A cura di Alessio Lo Turco, Manager, Systems Consulting di Dell Software
Per fermare l’ondata di intrusioni, il Chairman di Twitter Jack Dorsey ha annunciato che aggiungerà una terza chiave – un codice generato casualmente – per accedere alla piattaforma di microblogging e aumentarne la sicurezza.
In effetti sono sempre più numerosi gli attacchi di social engineering rivolti a questi canali, solitamente protetti da password. Sono in molti però a non usare password forti e a riutilizzare la stessa per accedere a siti diversi. Come fargliene una colpa? È difficile, perché le persone non percepiscono l’importanza delle password dei social media allo stesso modo di quelle di un conto bancario. Purtroppo però, se un account Facebook viene violato e la password utilizzata è la stessa di altri login, compresi quelli aziendali, è sufficiente sapere dove questa persona lavora per tentare l’accesso. Ad aggravare ulteriormente la situazione c’è il fatto che oggi è molto più facile ottenere la fiducia altrui.
Le tecniche di social engineering sono sempre state una pietra miliare delle strategie di hacking perché consentono di ricavare informazioni in maniera semplice. La scorretta configurazione della privacy su Facebook o LinkedIn fa sì che un hacker possa semplicemente cercare nel nuovo Facebook Graph Search per venire a conoscenza della società per la quale una persona lavora e cercare di accedere ai suoi account aziendali.
Esistono tre best practice che le aziende possono adottare per garantire che i dipendenti utilizzino i social media in maniera sicura:
1. Esplicitarlo nelle policy sulle password. Queste ultime tendono a focalizzarsi su quanti caratteri speciali e numeri una password deve avere. Sarebbe opportuno aggiungere: “Per la vostra sicurezza e quella dell’azienda, non usate questa password per altri scopi al di fuori dell’accesso alla rete”.
2. Assicurarsi che i dipendenti sappiano che il personale IT non chiederà mai la loro password. Se una policy di questo genere esiste, nessuno può chiamare facendo finta di essere del supporto IT e richiedere di comunicare le password per telefono.
3. Pensare a un programma di formazione e assicurarsi che sia focalizzato sulla sicurezza dell’utente, e non il contrario. Le organizzazioni devono creare policy ed educare di conseguenza gli utenti, dando loro indicazioni anche circa i comportamenti da adottare sui social media.
Nel momento in cui le aziende valutano l’adozione di una soluzione IAM dovrebbero quindi sceglierne una che soddisfi tutti i requisiti sopracitati legati alla gestione delle identità, ma anche access governance e privileged account management, oltre all’approccio business-centric, modulare e integrato che non è presente nelle soluzioni legacy.
