Misure di Awareness

Parallelamente alla pianificazione delle misure tecniche, è stato necessario progettare una campagna di sensibilizzazione su tematiche riguardanti la sicurezza informatica. L’esperienza insegna, infatti, che una maggiore consapevolezza sui rischi IT aiuta notevolmente a ridurre gli impatti degli attacchi indirizzati ai sistemi aziendali. Del resto, nel processo di ICT Risk Management un ruolo fondamentale è giocato dagli utenti dei sistemi, che con i loro comportamenti possono compromettere la validità di qualsiasi policy di sicurezza in uso. Anche gli interventi del Programma Strutturato di Sicurezza sarebbero totalmente vanificati, se gli utenti continuassero a usare password deboli, condividere le proprie credenziali, non eseguire il patching annuale, sviluppare software vulnerabile, etc.

Le misure di awareness progettate sono state indirizzate a due tipologie di utenti dei sistemi:

- I dipendenti, per ridurre i comportamenti rischiosi interni all’azienda e rendere l’attenzione alla sicurezza uno degli aspetti centrali della cultura organizzativa;

- I fornitori dei software, data l’assenza di clausole contrattuali omogenee volte a richiamare gli sviluppatori esterni al rispetto delle politiche di sicurezza di Telecom Italia.

Per condividere e diffondere la “cultura della sicurezza” con i dipendenti, sono state pianificate le seguenti attività:

124

- Comunicazione formale (via email) delle golden rules della sicurezza, un elenco di dieci regole (riportate in Figura 3.25) che dovrebbero essere osservate da tutti i dipendenti coinvolti nelle attività di Telecom Italia Information Technology. Tali regole sono state individuate dal Program Manager in collaborazione con il PMO e i responsabili dei progetti, identificando i comportamenti scorretti che, secondo l’esperienza dei PM, si presentavano con maggior frequenza tra i dipendenti. La maggior parte delle golden rules fa riferimento alle aree di intervento del Programma Strutturato di Sicurezza, mentre altre norme riguardano il processo di ICT Risk Management in generale, in modo da coprire le più comuni situazioni di rischio. La comunicazione contenente le golden rules è stata inviata dal responsabile di primo livello di Technical Security ed è stata indirizzata a tutti i dipendenti di Telecom Italia IT e ai consulenti che dispongono di un account aziendale;

Figura 3.25 – Golden rules comunicate all’interno della campagna di awareness

- Formazione, per mezzo di corsi rivolti al personale interno, impartiti sia in aula sia online. La definizione dei percorsi formativi è risultata dalla collaborazione tra il Program Manager, affiancato dal PMO, e la funzione Human Resources &

125

Organization di Telecom Italia IT. Le struttura dei corsi è stata organizzata in quattro moduli:

 Introduzione sulle principali tipologie di attacco informatico e sullo scenario internazionale della cyber security;

 Overview del processo di ICT Risk Management, comprendente anche un punto di attenzione sulle golden rules descritte in precedenza;

 Introduzione ai principali strumenti a supporto della sicurezza dei sistemi aziendali;

 La necessità del rispetto delle password policy aziendali. Data l’importanza del tema, questo modulo è stato inserito in tutti i corsi in aula, a prescindere dallo specifico contesto formativo.

I corsi in aula sono stati impartiti da esperti di Technical Security (il responsabile di primo livello, il Program Manager del PSS e membri del Security Operations Center) e la partecipazione è stata obbligatoria per tutti i dipendenti della funzione. La progettazione dei corsi online ha coinvolto in prima persona il PMO, che si è occupato della redazione della storyboard (testo recitato dallo speaker all’interno del modulo), e la funzione HR, che ha curato la veste grafica. Si è cercato di semplificare quanto possibile la trattazione con esempi e animazioni che catturassero l’attenzione dei dipendenti, mostrando come comportamenti scorretti, ma anche azioni in buona fede possano mettere a repentaglio la sicurezza aziendale. Inoltre, si è deciso di inserire alla fine di ogni modulo un test per verificare le conoscenze acquisite. Al termine del test, i dipendenti sono stati invitati ad approfondire gli argomenti sui quali avevano commesso il maggior numero di errori;

- Informazione continua, grazie alla realizzazione di un’area dedicata alla sicurezza informatica sulla Intranet aziendale, accessibile da tutto il personale di Telecom Italia Information Technology. All’interno dell’area sono stati inseriti il documento ufficiale del processo di ICT Risk Management, le golden rules della sicurezza e i corsi online precedentemente descritti. Si è deciso di mettere periodicamente in evidenza il contenuto della cartella, in modo da catturare l’attenzione di un maggior numero di dipendenti.

Le misure di awareness indirizzate ai fornitori sono state rivolte soprattutto al tema dello sviluppo di codice sicuro. Telecom Italia acquista software dall’esterno sia per applicazioni di

126

proprietà dell’azienda, sia per prodotti buy in senso stretto (sviluppate interamente dai fornitori). Il codice dei fornitori deve essere esente da vulnerabilità tanto quanto quello make di Telecom, ma spesso le policy di sicurezza aziendali, pur essendo specificate nei contratti di fornitura, non sono rispettate. Pertanto, si è ritenuto opportuno cautelarsi maggiormente, sia dal punto di vista legale, sia con una campagna di sensibilizzazione rivolta a specifici sviluppatori esterni. In primis, sono stati revisionati gli schemi contrattuali, inserendo una clausola più severa sulla possibilità per Telecom di non considerare il prodotto conforme qualora non vengano rispettate tutte le politiche di sicurezza e siano riscontrate vulnerabilità nel codice. Al rilascio dell’applicazione, il fornitore deve sottoscrivere una dichiarazione che attesti che il prodotto è compatibile con il tool Fortify ed è già stato scansionato senza registrare vulnerabilità rilevanti. Parallelamente, è stato progettato un template contenente un richiamo più informale alla stretta osservanza delle policy di sicurezza, da inviare in occasione di ogni nuovo ingaggio alle persone incaricate di sviluppare il prodotto a livello operativo, che non sempre sono a conoscenza degli impegni contrattuali sottoscritti. Questa misura è stata pianificata al fine di esercitare l’azione di sensibilizzazione già a partire dalle prime fasi del processo di scrittura del codice, intervenendo alla fonte dei problemi legati allo sviluppo di prodotti buy poco sicuri.