Il livello di gestione: un rischio per la sicurezza informatica?
Con l'uso di speciali tecniche di social engineering, è possibile verificare in che misura i manager rappresentano un rischio per la sicurezza.
I sistemi tecnici di sicurezza informatica sono forti solo quanto il loro anello più debole: questo non riguarda solo le nuove tecnologie e le soluzioni software, ma anche il "fattore di rischio umano". Ridurre al minimo questa potenziale vulnerabilità attraverso la formazione della consapevolezza della sicurezza e la creazione di soluzioni tecniche di supporto deve sempre essere una componente importante di una strategia di sicurezza preventiva.
Controllare il livello C complessivo
NTT Security determina come il "punto debole umano" sia per la sicurezza informatica di un'azienda nel nuovo "Hack gestionale". L'attenzione si concentra sul livello manageriale di un'azienda, vale a dire l'intero livello C come CEO, CFO o CIO. Il fornitore di sicurezza scrive che il livello dirigenziale è un obiettivo attraente per ogni hacker, poiché questo gruppo di persone di solito gode di un accesso illimitato ai dati aziendali riservati. Non è raro che i manager godano di privilegi speciali: le politiche e gli standard di sicurezza vengono sospesi o allentati per semplificare il processo di login, ad esempio, con conseguenze fatali.
Dopo un adeguato coordinamento con il cliente, vengono eseguiti attacchi di social engineering simulati e personalizzati, di cui le persone coinvolte non sanno nulla. Secondo NTT, si tratta di analizzare il grado di responsabilità del livello dirigenziale in termini di consapevolezza della sicurezza e di sicurezza informatica. In seguito, vengono identificati i punti deboli concreti e vengono raccomandate delle misure.
Prime esperienze con "Management Hack
L'azienda, specializzata in sicurezza informatica, ha realizzato diversi progetti di "management hack" in Scandinavia. "I risultati hanno sorpreso anche noi. In molti casi, abbiamo ottenuto l'accesso a dati critici per l'azienda, come piani aziendali, piani di fusione e acquisizione, sistemi di gestione delle merci, controller di dominio, nomi di utenti o password, in soli dieci minuti. Spesso sono stati trovati anche dati di accesso amministrativo", spiega Kai Grunwitz di NTT Security. "I pericoli associati per un'azienda sono evidenti. Ad esempio, un attaccante con diritti amministrativi può muoversi liberamente nella rete e spesso accedere a informazioni critiche senza essere notato per molto tempo."
Il nuovo servizio mira ad aumentare la consapevolezza della sicurezza a livello di consiglio di amministrazione e di management, ma in ultima analisi anche a stabilire una nuova strategia e cultura della sicurezza in tutta l'azienda. "I nostri primi progetti hanno dimostrato che c'è sicuramente bisogno di un'azione da parte delle aziende", afferma Grunwitz. "Il livello di maturità in materia di sicurezza informatica è, per usare un eufemismo, ancora piuttosto basso a livello dirigenziale".
