Sicurezza e fattore umano

Oltre agli ambiti già elencati, così come per il phishing, per la sicurezza dei documenti non vanno dimenticati i fattori comportamentali. Pur implementando tutte le politiche di sicurezza dei dispositivi, permangono infatti vulnerabilità derivanti da errori umani nel loro utilizzo.

Spesso infatti i documenti, anche importanti, vengono stampati senza utilizzare le funzioni che richiedono, ad esempio, PIN per il rilascio. Il risultato è che vengono lasciati abbandonati documenti cartacei sulla periferica di stampa, accessibili a chiunque che possono violare le politiche di privacy e potenzialmente utilizzabili per scopi impropri all’esterno dell’azienda.

Varie indagini effettuate stimano che dal 10 al 30% dei documenti non viene mai prelevato dalla stampante.

Una specifica formazione e regole per gli utenti consentono di evitare la condivisione ed eventuale esfiltrazione di informazioni riservate o confidenziali.

Uno degli incidenti più significativi che ha attirato molta attenzione mediatica riguarda la fuga di informazioni relative ai documenti top-secret del governo statunitense, avvenuta nel 2004. Questo caso ha avuto un forte impatto per il clamore che ha suscitato, anche perché ha coinvolto direttamente documenti estremamente sensibili e la negligenza in un ambiente ad alta sicurezza.

Il caso: Fuga di informazioni dalla stampa governativa negli USA (2004)

Nel 2004, un’inchiesta giornalistica del Washington Post rivelò che alcuni documenti classificati, riguardanti la sicurezza nazionale e operazioni militari, erano stati lasciati su una stampante in un’area pubblica di un ufficio governativo. La stampa non solo non era stata recuperata tempestivamente, ma era stata anche vista da persone non autorizzate che avevano avuto accesso all’area. I documenti riguardavano operazioni sensibili in Medio Oriente, e la loro esposizione a persone esterne avrebbe potuto compromettere operazioni in corso e mettere a rischio la vita di agenti sul campo.

La rivelazione della fuga di informazioni fece scalpore, non solo perché riguardava documenti riservati, ma anche per il modo in cui la negligenza si verificò in un ambiente che teoricamente avrebbe dovuto avere protocolli di sicurezza molto più rigidi.

Il caso portò a un’inchiesta interna da parte delle agenzie governative americane, con discussioni sui protocolli di gestione dei documenti riservati. Si pose anche l’attenzione sulle vulnerabilità nei processi di stampa e distribuzione dei documenti all’interno delle diverse agenzie.

Il caso contribuì a mettere in evidenza la necessità di migliorare la sicurezza dei dispositivi di stampa e a rivedere le politiche di gestione dei documenti all’interno delle agenzie governative e aziendali.

Questo caso è emblematico per il modo in cui un errore relativamente semplice, come dimenticare un documento su una stampante, possa portare a una fuga di informazioni estremamente riservate e potenzialmente dannose. Il clamore derivante da questo incidente ha messo sotto la lente l’inadeguatezza dei protocolli di sicurezza fisica (come la gestione dei documenti stampati) che, seppur molto forti in altri ambiti (come la crittografia dei dati), possono essere facilmente aggirati da negligenze quotidiane.

Questo incidente evidenziò anche quanto fosse facile per qualcuno, senza intenzioni malevole, ottenere accesso a informazioni riservate semplicemente approfittando di un errore umano. La sua rilevanza mediatica fu forte anche perché avvenne in un periodo di intensa attenzione sulla sicurezza nazionale, dopo gli attentati dell’11 settembre, e la sua diffusione contribuì a sollevare il tema della sicurezza fisica nell’ambito della gestione delle informazioni sensibili.