Sono state presentate ieri a Roma le linee guida dell’Iba sulla cybersecurity. L’occasione è stata la Conferenza annuale che ha portato nella capitale professionisti e imprese da tutto il mondo per una settimana di approfondimenti sui temi di maggiore attualità del comparto legale (leggi anche l’articolo “Iba, al via lunedì la Conferenza annuale”).
«La minaccia di attacchi cyber su vasta scala contro gli studi legali è un rischio reale» afferma nel documento l’Iba, ricordando come a essere a rischio non sono solo le grandi insegne ma anche quelle di dimensioni inferiori. L’Associazione segnala che è emerso come le law firm siano entrate nel mirino degli attacchi perché, seppur possiedano informazioni ad alto valore commerciale, sono considerate all’esterno come “l’anello debole”: non prenderebbero la cybersecurity tanto seriamente quanto i propri clienti oppure non avrebbero le capacità finanziarie per investire in tecnologie efficienti che le proteggano. Ma, mette in guardia l’Iba, «gli attacchi continueranno con maggiore sofisticatezza e frequenza. Conseguentemente, è essenziale che gli studi legali di tutte le dimensioni siano consapevoli delle minacce e abbiano policy e procedure per rispondere». Tre sono le aree a cui possono essere ricondotte le linee guida: la tecnologia, i processi organizzativi e la formazione dello staff (leggi il documento completo in allegato).
La tecnologia
Fanno parte di quest’area alcune indicazioni di buon senso, come: tenere i sistemi software aggiornati, usare connessioni internet sicure; implementare sistemi di sicurezza specifici per i computer e gli altri dispositivi che hanno accesso al network attraverso internet; mettere al riparo da attacchi la navigazione web e le mail; criptare dati e dispositivi (senza dimenticarsi gli smartphone e quelli per l’archiviazione dei dati); assicurarsi che il provider di dati sia protetto; gestire in maniera rigorosa l’accesso al controllo completo della rete (che di solito è riservata ad amministratori specifici). Così come sono presenti suggerimenti più tecnici. In primo luogo, creare una policy per il mantenimento dei dati, che possono essi stessi diventate un punto di debolezza quando si accumulano troppe informazioni che non servono (come per esempio un ingente numero di mail nella casella di posta): una email compromessa può creare un incidente non trascurabile. In secondo luogo, è bene abilitare la possibilità di cancellare dati da remoto, nel caso per esempio venga smarrito un laptop con informazioni sensibili salvate su di esso. Si dovrebbe inoltre considerare la possibilità di installare sistemi che permettano solo a certi tipi di applicazione di funzionare oppure che impediscano di farlo ad altri (una sorta rispettivamente di whitelist o di blacklist). Infine, l’Iba suggerisce di monitorare cosa accade e cosa non accade nella rete (attraverso a una sorta di registro) per scovare attività sospette, e di creare una solida segmentazione della rete, attraverso anelli di sicurezza separati (in modo che chi dovesse accedere alla rete nell’ambito di un attacco hacker non riesca ad accedere a tutto il network).
I processi organizzativi
L’Iba ricorda come la grande maggioranza degli attacchi cyber andati a buon segno «siano dovuti a un errore umano». Dal momento che non è possibile prevenire tutti gli attacchi, «i processi organizzativi sono cruciali» nel definire come le attività dello studio, i ruoli e la documentazione sono usati per mitigare il rischio collegato. «I processi —si legge nel documento Iba — dovrebbero stabilire il profilo di rischio a livello di cybersecutity dello studio, identificare i dati sensibili e di valore, mettere in atto strategie economicamente efficienti». Non solo. La cybersecurtity dovrebbe essere supportata da «una chiara struttura di governance, che sia attivamente assicurata dai partner e dai senior manager». Tra i suggerimenti, l’Iba quindi indica di allocare ruoli e responsabilità, implementare un documento di policy che sia allineato con i rischi identificati e contenga standard base da rispettare, sviluppare piani di continuità del business, portare avanti una regolare attività di formazione interna sul tema.
La formazione
L’anello debole di tutto il meccanismo (tecnologia e processi) sono le stesse persone. Spesso ingannate da attacchi che prendono la forma di comunicazioni legittime, ma che invece nascondono link “maligni” capaci di sottrarre informazioni sensibili, password e molto altro. «È determinante — sottolinea l’Iba — che lo staff comprenda quali sono le forme più comuni di attacco e riceva formazione su come gestirle». La formazione quindi dovrebbe includere sia nozioni su cos’è la cybersecurity sia sul perché è importante, così come casistiche sulle minacce più diffuse e consigli pratici di comportamento. Se fattibile, sottolinea l’Associazione, lo staff dovrebbe anche essere messo alla prova con una campagna di email phishing, seppur contenente un link non attivo, per monitorare la compliance dell’organizzazione. «Questo — aggiunge l’Iba — aiuterà a costruire una cultura di consapevolezza sul tema negli studi legali, in grado di creare un forte difesa di prima linea».