Per il trasferimento di informazioni all’interno dell’Organizzazione (poniamo da un reparto a un altro) o verso l’esterno (per la condivisione con clienti o fornitori), è possibile impiegare diversi strumenti (la voce, le mail, le share di condivisione, i supporti fisici, ecc). Ad ogni strumento corrispondono specifici rischi e specifiche contromisure di sicurezza da pianificare e adottare.
In questo quadro, i supporti di memorizzazione hanno una particolarità: il loro ciclo di vita può essere più o meno lungo e complesso, ma deve comunque essere oggetto di misure di sicurezza adeguate a ciascuna fase.
Proviamo a definire, in accordo con la linea guida UNI CEI EN ISO/IEC 27002:2024, quali sono queste fasi e quali le misure di volta in volta suggerite/adottabili:
- Acquisto: deve essere fatto da soggetti sicuri, con garanzia di affidabilità.
- Registrazione di informazioni all’interno del supporto: se le informazioni sono particolarmente critiche è necessario applicarvi opportuna crittografia o una protezione fisica aggiuntiva rispetto alle consuete.
- Conservazione nell’Organizzazione: l’ambiente fisico deve essere tanto più sicuro quanto più le informazioni sono classificate come critiche; occorre inoltre proteggerle dalle minacce ambientali (calore, acqua, umidità, campi elettrici, invecchiamento).
- Degrado dei supporti di memorizzazione, contenenti informazioni ancora necessarie: potrebbe bastare trasferire le informazioni su nuovi supporti, prima che diventino illeggibili. Se anche altri supporti hanno lo stesso livello di invecchiamento, provvedere a registrare le informazioni su altri supporti (facendone più copie).
- Interazione: l’operazione di inserimento della chiavetta USB nel proprio PC va compiuta solo quando si è certi della affidabilità del supporto stesso e solo per motivi strettamente connessi alle attività lavorative. In un recente post abbiamo a questo proposito sottolineato i rischi collegati alla tecnica di ingegneria sociale definita #baiting. (qui il link se ve lo siete persi).
- Spostamento dei supporti al di fuori dell'organizzazione: deve essere specificamente autorizzato. Buona pratica è quella di mantenere aggiornato un registro degli spostamenti del supporto.
- Trasporto fisico tramite servizio postale o corriere: devono essere considerati i rischi e messe in atto misure per impedire accessi non autorizzati, uso improprio o danneggiamenti fisici.
- Danneggiamento del supporto: va eseguita specifica analisi rischi, coerente con la classificazione delle informazioni, prima di decidere se richiedere a un fornitore di tentare il recupero delle informazioni, poiché in alcuni casi potrebbe essere troppo rischioso permettergli di conoscere i dati contenuti nell’unità di memoria.
- Riutilizzo dei supporti: formattazione sicura e riassegnazione/riutilizzo.
- Smaltimento dei supporti: formattazione sicura e avvio in smaltimento o in area definita, in attesa di smaltimento. In questo caso i rischi possono essere molteplici: legati alla ditta di smaltimento (che deve essere affidabile), al luogo di stazionamento pre-smaltimento (rischio di accumulo di informazioni aggregabili da malintenzionati), al supporto che deve essere distrutto fisicamente oltreché formattato.
Tutto questo ovviamente va regolamentato con opportune policy di dettaglio; le funzioni che prendono parte a ciascuna delle fasi del ciclo di vita del supporto devono sapere come comportarsi e quali rischi può implicare non attenersi alle indicazioni di sicurezza stabilite dalla Direzione. Solo in questo modo è possibile all’Organizzazione assicurare la divulgazione, la modifica, la rimozione o la distruzione delle informazioni sui supporti di memorizzazione quando autorizzate.
