Sicurezza informatica nello studio legale / parte 2: le buone prassi.

Condividi:

Nel precedente articolo ho illustrato come per uno studio legale moderno sia importante rivedere la propria infrastruttura informatica al fine di ottenere un discreto livello di sicurezza per il proprio lavoro e per i dati personali che si trattano; tuttavia aggiornare un sistema operativo o cambiare un computer potrebbe non essere di per se sufficiente.

Il livello di sicurezza informatica di uno studio legale passa anche attraverso l’attuazione di una serie di buone prassi, cioè una serie di comportamenti che dovrebbero diventare azioni automatiche e spontanee col passare del tempo.

Non tutti possono fare l’amministratore (del sistema).

Da Linux (e macOS che con Linux condivide tante cose), noi che usiamo Windows dovremmo mutuare un modello di organizzazione degli utenti. Purtroppo Windows ci ha abituati troppo bene (o troppo male) perché il primo utente creato dopo l’installazione del sistema operativo è sempre un amministratore ossia un utente con pieni poteri sul sistema operativo e, pertanto, anche in grado di smanettare tanto fino a manomettere l’integrità del tutto. A ciò si aggiunga un utente del genere può installare qualsiasi applicazione senza che gli venga chiesto alcunché e alcune applicazioni, in più, possono avere comportamenti maligni e apportare modifiche al sistema senza l’utente se ne accorga – va detto, tuttavia, che Microsoft fa di tutto per far sì che certe operazioni parlino all’utente e lo avvisino prima che capiti un guaio.

Nel mondo Unix da cui Linux e Darwin (il kernel di macOS) discendono gli utenti creati dopo l’installazione sono sempre due: il primo è l’utente root ossia l’amministratore plenipotenziario, e l’utente normale ossia quello creato da chi sta installando il sistema operativo. Quest’ultimo, diversamente da Windows, deve sempre “chiedere all’amministratore” per poter anche soltanto aggiornare un software: nel momento in cui si avvia l’installazione, il software chiede che sia inserita la password dell’utente root e, quindi, eventuali modifiche al sistema operativo non potranno essere effettuate senza questo passaggio obbligatorio.

Sarebbe utile, quindi, che nei computer con Windows iniziassimo a lavorare con un account semplice (o “bambino“, come talvolta lo definisce Windows): eleveremo la sicurezza intrinseca del nostro computer e avremo un maggior controllo sull’integrità del sistema operativo.

Le istruzioni per creare un nuovo utente ve le fornirò in un articolo della serie “i consigli del sabato sera“.

Gli aggiornamenti non vanno rimandati né ignorati.

Sento spesso le persone lamentarsi dell’intempestività degli aggiornamenti di Windows che si presentano ogni volta quando non dovrebbero (perché il computer ci servirebbe per lavorare). In realtà l’aggiornamento del sistema operativo è uno dei pilastri sul quale si regge la sicurezza informatica ed è operazione da non rimandare né da ignorare. In Windows quest’operazione può essere programmata per essere effettuata fuori dall’orario di attività e permetterci così di lavorare indisturbati.

La rete del tuo studio è sicura? Hai mai fatto un penetration test?

Un aspetto sottovalutato è quello della resistenza della rete interna, soprattutto se attraverso questa si condividono i contenuti di un NAS (Network Attached Storage cioè un sistema di memorizzazione condiviso in rete) fra tutti i computer dello studio. La tua rete interna dovrebbe essere isolata dall’esterno per prevenire eventuali intrusioni, pur sacrificando la possibilità di poter accedere al NAS anche quando sei a casa o in mobilità con lo smartphone o altro dispositivo mobile – meglio sincronizzare i documenti usando un sistema cloud affidabile e rodato.

Per star tranquillo servirebbe un penetration test condotto da un consulente informatico esperto, in grado di verificare quanto la tua rete sia resistente a attacchi dall’esterno e come potrebbe essere resa ancora più sicura.

Le password vanno cambiate regolarmente.

La cura delle password è importantissima. Non è questa la sede per ribadire che si dovrebbero adottare le passphrase in luogo delle password però è opportuno ricordare che:

  1. non si deve usare una sola password per tutti gli account, siano essi siti web o computer che si usano per il lavoro;
  2. la password deve cambiare spesso – diciamo ogni 90 giorni circa.

La nostra abitudine di usare la solita password che usiamo dal 1996 ci espone al pericolo che questa possa finire in un data breach di qualche sito web vulnerabile oppure che possa facilmente essere indovinata grazie alla potenza attuale dei computer.

In più, le password non devono essere annotate su fogli o agende ma vanno imparate a memoria – il perché è facile da comprendere.

Abbi cura del tuo smartphone come ne avresti del tuo portafogli.

Quando sento di qualche collega che ha smarrito lo smartphone o il tablet, semplicemente inorridisco. Quando si è fuori da casa o dallo studio, questi dispositivi dovrebbero essere sempre e costantemente incollati alle vostre mani per evitare che li scordiate in una sala d’attesa, su un treno o un aereo, in un ristorante o in un parco. Nella malaugurata ipotesi che finiscano nelle mani altrui, sareste passibili di sanzioni da parante del Garante della Privacy poiché quegli apparecchi contengono dati personali per i quali siete responsabili ai sensi del GDPR (il Regolamento Generale per la Protezione dei Dati n.679/2016/UE).

Non solo quegli apparecchi dovrebbero essere sempre e costantemente nelle vostre mani ma dovrebbero essere anche protetti con le misure di sicurezza che ormai ogni sistema operativo mette a disposizione. Se i vostri dispositivi consentono il riconoscimento facciale, la lettura delle impronte o l’impostazione di sistemi di protezione biometrici, dovreste attivarli tutti e poco importa se v’impediscono di accedere rapidamente allo schermo dello smartphone o del tablet.

Naturalmente anche sui dispositivi mobili serve un buon antivirus poiché oggi smartphone e tablet sono colpiti anche più dei computer con Windows.

Non usare il computer dello studio per navigare in siti web… “strani”.

Almeno non farlo usando direttamente il tuo browser tradizionale e non usando direttamente la tua connessione a Internet ordinaria. Quando si naviga nel web si lasciano informazioni che permettono di risalire al computer usato e, in casi particolari, persino alla sua collocazione geografica. Se si ha la necessità (o la voglia) di curiosare in siti web borderline, sarebbe bene usare una finestra di navigazione anonima del browser (oggi ogni browser prevede questa funzionalità), cercare la funzione “Do not track” nelle impostazioni dello stesso e attivarla, e ricordarsi di chiudere la finestra anonima al termine della navigazione – poiché questa cancella (almeno localmente) tutte i dati sulla navigazione.

Ancora meglio sarebbe connettersi attraverso una Virtual Private Network (o VPN) che permette di navigare attraverso una serie di server proxy che mascherano tanto l’indirizzo IP quanto il paese di provenienza. Personalmente consiglio Windscribe che ogni mese offre 10 GB di traffico gratuito, un’estensione per i principali browser che consente di attivare la VPN a richiesta e offre persino funzioni di blocco delle pubblicità.

Il non plus ultra, infine, sarebbe fare tutto ciò all’interno di una virtual machine: in questo modo, nella malaugurata ipotesi che la navigazione porti in siti diffusori di malware, verrebbe infettato solo il sistema operativo dentro la virtual machine e non l’intero computer. A quel punto, quindi, basterebbe cancellare il file della virtual machine e crearne una nuova per dire addio alle schifezze scaricate.


Nel prossimo articolo di questa serie illustrerò come difendersi dal social engineering.