Controllare ogni tanto dove si ripone la fiducia

Il personale IT (interno o esterno che sia) ha spesso in mano le chiavi dell’organizzazione.

Non quelle fisiche per aprire la porta: al personale IT non serve una porta per entrare in un’organizzazione in cui lavora legittimamente.

Negli Stati Uniti ci sono vari studi e alcune linee guida, tra cui la Common Sense Guide to Prevention and Detection of Insider Threats [PDF] del CERT della Carnegie Mellon University che merita sicuramente una lettura da parte di tutte le entità coinvolte per prendere coscienza dei rischi ed implementare eventuali soluzioni.

In Italia c’è il problema del relativo (se paragonato agli USA) nanismo delle aziende, che spesso, anche per ragioni di bilancio, vanno alla ricerca del prezzo più basso e vedono il personale IT (interno o esterno che sia) allo stesso livello del manutentore del riscaldamento  o dell’impianto elettrico.

Anche in molte delle realtà più piccole i computer sono più importanti degli immobili che li ospitano. Se viene sottratto o si danneggia irreparabilmente un computer si perdono documenti, mail, contatti, agende… In molte realtà i computer sono le aziende.

Il personale IT può uscire una sera dall’ufficio con in tasca una copia di tutti i dati aziendali, che possono stare molto comodamente in un pacchetto di sigarette.

La soluzione più ovvia è anche la più costosa: duplicare il personale IT e fare in modo che ci sia sorveglianza reciproca e concorrenza di responsabilità. Purtroppo questo è un lusso che si possono concedere solamente le aziende italiane veramente grosse.

Nella mia esperienza ho visto i risultati di tutte le casistiche elencate nella guida linkata in apertura e riassunte nel grafico a torta qui sopra. Non sono mai situazioni piacevoli perché un collega ha tradito la fiducia che era stata riposta in lui dall’organizzazione, la quale è restia a concederla di nuovo ad un’altra persona e lo fa molto controvoglia, almeno all’inizio.

Il consiglio base che posso dare alle organizzazioni anche le più piccole è “delegate, ma documentatevi”.

Dovete per forza delegare perché l’IT non è il vostro lavoro, ma fate in modo di avere sempre una documentazione cartacea (basta la stampa di una mail) di alcuni aspetti base della vostra infrastruttura, tra cui, a titolo di esempio:

• password di accesso degli utenti privilegiati (root, Administrator, admin…) di tutti i vostri dispositivi: server, PC, stampanti di rete, router, eccetera e sistema per verificare le credenziali; ovvio che ogni tanto dovreste verificarle;
• intestatari, TECH-C e ADMIN-C dei vostri nomi a dominio;
• copie (se l’originale ce l’ha il commercialista) di tutte le fatture di acquisto del software, compresi gli antivirus e i Windows preinstallati (c’è l’etichetta Microsoft? La versione installata è uguale a quella dichiarata dall’etichetta?);
• procedure di verifica e ripristino (ripristino!) del backup che voi stessi verificate: lo scopo del backup non è quello di salvare i dati, ma di poterli rileggere; magari fate (o fate fare) un ripristino ogni tanto di un documento salvato due giorni prima per verificare il funzionamento della procedura.

Cercate, insomma, di farvi vedere coinvolti e osservatori e valutate sempre il rapporto tra il valore dei dati che state trattando e le modalità con cui li trattate e li custodite.