Quando si parla di sicurezza delle informazioni spesso si pensa ad ambiti top secret di asset aziendali e, in quanto tali, da tutelare e proteggere in modo particolare per evitare fughe di dati all’esterno dell’organizzazione.

Il termine OPSEC (OPeration SECurity) fu coniato per la prima volta nell’esercito americano durante la guerra del Vietnam quando una squadra d’assalto, chiamata Purple Dragon[1], riuscì ad anticipare le mosse dell’avversario americano, nonostante non si avessero prove o notizie di falle sull’intelligence interna. La conclusione fu pertanto che le stesse forze statunitensi stessero in qualche modo rivelando involontariamente informazioni utili al nemico.

La sicurezza delle operazioni è un processo attraverso il quale le organizzazioni valutano e proteggono i dati di pubblico dominio che le riguardano. Dati che, se attentamente analizzati e intelligentemente correlati, possono rivelare informazioni riservate o strategiche per una determinata organizzazione. 

Si tratta quindi di un processo di determinazione di informazioni critiche, non classificate o controllate che possono rappresentare un indicatore o un percorso verso quelle informazioni classificate che invece necessitano di protezione per un tempo limitato o prolungato.

Per fare un esempio più concreto, nel marzo 2017 un certo James Comey allora ancora direttore dell’FBI risultò titolare di un account su Instagram e uno su Twitter,[2] grazie alle ricerche, neppure troppo approfondite, della scrittrice Gizmodo Ashley Feinberg. Attraverso questi pochi indizi si è poi risaliti anche a capire molti ulteriori dettagli legati alla sua famiglia.

Questo esempio dimostra come anche soggetti preposti a garantire la sicurezza delle informazioni possano incorrere in distrazioni umane durante attività di routine digitale. In questo contesto si rischia dunque di lasciare tracce digitali in rete alla mercé di qualcuno in grado di ricostruirle e correlarle per .

Questo processo di attenzioni comporta certamente un certo sacrificio per chi lo deve mettere in pratica, ma alla luce dei fatti, in determinati contesti, si rende necessario per non compromettere la riservatezza delle informazioni, in particolar modo, quando queste riguardano tattiche e strategie che impattano sull’intera organizzazione.

Buon senso e consapevolezza prima di tutto sono pertanto gli elementi dai quali partire ogniqualvolta si compiono azioni che possono sembrare banali o di normale routine nel mondo digitale.

Il processo per implementare la sicurezza operativa può essere classificato in cinque fasi:

  1. Identificare i dati che includono informazioni “sensibili” e strategiche per l’organizzazione (es. informazioni sui dipendenti, sui prodotti e proprietà intellettuale).

  2. Per ogni categoria di informazioni “sensibili” identificare la tipologia di minacce possibili. In questo scenario occorre valutare attentamente quelle che sono le minacce interne rispetto a quelle di un perimetro esterno.

  3. Analizzare le vulnerabilità e le falle di sicurezza  per determinare se esistono vulnerabilità che possono in qualche modo essere sfruttate per ottenere l’accesso ai dati “sensibili”.

  4. Stilare un report che fotografa lo stato dei rischi rispetto a ciascuna vulnerabilità e relative criticità. In relazione a queste poi definire una priorità in base all’entità del danno che sono in grado di arrecare e alla quantità di tempo necessario al ripristino della normale condizione operativa. Più probabile e dannoso risulta un attacco, più si dovrà dare priorità alla mitigazione del rischio associato.

  5. Predisporre le contromisure adeguate come ultimo atto del processo della sicurezza operativa.  Creare quindi un piano strategico volto a eliminare le minacce e mitigare i rischi. Ciò significa aggiornare l’hardware / software, mettere in atto nuove politiche in materia di sicurezza.

Una esplicativa rappresentazione a fumetto di F-Secure fa capire meglio come un classico viaggio di lavoro possa rappresentare elementi di criticità per la riservatezza delle informazioni aziendali.

Troppo spesso capita infatti che durante le procedure di imbarco si lascino in vista gli effetti personali quali il biglietto di viaggio dove attraverso un rapido sguardo diventa semplice acquisire informazioni quali: nome e cognome, la prenotazione e i vari riferimenti sulla carta d’imbarco.

Una volta in aeroporto capita poi di collegare i propri dispositivi a reti Wi-Fi o a porte usb di ricarica di cui non sia hanno garanzie di non compromissione.

Attraverso queste connessioni poi si è soliti continuare a lavorare, inviare mail, messaggi e quant’altro senza avere certezza che qualcuno non sia in “ascolto”.

Ma anche durante le classiche conversazioni, sia dirette che in cuffia, non ci si preoccupa troppo di chi ci potrebbe stare a fianco o se magari, apparentemente impegnato ad ascoltare della musica, in realtà non stia invece ascoltando le nostre conversazioni…

Altro errore potrebbe essere quello di liberarsi dei propri dispositivi una volta giunti a destinazione, per svariate ragioni di praticità si lasciano magari nella cassaforte dell’hotel e quindi fuori dalla nostra portata e controllo.

In mobilità si è comunque tracciati e geolocalizzati se non si presta attenzioni alle impostazione dei nostri device, per default molte di questa impostazioni risultano spesso attive e possono, nostro malgrado, esporre informazioni sulla rete a disposizione di chi è a portata di segnale.

Particolare attenzione va poi prestata quando vengono connessi dispositivi estranei (vedi chiavi o dischi USB) o ci si connette a dispositivi terzi per accedere a servizi Internet o addirittura a servizi aziendali.

L’utilizzo di credenziali di accesso diventa necessario; questo processo dovrebbe quindi essere eseguito in sicurezza e solamente in caso di estrema necessità attraverso un password manager e accertandosi, a fine lavori, di non lasciare tracce digitali su questi dispositivi ospite.

Sebbene ci siano numerose “best practice” applicabili a qualsiasi tipo di organizzazione, le esigenze di OpSec variano in base a diversi fattori, come il settore specifico di mercato e l’ambiente operativo. Quando si applicano questi processi molti pensano che si tratti di mezzi d’avanguardia anti spionaggio, attraverso attività quotidiane messe in opera simili a operazioni segrete. In realtà un buon protocollo di OpSec può comprendere euristiche linee guida o semplici regole volte a proteggere informazioni contribuendo a renderle significativamente più sicure e complicate da esfiltrare.

Sebbene sia importante mantenere un solido OpSec durante circostanze normali, la sua importanza cresce esponenzialmente durante attività in mobilità, fuori dalle mura aziendali, poiché le probabilità di perdite di informazioni sensibili per l’azienda sono molto più elevate su un ambiente sconosciuto e quindi non sicuro.

Mantenere una buona OpSec per lunghi periodi di tempo può essere impegnativo e faticoso ma questi processi di attenzione digitale devono essere strutturati all’interno delle orgnanizzazioni come circuito virtuoso che mira a rendere tutti consapevoli di aspetti che altrimenti risulterebbero di normale routine.

______________________________________________________________

[1] Purple Dragon ha coniato la prima definizione militare di OPSEC: “La capacità di mantenere la conoscenza dei nostri punti di forza e di debolezza lontano dalle forze ostili“.

[2] https://gizmodo.com/this-is-almost-certainly-james-comey-s-twitter-account-1793843641

Alessandro Bonu

Systems Infrastructure Engineer - IT Security Specialist - Digital Forensics Expert at Engineering D.HUB
Analisi e progettazione di architetture IT con particolare attenzione ai requisiti e Policy di Cyber Security per l'implementazione e il monitoraggio di misure adeguate per la protezione di reti e tecnologie informatiche a tutela e salvaguardia delle informazioni digitali.
Alessandro Bonu