Come tenere al sicuro i propri devices in base al luogo in cui vengono utilizzati?

Innanzitutto, chiariamo che:

• Col termine devices ci riferiamo principalmente ai PC fissi o mobili di cui l’Organizzazione dota i suoi dipendenti,
• Questa dotazione può stare in sede o accompagnare il dipendente fuori dalle mura dell’Organizzazione permettendogli ad esempio di svolgere attività in remote working,
• A metterci la pulce nell’orecchio per farci ragionare su come tenere al sicuro i PC è la linea guida UNI CEI EN ISO/IEC 27002 nella sua versione corrente (ISO 27002), lo standard che si collega alla Norma UNI CEI EN ISO/IEC 27001:2024 e che si occupa, nell’ambito della Information Security, cybersecurity e protezione della privacy, di fornire un insieme di controlli di riferimento per la sicurezza delle informazioni,
• Il focus di questo articolo è sulla sicurezza fisica e la protezione del device, ossia dell’oggetto materiale (HW) che contiene le informazioni, non sulla sicurezza delle informazioni (che comunque interviene in seconda battuta).

 

Tre categorie di fattori di rischio

Alcuni fattori rappresentano dei rischi per la sicurezza fisica dei devices, sia che essi si trovino posizionati all’interno della sede di lavoro sia che vengano spostati o abbiano sede fissa all’esterno di essa; possiamo farli rientrare in tre categorie:

• Posizione e disposizione del PC
• Minacce fisiche e ambientali
• Comportamenti degli utilizzatori

Per ciascuna di esse l’Organizzazione può adottare delle contromisure di tipo organizzativo (e, in alcuni casi, tecnico) per gestirne le criticità.

Esempi e suggerimenti (non esaustivi)

Ad esempio, se la tua Organizzazione è un modernissimo openspace o gli spazi sono suddivisi da splendide vetrate, avrai un ambiente luminoso e “relazionale” ma anche un problema da risolvere in funzione della possibilità che persone non autorizzate (visitatori sì, ma anche colleghi) possano vedere dati e informazioni processate sul desktop di qualcun altro, semplicemente passando o stazionando in un corridoio.

Le soluzioni possono differire in linea con la situazione specifica; qualcuno potrebbe decidere di serigrafare le vetrate, qualcun altro di posizionare gli schermi in modo tale che nessuno passando possa “sbirciare”. L’importante è verificare che la soluzione adottata sia efficace.

Azioni e monitoraggi sono fondamentali anche in relazione alle minacce di derivazione naturale e/o umana. Un esempio: all’ipotesi di furto nella sede aziendale ciascuno risponderà con misure più o meno marcate a seconda del valore che ritiene di dover/voler proteggere. Qualcuno si accontenterà di un’inferriata, qualcun altro aggiungerà un sistema antintrusione, la videosorveglianza collegata o meno alle forze dell’ordine, un servizio di guardiania, ecc.

La ISO 27002 cita quali minacce da considerare: incendio, esplosivi, fumo, acqua o mancanza di alimentazione idrica, polvere, vibrazioni, effetti chimici, interferenze nell'alimentazione elettrica, interferenze nelle comunicazioni, radiazioni elettromagnetiche e atti vandalici; rammenta inoltre che è necessario tenere sotto controllo la temperatura e l'umidità quando esse possono influire negativamente sul funzionamento delle strutture di elaborazione delle informazioni. Tipicamente, infatti, nei data center le temperature tendono ad aumentare e, per assicurare il buon funzionamento delle apparecchiature che vi sono installate è necessario mantenere una bassa temperatura (varie best practices consigliano tra i 15 e i 25 gradi). Altro nemico giurato delle apparecchiature elettroniche è l’umidità. Occorre quindi analizzare se vi sono fonti di umidità, strumenti per controllarne i livelli, mezzi fisici utili a riparare da umidità (o da acqua) le apparecchiature. Le situazioni e le rispettive soluzioni variano in funzione del luogo fisico. Una buona analisi è fondamentale per decidere per il meglio, attuando anche il necessario bilanciamento tra costi e benefici cui gli imprenditori avveduti prestano grande attenzione.

Ma se il PC segue il dipendente nelle sue trasferte cosa può fare l’Organizzazione per proteggerlo in caso venga rubato o nell’eventualità che subisca danni derivanti dalle condizioni ambientali?

Innanzitutto, può responsabilizzare il dipendente affidatario dell’apparecchiatura. Può condividere con lui le istruzioni del produttore per la protezione delle apparecchiature (come proteggerla da esposizione a campi elettromagnetici, acqua, calore, umidità, polvere, ecc). Può istruirlo su comportamenti virtuosi (banale ma efficace: non lasciare il PC incustodito), può sensibilizzarlo sulle ricadute in termini operativi e di sicurezza delle informazioni se non applica quei comportamenti, può e deve informarlo delle attività che è necessario che egli esegua rapidamente una volta accortosi del furto o del danno. Una su tutte? Avvertire l’Organizzazione, che provvederà alla cancellazione a distanza dei dispositivi in caso di furto (operazione che non “salverà” l’oggetto, ma almeno le informazioni che vi sono contenute).

È importante responsabilizzare le persone, perché non abbiamo tutti lo stesso livello di percezione del rischio. I motivi sono diversi, molti afferiscono alle competenze dei singoli.

Per questo può sembrare superfluo il suggerimento della ISO 27002 di stabilire linee guida in merito al mangiare, bere e fumare in prossimità di strutture di elaborazione delle informazioni. Può sembrare ovvio se si ragiona sulle conseguenze, ma non tutti lo fanno o possono farlo da soli.

Istruzioni chiare e formazione ripetuta nel tempo possono concorrere a mantenere le apparecchiature in salute. E dunque a mantenere intatto il valore, economico e non, che esse hanno per l’Organizzazione.