Il punto debole della tecnologia? Le persone. Anche negli studi professionali le strategie di difesa dagli attacchi informatici e dai furti di dati si basano - oltre che sulle protezioni tecnologiche - soprattutto sulla formazione del personale. Ed è proprio il training il capitolo più corposo delle linee guida per la cybersecurity negli studi legali elaborate dall’Iba (International bar association), l’ associazione che riunisce i legali di tutto il mondo.
L’obiettivo di partenza è quello di tutelare le realtà professionali medio-piccole, compresi i singoli professionisti, che non hanno né la disponibilità economica né la preparazione tecnica per dotarsi di strumenti potenti in grado di fronteggiare gli attacchi degli hacker. «Gli studi più piccoli tendono a considerarsi bersagli minori di questi attacchi - si legge nel documento - ma al contrario gli hacker hanno proprio loro nel mirino perché sanno che le loro difese sono più facili da aggirare».
Anche per questo motivo le linee guida Iba suggeriscono agli studi legali (ma di fatto il consiglio si adatta a qualsiasi altra professione) di investire piuttosto nella formazione del personale, che ha costi più contenuti e risultati duraturi nel tempo.
Diffuse già in versione cartacea durante il congresso Iba a Roma in ottobre, ora le linee guida sono disponibili sul sito in versione “personalizzabile”. Incrociando i dati relativi alla dimensione dello studio e alla tipologia di intervento si può cioè ottenere uno schema su misura con i suggerimenti di azioni da intraprendere, sempre graduate a seconda della grandezza dimensionale. Ovviamente quello che per una piccola realtà è solo auspicabile, per una media struttura (che nel modello Iba equivale a uno studio con più di 40 persone) può diventare obbligatorio.
Secondo le linee guida il training del personale deve partire dall’uso corretto delle password, comprese quelle personali. Al di là delle raccomandazioni più ovvie sulla necessità di non trascriverle su fogli accessibili, o di evitare l’uso di nomi e dati personali per costruirle, il documento fornisce anche suggerimenti meno consueti. Al personale viene raccomandato innanzitutto di distinguere le password private da quelle di lavoro evitando il riuso su più siti. Se poi si deve accedere a un sito in modo solo occasionale meglio inventare una sequenza casuale di caratteri e puntare in caso di un secondo accesso sul reset, piuttosto che sulla memorizzazione.
Da tenere sotto controllo anche tutto ciò che viene postato dai professionisti o dai dipendenti sui social media. Non tutti realizzano, ad esempio, che persino le foto dell’ufficio possono fornire agli hacker (e non solo) una miniera di informazioni sulla dislocazione fisica degli spazi. Anche per quanto riguarda l’arrivo di mail sospette, il personale andrebbe istruito in dettaglio. Non solo con l’invito a non aprire allegati o cliccare su link pericolosi: lo studio potrebbe fare un passo avanti se chiedesse allo staff di non cancellare la mail ma di segnalarla magari creando un indirizzo dedicato. Questo permetterebbe agli esperti di analizzare meglio i rischi ma anche - si legge nelle note - «di capire come hanno fatto certe mail sospette a superare le barriere di sicurezza». Per verificare il grado di preparazione del personale si potrebbe anche simulare un test con una finta mail di phishing o sospetta. A costi contenuti.
Decisamente abbordabili anche per i piccoli studi le azioni di miglioramento delle password e di introduzione di autenticazioni multilivello (considerate indispensabili sulle applicazioni più comuni quali Gmail, Yahoo, LinkedIn etc). La creazione di una policy aziendale per la cybersecurity è un processo che secondo l’Iba dovrebbe essere risparmiato solo al professionista singolo, mentre a tutti si consiglia di proteggersi attraverso una polizza assicurativa che può aiutare a coprire le spese oltre che della perdita dei dati anche legate alla violazione della privacy, al contenzioso e alla diminuzione degli incassi. Così come tutti sono invitati a identificare quali dati sensibili sono trattati dallo studio e a quale livello di protezione. Ma in questo caso l’obbligo è già scritto nero su bianco nelle leggi.
AdA
fonte Sole24Ore 6/19 VU