per verificare il funzionamento della procedura.

Cercate, insomma, di farvi vedere coinvolti e osservatori e valutate sempre il rapporto tra il valore dei dati che state trattando e le modalità con cui li trattate e li custodite.

Autore: Luigi Rosa

Consulente IT, sviluppatore, SysAdmin, cazzaro, e, ovviamente, geek.

3 pensieri riguardo “Controllare ogni tanto dove si ripone la fiducia”

  1. Il problema e` molto piu` complesso. Il cliente spesso non capisce nemmeno il valore di quello che ha in mano (informaticamente parlando). Il cliente puo` avere 50 negozi in 50 centri commerciali, ognuno dei quali costa centinaia di migliaia di euro all’anno (e produce di piu`), e tuttavia rogna se l’infrastruttura IT per fare funzionare la logistica di questi 50 negozi costa piu` di 20K euro all’anno. Bada, non 20K a negozio, proprio 20K in totale.

    A un cliente cosi`, come gli spieghi che spenderne 100K per avere una maggiore affidabilita` e` importante ed e` anche sensato?

  2. Kurgan, da un lato hai ragione, dall’altro non credo si debba utilizzare l’ignoranza (etimologica) dei clienti come scusante di scarsa professionalita’, anzi credo che il bravo personale IT debba anche fare “promozione di se stesso” per aumentare la consapevolezza degli utenti/clienti.
    Parlo, ovviamente, in generale.
    Al cliente che ha i negozi bisognerebbe parlare il suo linguaggio. Finche’ e’ in attivo, puo’ darsi che non gli freghi nulla di spendere soldi per questo. Ma e’ proprio perche’ e’ in attivo e puo’ spendere soldi che e’ il momento di farlo.

    Non e’ facile, sono il primo ad ammetterlo.

Spazio per un commento