Protezione dati su Cloud

Eccoci all’ultimo post di questa serie dedicato alla protezione dati su cloud (qui trovate il primo articolo, e il secondo articolo)

Affronteremo le “buone pratiche” per evitare di incappare nei problemi descritti nei post precedenti; personalmente mi auguro che molto di quanto verrà scritto in questo post risulti noioso e già risaputo, ma purtroppo, giornalmente nel mio lavoro, mi accorgo che non è così.

Ritengo quindi doveroso da parte mia ripetere ancora una volta l’elenco delle attenzioni che devono essere poste quotidianamente, nell’uso degli strumenti informatici, ancora di più se appartenenti al settore “mobile”.

La maggior parte dei problemi di protezione dati su cloud  è dovuto al nostro comportamento.

Ecco alcuni comportamenti da evitare, o da attuare, per limitare il rischio di data breach e per evitare che le credenziali di accesso vengano sottratte.

Li classificheremo in classi adatte per utenti PRINCIPIANTI, AVANZATI, ESPERTI. Il fatto che alcuni accorgimenti siano da “esperti” non vuol dire che non debbano essere implementati, soprattutto nelle aziende, che devono essere le prime a tutelare le informazioni, sia in ottica di protezione del dato personale, sia del proprio business e della reputazione.

PRINCIPIANTE

Queste attività di protezione dati su cloud sono alla portata di tutti e DEVONO essere conosciute da tutti per avere il minimo indispensabile alla sopravvivenza nel mondo digitale.

• Cambiare regolarmente la password: ogni 3 mesi sarebbe l’ideale, per evitare che gli algoritmi di cifratura possano essere comunque decodificati.
• Utilizzare password complesse: non banali, ma sufficientemente casuali da richiedere uno sforzo all’hacker, che in molti casi, non vedendo guadagno, desiste dal volersi impegnare nella decifrazione.
• Non ignorare le mail di avviso che ti inviano Google o Dropbox quando rilevano accessi sospetti (ovviamente presta attenzione alle email di phishing): ovviamente i tranelli ci sono anche per queste mail, ma se veniamo avvisati, senza necessariamente seguire il link descritto, andiamo sul nostro account in modo sicuro a verificare gli ultimi accessi.
• Impostare l’autenticazione a due fattori in due passaggi: ormai tutti i sistemi permettono di definire un numero telefonico su cui ricevere un PIN per entrare, sfruttiamoli.
• Aggiornare costantemente gli antivirus e i sistemi operativi: fondamentale anche AVERE un buon antivirus.

AVANZATO

Gli utenti che utilizzano quotidianamente gli strumenti connessi e legati al mondo digitale “pubblico” (ovvero con alto scambio di informazioni, personali, riservate o comunque “di interesse”) dovrebbero avere anche un’attenzione più specifica alle criticità degli strumenti specifici, ma in linea generale ci sono alcune buone pratiche da attuare.

• Controllare e monitorare i dispositivi che sono connessi all’applicazione e quali applicazioni stanno utilizzando il tuo account, e se possibile gli indirizzi IP dei dispositivi che si sono connessi agli account: è buona norma ogni tanto verificare nel menù “dati dell’account”, messo a disposizione da ogni applicazione, se i dispositivi e le applicazioni autorizzate all’accesso sono solamente quelle che vogliamo possano avere accesso ai dati. Questa funzione viene fornita da tutti i sistemi tramite una lista di verifica del dispositivo che riporta, normalmente, tipo di sistema operativo, nome del dispositivo, IP di accesso, localizzazione dell’accesso (se disponibile), data e ora degli accessi (per verificare che ad esempio siano fatti quando eravamo veramente noi).
• Effettuare regolarmente attività di Formazione: questa secondo noi è la migliore delle attività che permette di essere sempre aggiornati e preparati.

ESPERTO

Le attività da Esperto sono normalmente effettuate da “tecnici informatici” e sono indispensabili per le attività di tipo professionale.Servono a proteggere la “proprietà aziendale” e quindi dovrebbero diventare pratiche stabilite dagli organi direttivi e manageriali, oltre ad essere richieste per poter accedere a criteri di selezione, certificazione e adempiere agli obblighi di legge (es: Reg.UE 2016/679 – GDPR).

Sulla base della nostra esperienza suggeriamo di effettuare regolarmente attività di Vulnerability Assessment, di Network Scan, di Incident Management e Disaster Recovery (per verificare che i dati siano anche ripristinabili), vanno messe a budget e i risultati andrebbero “registrati” per poter dimostrare che l’azienda sta eseguendo tutte le buone pratiche per la protezione dati su cloud; ovviamente se queste attività segnalano anomalie, criticità o vulnerabilità, vanno mitigate e risolte nel più breve tempo possibile per non lasciare scoperta la protezione.

Se ci si appoggia a programmatori esterni, o si sviluppano applicazioni proprietarie provvedere periodicamente anche ad attività di Code review delle applicazioni e stilare una policy di Secure Software development (eventualmente prevista contrattualmente con il fornitore).

Per le attività più strutturate e articolate è anche suggerito dotarsi di strumenti SIEM (security information and event management) che sono console di controllo generale del sistema, da dare in dotazione ad un team di esperti (chiamato di solito Security Operation Center) e pianificare attività di Risk Management per la gestione anche economica delle ricadute sull’azienda; infine è caldamente consigliato effettuare operazioni di “simulazione”, per verificare che le procedure adottate siano sempre aggiornate e applicate (es: penetration test, ma anche audit sul personale).

Infine per le Aziende è possibile anche accedere a polizze assicurative (come trattato in questo articolo) per ridurre i costi e far fronte a quello che si chiama “rischio residuo”.

Concludendo

I maggiori sistemi di file sharing garantiscono un livello di sicurezza elevato e sono sufficientemente affidabili da scongiurare un data breach, ma sono comunque soggetti alle criticità dovute alla grande diffusione ed integrazione con terze parti e uso da parte di utenti “non preparati”.

Per capirci: l’evoluzione esponenziale dei sistemi digitali ed interconnessi ha permesso di realizzare nuove soluzioni e servizi, ma l’utenza non si è evoluta altrettanto velocemente ed utilizza quindi anche inconsapevolmente degli strumenti con grandi potenzialità ma che possono diventare estremamente sensibili e delicati, soprattutto se “lasciati aperti” inconsapevolmente.

Il vero rischio di fatto è sempre di più il fattore umano.

Su cui però possiamo intervenire… personalmente!