In questa seconda parte e continuando con il primo articolo della serie, parleremo con maggiore dettaglio del grande sforzo che ogni organizzazione deve fare affinché la sua piattaforma Moodle funzioni in modo corretto e sicuro quando viene utilizzata come piattaforma di sensibilizzazione sulla cyber sicurezza.
Errori di qualità e di sicurezza
Come vedremo, un’applicazione web come Moodle (o qualsiasi sistema di gestione dell’apprendimento generico o LMS) avrà bisogno di risorse umane dedicate che forniscano una supervisione continua per mantenerla libera da errori, siano essi di qualità (che solitamente riguardano le funzionalità dell’applicazione) o di sicurezza (che implicano generalmente l’estrazione o la modifica non autorizzata dei dati o l’impossibilità di accedere alla piattaforma).
Vulnerabilità
I sistemi di gestione dell’apprendimento o semplicemente gestori dell’apprendimento sono applicazioni web complesse, spesso con molti moduli e plugin, molti dei quali non sono implementati dallo sviluppatore del gestore stesso.
Questo comporta che ci siano maggiori possibilità che si verifichino errori di sicurezza, poiché c’è una superficie di attacco più ampia. Si può osservare come una grande percentuale degli attacchi passati abbia sfruttato vulnerabilità dovute a moduli o plugin obsoleti.
Gli errori di sicurezza, noti anche come vulnerabilità, sono gli errori più temuti dai responsabili della sicurezza delle organizzazioni, poiché potrebbero consentire a un criminale informatico di compiere diverse azioni che, alla lunga, potrebbero compromettere l’attività normale dell’organizzazione o addirittura ridurre il suo valore e, nei casi più estremi, farla scomparire.
Negli ultimi 7 anni, solo il portale CVE Details che raccoglie le vulnerabilità pubbliche segnalate a MITRE, ha elencato un totale di 292 vulnerabilità di sicurezza per la piattaforma Moodle. Facendo i calcoli, questa cifra significa che in media è comparsa praticamente una vulnerabilità di sicurezza ogni settimana negli ultimi 7 anni.
Numero di vulnerabilità della piattaforma Moodle per le tipologie più frequenti negli ultimi 7 anni. Fonte: CVE Details.
Se la tendenza nel verificarsi delle vulnerabilità continua (non ci sono dati che indichino il contrario), il personale tecnico incaricato della manutenzione di Moodle per l’organizzazione dovrà fare quindi un sforzo supplementare per mantenerlo in salute e privo di errori, assicurandosi così che non solo l’applicazione web funzioni correttamente, ma anche che, ad esempio, i dati sensibili della piattaforma o dei suoi dipendenti non finiscano nelle mani sbagliate.
Manutenzione
Una volta distribuito il gestore dell’apprendimento, inizialmente potrebbe sembrare che l’unica preoccupazione riguardi la gestione dei contenuti di apprendimento, ma nulla potrebbe essere più lontano dalla realtà. Sarà necessario eseguire periodicamente alcune attività di manutenzione per mantenere la piattaforma priva di ogni tipo di errore.
Nel caso di Moodle, ad esempio, le attività di manutenzione includerebbero almeno le seguenti operazioni:
- Creazione di backup
- Patch della piattaforma
- Aggiornamenti importanti della piattaforma (a volte richiedono una reinstallazione completa del gestore)
- Aggiornamento dei plugin
Come abbiamo visto, nel nostro caso, praticamente ogni settimana la piattaforma dovrebbe essere patchata, il che comporterebbe anche una relativa indisponibilità. Inoltre, dopo ogni aggiornamento o patch, sarebbe necessario verificare che la piattaforma stia funzionando correttamente e che non siano emersi nuovi problemi, come incompatibilità con plugin o comportamenti imprevisti.
Tutte queste attività comportano un grande sforzo umano e, di conseguenza, economico, che spesso le organizzazioni non possono permettersi.
Conclusione
Utilizzare un gestore dell’apprendimento generico per sensibilizzare sulla cybersicurezza può sembrare molto allettante, ma è necessario valutare le conseguenze che derivano da questa scelta.
La costante comparsa di vulnerabilità, unita alla complessità dei gestori dell’apprendimento attuali, renderà il processo di manutenzione del gestore aziendale un sforzo difficile e costoso.
Inoltre, ci sono altre attività legate all’uso di un LMS che aggiungeranno uno sforzo supplementare, come la creazione di backup o la gestione della disponibilità del servizio.
In ogni caso, sarà l’organizzazione stessa a valutare infine se le conviene o se può permettersi l’onere supplementare di usare un sistema di gestione dell’apprendimento come piattaforma aziendale di sensibilizzazione sulla cybersicurezza.
Lascia un commento