illecite di malintenzionati in possesso

del necessario know how. Cioè,

diversamente da quanto avveniva

in passato quando la sicurezza

delle informazioni, quella logica

in particolare, si esprimeva nella

protezione di risorse localizzate

in un’area individuata presidiabile

con il vantaggio della conoscenza

del perimetro da monitorare;

ora la superficie esposta di

un’organizzazione è ampia tanto

quanto è distante il più lontano

dalla sede dei suoi dipendenti in un

dato tempo. Ciò implicando, non

solo la necessità di confrontarsi

con la sicurezza intrinseca del

dispositivo impiegato, per esempio

dal dipendente in trasferta che

dovrà proteggerlo secondo le

politiche stabilite (evitando reti non

protette, custodendolo in modo

appropriato e usando i vari sistemi

di autenticazione), ma anche la

necessità per l’organizzazione di

confrontarsi, con le norme dei vari

Stati in cui i dati del dispositivo, e/o il

dispositivo stesso, si trovano.

Senza entrare nel merito delle

problematiche legate al cloud

computing e alle norme in materia

94

Affrontare in termini di risk

assessment la valutazione del

fattore umano, nella configurazione

di processi di gestione

dell’Information Security, implica

tenere in considerazione, almeno

due modelli tecnologici, la cui piena

delimitazione, anche da un punto

di vista giuridico, non è sempre di

così immediata comprensione e

disciplina. Mi riferisco, in particolare,

a quei particolari domini applicativi

definiti dagli acronimi BAN (Body

Area Network) e PAN (Personal

Area Network).

Si tratta, dei domini applicativi piú

prossimi all’individuo, inteso come

persona fisica, costituiti dall’insieme

dei device e delle applicazioni su di

essi funzionanti, collegati tra loro,

con i protocolli disponibili, indossati

dall’uomo o, in alcuni casi impiantati

nel corpo umano.

Know how & attack surface

Conseguenza della diffusione

dell’uso del modello descritto,

dal punto di vista della sicurezza

delle informazioni, è l’ampliamento,

senza precedenti, della superficie

di attacco disponibile ad attività

IL PARERE DEL LEGALE

ottobre 2016

© Ann_ka - Fotolia.com

Risorse umane

e sicurezza

delle informazioni

INTERNET, NETWORK

E PERSONAL SECURITY

COME SI GESTISCE IL FATTORE UMANO

di esportazione dei dati, si pensi, per

intendersi, alla differente intensità

delle procedure di controllo

operate dai differenti Stati alle

loro frontiere con riferimento ai

dispositivi elettronici di elaborazione

e al loro contenuto - che, in alcuni

casi, consentono al personale

di sicurezza, una vera e propria

acquisizione logica di una copia

dell’intero dispositivo.

The car’s hacking book

Per fare altri esempi di immediata

comprensione, si può pensare

al fatto che, da un punto di vista

tecnologico, è senz’altro possibile

ritenere una smartcar collegata a un

cloud accessibile via smartphone,

come a un unico sistema informativo

soggetto, in quanto tale, nei limiti del

contesto tecnologico da considerare,

alle regole previste e applicabili sia

in termini di Information Security

sia in termini di disciplina legale. Ma,

sia lo smarthphone, sia l’autovettura

‘intelligente’, entrambi componenti

dell’unico ‘sistema informativo’

del nostro esempio, presentano

rischi specifici di compromissione,

correlati a tecniche di intrusione,

Giuseppe Serafini