Per capire quanto al sicuro ci si trova e quali metodi vanno implementati per proteggersi, si può creare un piano di sicurezza personale. In questo tipo di piano bisogna valutare che tipo di informazione si possiede in formato elettronico e come si ha intenzione di proteggerla.
Definire l'asset che si intende proteggere.
Valutare il rischio per capire il livello di protezione richiesto (confidenzialità, integrità, disponibilità).
Pensare ai metodi di difesa in modo approfondito e aggiungere protezioni.
Un buon metodo per pensare alla propria sicurezza è quello di utilizzare la triade CIA o CID menzionata nel primo capitolo di questo corso. La triade CIA o CID è composta da tre facce dello stesso problema:
Confidenzialità
Integrità
Disponibilità
Per capire meglio cosa significa pensare in modo consapevole la sicurezza, si prenda in considerazione il seguente esempio:
Tina utilizza Google Mail come servizio email principale. Impiega il suo indirizzo @gmail.com per registrare la maggior parte degli altri servizi che utilizza.
Pensiamo innanzitutto a cosa sia qui l'asset.
Esso contiene tutte le sue email personali.
Può essere impiegato per fare un furto di identità e passarsi per lei online.
Contiene informazioni personali derivanti da ogni tipo di servizio, indirizzi, numeri di telefono, forse codici della previdenza sociale e anche informazioni relative alla carta di credito.
Può essere impiegato come email di recupero della password per la maggior parte degli account che lei utilizza.
Chiaramente un indirizzo email non è solo un indirizzo email ma può rappresentare molto di più. Come si definisce il rischio per quest'account? Che tipo di protezione bisognerebbe utilizzare?
Con buona probabilità si è arrivati alla conclusione che il rischio legato alla perdita dell'account è alto. Bene, adesso pensiamo a ciò che si può fare per proteggere l'account da eventuali abusi.
La password impiegata dovrebbe avere un'alta entropia quindi è necessaria una password lunga.
La password non deve essere custodita da nessuna parte in chiaro.
Gli account di Google offrono la possibilità di utilizzare una autenticazione a più fattori, il che aggiunge un ulteriore livello di sicurezza per l'account.
Ci sono diversi modi di approcciare la sicurezza nel caso di Tina. Ma qual è il modo migliore per bilanciare la sicurezza e l'usabilità? Come accede Tina alle email?
Un modo ragionevole di proteggere il suo account è quello di utilizzare una password lunga di almeno 15 caratteri. Può venir memorizzata o archiviata in un password manager o su un pezzettino di carta in una cassaforte. L'autenticazione a più fattori può essere attivata e attraverso i servizi di Google si può utilizzare la app di Google come strumento aggiuntivo. Ciò risulta più sicuro rispetto ad un SMS e non necessita di nient'altro a parte avere la app per effettuare l'autenticazione.
Tuttavia se Tina utilizza l'app email del suo telefono cellulare, l'email è sicura solo tanto quanto l'accesso al suo telefono. Quindi se il suo telefono viene rubato e l'aggressore conosce il suo codice PIN, l'account può venir abusato in molteplici modi. Per mitigare l'utilizzo fraudolento del suo account email, dovrebbe accedere all'account solo via browser e sloggarsi ogni volta che ha finito di utilizzarlo. Ciò rappresenta un enorme compromesso nell'usabilità e la cosa migliore potrebbe essere non condividere mai il suo PIN con nessuno. Ognuno è libero di decidere come gestire questa conflitto tra usabilità e sicurezza.
Se Tina utilizza il suo telefono come strumento per l'autenticazione a più fattori, è una buona idea che attivi la funzione di backup del suo telefono affinché possa ottenere di nuovo l'accesso al suo account in caso il telefono si rompa o venga perso. È fondamentale avere a disposizione altri mezzi per accedere al proprio account oltre al proprio telefono. La maggior parte dei siti che offrono l'opzione di autenticazione a più fattori mettono anche a disposizione dei codici di backup in caso di perda il proprio strumento primario. Questi strumenti ad uso singolo possono essere utilizzati per recuperare il proprio account se non si può più accedere allo strumento software o al dispositivo. I backup garantiscono la componente di Disponibilità della triade CIA o CID. Se il disco duro si rompe e non si ha a disposizione un backup aggiornato, la Disponibilità dei dati è non esistente.
Google mette a disposizione un servizio chiamato Google Advanced Protection (Protezione avanzata Google) che permette di effettuare il login al proprio account di Google solo con strumenti di sicurezza hardware o utilizzando l'app Smart Lock di Google.
Non è finita qui, perché bisogna pensare anche al sistema che Tina utilizza per accedere al suo account. Tutti gli update software devono venir installati per essere sicuri che non sussistano vulnerabilità note nel sistema operativo o nel software di cui Tina fa uso. Dovrebbe anche assicurarsi di avere uno scanner antivirus attivo e con tutte le definizioni di virus aggiornate.
Tina dovrebbe inoltre sviluppare l'abitudine di pensare a che tipo di rete sta utilizzando per accedere alle sue email. Se si connette a una rete wireless pubblica, può proteggere il traffico su quella rete grazie ad un software VPN.
Nick Rosener ha scritto un ottimo blog post sul proprio approccio personale alla cybersecurity.
Se non si è un utente dei servizi di Google, niente paura. La maggior parte degli altri servizi offrono opzioni di sicurezza di livello simile. Allo stesso modo per la maggior parte delle soluzioni software menzionate in questo corso esistono delle alternative che potrebbero adattarsi meglio alle proprie esigenze.
Alla fine ognuno è libero di decidere quanta sicurezza vuole. Ciò che conta è che questa decisione va presa in modo consapevole e non a caso.
Per riassumere: L'account email di Tina è un asset molto importante, poiché nel caso in cui perdesse l'accesso al suo account o un aggressore potesse accedere ai suoi contenuti, il rischio è di alto livello. Tina dovrebbe adottare un approccio di difesa approfondito e misure di sicurezza su più livelli sulla base dei tre elementi della triade CIA o CID:
Confidenzialità: Password forti, criptazione del transito dei dati, autenticazione a più fattori.
Integrità: Solo Tina dovrebbe avere accesso all'account e non dovrebbe mai condividere i dettagli relativi al suo account.
Disponibilità: Il backup dei dati garantisce l'accesso all'account.
Dopo aver completato il capitolo 4 si dovrebbe esser capaci di:
comprendere il funzionamento di base di una rete
comprendere l'importanza di una connessione sicura e di come la criptazione rappresenti un passo importante in questa direzione
comprendere come i dispositivi e l'hardware interagiscono con le problematiche relative alla sicurezza della rete.
spiegare gli elementi fondamentali per rendere sicuri i nostri dispositivi e il nostro hardware
