Incosciente insicurezza. Ovvero, come non dare inconsapevolmente potenti strumenti ad attaccanti malintenzionati.

Recentemente ho scovato questo articolo che ritengo piuttosto interessante. Ho parlato con dei miei colleghi e, di fatto, i metadata possono costituire un enorme fonte di rischio.

Comunque, partendo da questo articolo si affronta il problema del “data leack prevention” sotto un altro aspetto.

Ricordate l’articolo dove venivano ritrovati i “blue print” del Marin One della presidenza degli Stati Uniti d’America? Bene, lì, il danno era stato causato  da l’uso di sfotware P2P. Diciamo quindi un’azione che è notoriamente deprecabile da parte di tutti, esperti IT e non.

Nel caso delle informazioni presenti nei metadata, si tratta di materiale che la quasi totalità degli utenti ignora completamente.

Un documento di Office, ad esempio contiene tante di quelle informazioni che la maggior parte degli utenti non si aspetta.

Contiene il nome dell’autore, della società che ha registrato il prodotto e, su alcune versioni meno recenti di Office, si trovavano persino le correzioni (coi refusi).

In Italia, in queste ultime settimane, abbiamo avuto l’episodio della Carlucci che fiera e baldanzosa presentava un documento che sbandierava come “il manifesto della giusta Internet”…e che in realtà mascherava la castrazione della libertà su internet, scritto per mano di un personaggio tra i maggiormente interessati a coinvolti nel merito (avete presente l’annoso problema del conflitto di interessi???). Parliamo di Davide Rossi e dell’episodio già citato  qui [articolo].

Ora ammettendo di trovarsi in una posizione meno losca, diciamo, in una posizione dove i dati e le informazioni vanno giustamente difese per il bene dei nostri clienti ma, soprattutto per il bene della nostra azienda, come ci si “dovrebbe comportare“?

Per prima cosa partiamo da un interessantissimo documento di Larry Pesce. Il pdf è di 69 pagine che sto ancora leggendo ma, l’inizio promette molto bene. Tanto per cominciare parte dalla banale definizione di cosa sia un metadata e quali informazioni esso può contenere.

Il documento offre anche una serie di possibili azione preventive e di screening atte alla minimizzazione del rischio.

Nel documento di Pesce come nell’articolo da cui sono partito, al primo posto tra le misure necessarie c’è quella che di fatto, credo sia citata sin dalla notte dei tempi: la consapevolezza dell’utente. Non c’è peggior rischio per un’azienda di un utente inconsapevole. Molto spesso l’utente non pensa che da una sua leggerezza possa capitare qualcosa di grave. Al massimo può arrivare a temere un eventuale licenziamento. Questo fa si che in presenza di azioni “pericolose”, l’utente medio tenda a farsi i fatti propri, ignorando che se un collega espone l’azienda ad una fuga di informazioni (e.g. database clienti con nomi, cognomi e n° carta di credito), non rischia solo il licenziamento ma il fallimento dell’intera azienda.

Citazione interessante presente nell’articolo e inerente un prodotto Workshare Protect Network che introduce un nuovo genere di appliance dedicato alla scansione dei contenuti in transito. In questo caso, quelle che viene “osservato ai raggi X” è un qualsiasi tipo di documento (email, fotografia, doc, ) per verificare la presenza di eventuali metadata (fa un sacco di altre cose ma questa mi sembra la più interessante).

Trovo poi che tutto questo articolo e l’argomento trattato in esso, prenda un gusto decisamente diverso nell’ottica di utilizzare in azienda risorse di tipo Cloud Computing, avendo già discusso circa il nuovo concetto di perimetro della rete aziendale quando ci si trova di fronte a questa recente tecnologia.