Eventi 2017
Legale
 

02/12/2016

Share    

di Giuseppe Serafini

Risorse umane e sicurezza delle informazioni

Oggi non solo esiste la necessità di confrontarsi con la sicurezza intrinseca del dispositivo impiegato, per esempio dal dipendente in trasferta, ma anche di confrontarsi con le norme dei vari Stati in cui si trova.

Affrontare in termini di risk assessment la valutazione del fattore umano, nella configurazione di processi di gestione dell’Information Security, implica tenere in considerazione, almeno due modelli tecnologici, la cui piena delimitazione, anche da un punto di vista giuridico, non è sempre di così immediata comprensione e disciplina. Mi riferisco, in particolare, a quei particolari domini applicativi definiti dagli acronimi BAN (Body Area Network) e PAN (Personal Area Network). Si tratta, dei domini applicativi piú prossimi all’individuo, inteso come persona fisica, costituiti dall’insieme dei device e delle applicazioni su di essi funzionanti, collegati tra loro, con i protocolli disponibili, indossati dall’uomo o, in alcuni casi impiantati nel corpo umano.

Know how & attack surface
Conseguenza della diffusione dell’uso del modello descritto, dal punto di vista della sicurezza delle informazioni, è l’ampliamento, senza precedenti, della superficie di attacco disponibile ad attività illecite di malintenzionati in possesso del necessario know how. Cioè, diversamente da quanto avveniva in passato quando la sicurezza delle informazioni, quella logica in particolare, si esprimeva nella protezione di risorse localizzate in un’area individuata presidiabile con il vantaggio della conoscenza del perimetro da monitorare; ora la superficie esposta di un’organizzazione è ampia tanto quanto è distante il più lontano dalla sede dei suoi dipendenti in un dato tempo. Ciò implicando, non solo la necessità di confrontarsi con la sicurezza intrinseca del dispositivo impiegato, per esempio dal dipendente in trasferta che dovrà proteggerlo secondo le politiche stabilite (evitando reti non protette, custodendolo in modo appropriato e usando i vari sistemi di autenticazione), ma anche la necessità per l’organizzazione di confrontarsi, con le norme dei vari Stati in cui i dati del dispositivo, e/o il dispositivo stesso, si trovano. Senza entrare nel merito delle problematiche legate al cloud computing e alle norme in materia di esportazione dei dati, si pensi, per intendersi, alla differente intensità delle procedure di controllo operate dai differenti Stati alle loro frontiere con riferimento ai dispositivi elettronici di elaborazione e al loro contenuto - che, in alcuni casi, consentono al personale di sicurezza, una vera e propria acquisizione logica di una copia dell’intero dispositivo.

The car’s hacking book
Per fare altri esempi di immediata comprensione, si può pensare al fatto che, da un punto di vista tecnologico, è senz’altro possibile ritenere una smartcar collegata a un cloud accessibile via smartphone, come a un unico sistema informativo soggetto, in quanto tale, nei limiti del contesto tecnologico da considerare, alle regole previste e applicabili sia in termini di Information Security sia in termini di disciplina legale. Ma, sia lo smarthphone, sia l’autovettura ‘intelligente’, entrambi componenti dell’unico ‘sistema informativo’ del nostro esempio, presentano rischi specifici di compromissione, correlati a tecniche di intrusione,manipolazione o danneggiamento, i cui esiti possono avere impatti dannosi, assai rilevanti. Da un punto di vista legale, per esempio, in caso di violazione del sistema frenante di una smartcar potremmo dover considerare, oltre alle norme in materia di danneggiamento e accesso abusivo a sistemi informatici o telematici, anche quelle in materia di delitti contro la persona. Questo per aver provocato, in ipotesi, attraverso la violazione informatica, lesioni personali al conducente o ai passeggeri, ovvero la loro morte. Nondimeno, la violazione dello smarthpone, analogamente a quanto appena chiarito, potrebbe implicare di dover considerare, per la protezione degli interessi o dei diritti lesi, le norme in materia di informazioni riservate o di tutela della corrispondenza. In questo scenario diventa evidente quanto sia importante stabilire, per le organizzazioni che all’interno di esso devono operare, senza subire danni a cose o persone, dei criteri di massima da seguire nella disciplina dell’uso da parte del personale addetto, nelle varie funzioni, degli strumenti e delle informazioni di cui dispongono.

Byod or not Byod?
Questo è il dilemma La prima scelta da compiere per un’organizzazione in merito alle politiche di sicurezza da applicare nei confronti del personale dipendente è quella, non scevra di importanti implicazioni legali, relativa all’eventualità di impiego, da parte di quest’ultimo per finalitá correlate all’adempimento della prestazione lavorativa, di dispositivi di elaborazione propri da integrare, caso per caso e in base a regole prestabilite, con policy relative alla protezione del patrimonio aziendale. Oltre le questioni legate al social enginering o a minacce piú marcatamente tecnologiche (malware, trojan etc.), a proposito del ‘bring your own device’ quello che è importante sottolineare, quanto a proteggibilità delle informazioni aziendali allocate o elaborate per il tramite di un dispositivo a uso promiscuo, è il fatto che, detta promiscuità limiti, in alcuni casi totalmente, non solo il controllo preventivo sulla diffusione, la condivisione o l’accesso alle informazioni, ma soprattutto anche drasticamente la loro successiva stessa disponibilità per indagini o analisi. Ciò in quanto nel nostro ordinamento, e in ambito processual-penalistico, in particolare, vige la regola per cui nessuno può essere costretto ad autoaccusarsi; con la conseguenza che, in termini pratici, nessuno, neanche il personale dipendente, può essere costretto a rivelare, banalmente, la password di accesso ai dati di un dispositivo di cui è proprietario. Quindi, delle due l’una, o il dispositivo è di proprietà della organizzazione e viene usato nell’ambito di policy scritte, accettate e correlate a specifiche configurazioni del dispositivo stesso, che ne garantiscono, comunque, l’accessibilità, oppure, il rischio che l’organizzazione corre è, in ultima analisi nel peggiore degli scenari, quello di perdere la disponibilità delle informazioni in esso contenute. Intaccando così uno dei tre pilastri del concetto stesso di sicurezza delle informazioni che, come sappiamo, devono essere: riservate, integre e disponibili.

...Ma non è tutto!
Anche nel caso in cui, l’uso di uno strumento elettronico da parte di una organizzazione, sia legittimamente presidiato e assoggettato a regole puntuali, rimangono ancora, come vero e proprio rischio residuo, da considerare, almeno due evenienze che possono verificarsi. In primo luogo il mancato ‘volontario’ rispetto delle regole stabilite da parte dell’utilizzatore e, in secondo luogo, ma non certo per importanza e/o gravità di impatto, il loro mancato rispetto per negligenza, imprudenza o imperizia. In questo quadro si collocano alla perfezione, come soluzione di diritto positivo, le norme degli articoli 29 e 32 comma 4 del nuovo Regolamento promulgato dal legislatore comunitario in materia di protezione dei dati personali. Espressamente prevedono che: “Il titolare del trattamento e il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento”.

 

TORNA INDIETRO >>