Non si vive di sola tecnologia!

E’ indubbio che la tecnologia aiuti nella difesa dei propri asset e nella protezione dei propri dati, ma è altrettanto indubbio che non basti, anzi che costituisca solo un mezzo per raggiungere i proprio obiettivi. E se il “mezzo” è progettato male o gestito male, il risultato è lo stesso: scarso livello di sicurezza.

Prendete ad esempio quanto successo ad un’azienda canadese che tratta crypto valuta: non ha più accesso al proprio wallet offline in quanto l’unico possessore delle password (chiave privata) è l’amministratore delegato, recentemente deceduto inaspettatamente. Possibile che non ci sia una copia di queste password adeguatamente custodita? Possibile che sia realmente l’unica persona ad avere tali credenziali? Sembra di sì. E il wallet contiene oltre 140 milioni di dollari!!!

L’azienda sostiene che per proteggere i propri utenti dagli attacchi degli hacker, la maggior parte delle crypto monete venisse conservata in un “cold wallet”, un dispositivo fisico non connesso a Internet. Lodevole e condivisibile precauzione, ma se implementata nella maniera corretta. Alcuni ricercatori hanno cercato di effettuare un’analisi approfondita della blockchain senza trovare indizi di tale wallet per cui ritengono che possa essere un’azione di “truffa in uscita”.

Ma poco importa: accade spesso che si espongano ingenuamente dati sensibili in un cloud senza protezione, o che gli accessi a dati sensibili non siano adeguatamente gestiti, o che dati sensibili vengano trasmessi per errore via email a destinatari non corretti, o ancora che si perdano hard disk o portatili contenenti dati riservati non cifrati. Insomma, capita di frequente che i databreach non siano per forza legati a complessi e tecnologici attacchi hacker, ma ad azioni ingenue o errori dell’essere umano.

Pertanto ancora una volta si sottolinea l’importanza di definire security policies, di impostare processi di sicurezza comprensivi di procedure rodate e solide. E ancora non è sufficiente: è fondamentale effettuare azioni approfondite di audit per garantire l’aderenza a quanto definito e aumentare il livello di awareness di coloro che queste procedure le devono seguire.