Le aziende e tutte le organizzazioni di qualsiasi dimensione, settore di attività e posizione geografica sono interessate oggi da due fenomeni. Il primo è un aumento costante – qualitativo e quantitativo – di attacchi ai sistemi e al patrimonio di dati delle imprese. Il secondo è la grande ondata di nuovi paradigmi tecnologici come la mobility, i big data e il cloud computing, che portano con sé nuove potenziali vulnerabilità e complessità di governance. Il tema della security è divenuto, negli ultimi tempi, più articolato e pone alle aziende nuove sfide di carattere tecnologico, metodologico e culturale. Di tutto questo si è parlato nel corso di un recente Executive Dinner organizzato da ZeroUno con diversi responsabili It aziendali, con la collaborazione di Check Point e Bt Italia.
L'articolo continua nella pagina seguente
*BRPAGE*
(segue dalla pagina precedente)
Marco Pacchiardo, security practice italian leader di Bt Advise
“Ci troviamo – ha fatto presente Marco Pacchiardo, security practice italian leader di Bt Advise – di fronte a un cambiamento veramente epocale dal punto di vista tecnologico. Nel giro di poco tempo si sono sviluppati fenomeni come il cloud, i big data, il bring-you-own-device. In tutta la storia dell’It non si sono mai visti apparire di colpo tutti insieme cambiamenti così impattanti. Questo comporta problematiche nuove anche per chi si occupa di sicurezza”.
“Nella situazione attuale – ha esordito Stefano Uberti Foppa, direttore di ZeroUno – la sicurezza non può più essere un tema presidiato solo da alcuni specialisti, ma si deve trasformare in una strategia, magari trainata dal Cio, che coinvolge tutte le figure aziendali. Si deve passare da una logica di gestione a silos, con interventi ‘a macchia di leopardo’, a una di governance globale basata sulle strategie di business delle imprese. Tutto questo comporta una revisione dell’approccio alla sicurezza da un punto di vista sia tecnologico sia metodologico e organizzativo. Tre tappe sono secondo me fondamentali: un corretto assessment del traffico reale nelle reti e nelle applicazioni al fine di determinarne la vulnerabilità; un’attività di confronto con gli utenti con l’obiettivo di comprenderne bene il modo di lavorare e il livello culturale nei confronti della sicurezza; l’elaborazione di policy che non siano definizioni teoriche, ma regole basate su una strategia condivisa e continuamente aggiornata. Non ci si può nascondere che questo percorso deve fare i conti con una oggettiva complessità e che è auspicabile individuare anche interlocutori esterni in grado di fornire il proprio supporto sulla base di questa visione olistica della sicurezza”.
Primo problema: l’inconsapevolezza degli utenti
Alessio Pennasilico, membro del Comitato Direttivo e del Comitato Tecnico Scientifico del Clusit
La crescente vulnerabilità delle aziende agli attacchi informatici è in gran parte una conseguenza dell’aumento della potenza delle tecnologie utilizzate dagli utenti. Un progresso al quale non ha fatto seguito un’altrettanta maturazione della consapevolezza degli utilizzatori circa i rischi che questi device pongono. “Ho l’impressione – ha detto all’inizio del suo intervento di inquadramento Alessio Pennasilico, membro del Comitato Direttivo e del Comitato Tecnico Scientifico del Clusit – che gli utenti tendano a considerare gli oggetti tecnologici attuali come degli elettrodomestici, dimenticandosi della potenza che hanno. Uno smartphone oggi è molto più potente del pc che avevamo dieci anni fa. Uno smartphone che si collega alla wi-fi aziendale quando entro in azienda, e che ha anche attiva la Sim per collegarsi alla rete mobile, potrebbe trasformarsi in un router che permette agli hacker di penetrare da Internet nei sistemi connessi alla Lan aziendale”.
Per avere un’idea della crescita delle minacce nei confronti delle imprese, provocata dalle tecnologie in grado di connettersi a Internet, basta leggere il 2013 Security Report di Check Point. La ricerca si basata sull’analisi dei dati raccolti sulle reti di 888 aziende di diverse dimensioni e settori di attività sparse fra America (40%), Emea (40%) e Asia Pacific (20%). “Nel corso della rilevazione – ha evidenziato Rodolfo Falcone, country manager di Check Point in Italia – sono emersi 112 milioni di eventi di sicurezza. Il 63% delle aziende è risultato aver subìto infezioni da bot, un software maligno che, una volta scaricato inconsapevolmente da un sito, rende un pc un nodo di una rete [botnet, ndr] che attua attacchi di tipo Ddos [Distributed denial of service, ndr] o invia spam. Dall’analisi – ha continuato Falcone – è risultato anche che nel 47% delle aziende sono utilizzati anonymizer [server proxy che permettono agli utenti di navigare anonimamente, ndr], con i quali gli utenti eludono le policy di sicurezza. E il buffo è che nell’80% di queste realtà i responsabili It non erano informati di questa situazione. Inoltre, l’80% delle imprese è risultato utilizzare sistemi di file-sharing e file-storage. Infine, ben il 54% delle aziende hanno subìto una perdita di dati. E se al primo posto fra chi ha lamentato questo problema c’è la pubblica amministrazione, è preoccupante che al secondo vi siano le banche, nel 36% delle quali è stato riscontrato l’invio all’esterno di informazioni che si riferiscono a carte di credito”.
Nessuno è più al sicuro, occorre agire insieme
Rodolfo Falcone, country manager di Check Point in Italia
“Oggi – ha ricordato in seguito il country manager di Check Point – non appena un dispositivo è connesso per la prima volta a una rete, immediatamente è sommerso di attacchi che tendono a prenderne in qualche modo il controllo”. “Ci troviamo in una situazione – gli ha fatto eco Pennasilico – in cui nessuna azienda può più dirsi al sicuro”. Nonostante questo, chi si occupa di sicurezza It nelle aziende stenta a convincere il top management o gli imprenditori della necessità di adottare strategie di security più efficaci. Nelle realtà più piccole si tende a non comprendere il valore di un investimento in nuove tecnologie di sicurezza e a essere fatalisti. In altre imprese gli utenti si oppongono all’adozione di policy più stringenti – per esempio rispetto all’uso delle password o della crittografia – perché renderebbero più complicato il lavoro quotidiano. Questi user vorrebbero demandare tutto il compito di prevenire e controbattere agli attacchi al responsabile It, ma non è più possibile.
La difficoltà di trovare un punto di incontro tra le ragioni degli esperti di It e le esigenze dei responsabili di business è soprattutto il risultato di una mancanza di dialogo e di comprensione reciproca. Alla base di tutto c’è un problema di linguaggi diversi tra gli esperti di sicurezza e gli utenti, da una parte, e tra gli esperti di sicurezza e i gli altri colleghi It [che si occupano di application o di infrastrutture ecc. ndr], dall’altra. Spesso, infatti, i responsabili It si concentrano troppo sugli aspetti tecnologici e non capiscono i problemi di business, ma non considerano adeguatamente anche gli aspetti più specifici di security”.
La sicurezza come un abilitatore di business
Roberto Contessa, Ict Manager di Fratelli Branca DistillerieCome riuscire allora a implementare una nuova strategia di Ict security che non sia vista come un insieme di policy “censorie”, ma come, addirittura, un “abilitatore” di business? Da quanto si è potuto dedurre dagli interventi alla tavola rotonda, tutto ruota intorno a un cambiamento di linguaggio da parte dei responsabili della sicurezza nel dialogare con il management e l’utenza aziendale. Insieme a questo sforzo è necessario uno spostamento dell’attenzione dagli aspetti meramente tecnologici ad altri di carattere più metodologico e organizzativo. “Per quanto riguarda il linguaggio – ha tagliato corto Roberto Contessa, Ict manager di Fratelli Branca Distillerie – si deve evitare quanto più possibile di parlare con gli utenti in termini tecnici. Occorre far comprendere gli impatti negativi delle minacce alla sicurezza sul business. Sono venuto a conoscenza, per esempio, di un’azienda i cui server sono stati messi sotto sequestro per alcuni giorni per consentire la ricerca di file che non dovevano trovarsi su quei sistemi. Questo ha comportato disservizi nei confronti dei processi di business. Dobbiamo, insomma, riuscire a tradurre i nostri messaggi da un punto di vista economico; mettere in evidenza non tanto quanto spendi, ma quanto risparmi investendo in security”.
Gianfranco Cuscito, Cto e responsabile staff della Direzione Ict di A2AInteressante, sotto il profilo dell’adozione di un approccio metodologico, è il caso di A2A. “La nostra – ha detto Gianfranco Cuscito, Cto e responsabile staff della Direzione Ict della multiutility – è un’azienda molto sensibile al tema della sicurezza. Da un punto di vista strategico abbiamo diviso il problema in due livelli. Il primo è quello della sicurezza ‘basic’, che si implementa sull’infrastruttura e ha un impatto molto limitato sul business: in questo caso noi dell’It siamo autonomi e veloci. Il secondo è quello delle misure che invece influiscono sul modo di lavorare degli utenti o di gestire i processi. In questo caso abbiamo iniziato a predisporre delle ‘matrici di rischi’ nelle quali indichiamo quali sarebbero gli impatti sul business di determinati pericoli. Potendo analizzare delle variabili economiche, i responsabili del business tendono ad accettare di più i nostri suggerimenti”.
Davide Gindro, Cio di Avio GroupUn altro interessante approccio metodologico è quello esposto da Davide Gindro, Cio di Avio Group. “Fino ad alcuni anni fa – ha raccontato – la nostra società poteva incarnare l’idea che l’azienda disconnessa è quella più sicura. Poche persone avevano un dispositivo mobile aziendale o un accesso a Internet. Poi l’azienda si è aperta verso il web e più recentemente ha iniziato a usare i social network: e se l’impresa è presente sui social network, che senso ha impedire ai dipendenti di accedere a essi, anche solo per vedere, ad esempio, come li utilizza l’azienda? Nel predisporre la nostra nuova strategia di sicurezza abbiamo deciso di iniziare il percorso proprio dalle persone. Le tecnologie non sono un problema: sono le risorse che vanno formate. Parallelamente – ha continuato Gindro – dal momento che è impensabile proteggere tutto allo stesso modo, abbiamo anche iniziato a classificare le informazioni, definendo diversi livelli di criticità, in modo da poter stabilire delle priorità nella messa in sicurezza”.
Conoscere il valore delle informazioni per tutelarle meglio
Il valore delle informazioni che maneggiano è un altro degli aspetti di cui spesso gli utenti It non sono pienamente coscienti. La scarsa consapevolezza di questo valore è alla base – ha fatto capire Pennasilico in uno dei suoi interventi – della facilità con cui determinate informazioni sono sottratte a utenti in buona fede tramite tecniche di social engineering. “Nell’affrontare il tema della sicurezza, anche in connessione con il fenomeno del Byod (Bring your own device, ndr) – ha rincarato Pacchiardo -, è bene aver chiara la differenza fra dati e informazioni. Le informazioni sono il patrimonio che muove il business ed è importante sapere dove sono e come sono gestite. Prendiamo ad esempio i listini prodotti di un’azienda. Oggi un venditore deve averli sul proprio tablet quando visita un cliente. Siccome i tablet sono soggetti a essere rubati o smarriti, è bene che l’azienda adotti una soluzione di Mobile device management che consenta di gestire i dispositivi mobili e i contenuti presenti su di essi”.
Flavio Tavernelli, responsabile Area rete e telefonia dell’Irccs HumanitasIl tema del Byod è uno di quelli in grado di creare il maggior tasso di discussione fra gli esperti di It e sicurezza. È un fenomeno reale o una moda? Come va affrontato? “Secondo me – ha detto Gindro – il Byod è un trend inarrestabile e non può che essere solo gestito”. “Un ospedale – ha esemplificato Flavio Tavernelli, responsabile Area rete e telefonia dell’Irccs Humanitas – è per definizione un ambiente aperto. Diverse figure professionali, dai medici ai ricercatori, fino ai collaboratori, entrano con i loro dispositivi personali e chiedono di poter accedere alla wi-fi aziendale, che è più performante della rete mobile, per accedere alla posta elettronica e ad altre applicazioni, comprese quelle di file-sharing. Per noi è diventata una rincorsa continua a nuove soluzioni per garantire la sicurezza in questa situazione. La Data loss prevention, ad esempio, è divenuta una disciplina indispensabile. Per fortuna siamo riusciti a ottenere un budget per l’Ict security”.
In azienda il coordinamento, all’esterno le attività più ripetitive
Quale ruolo, infine, possono avere i vendor e i fornitori di servizi di It security per fare fronte alla complessità che caratterizza, e caratterizzerà ancora di più in futuro, la sicurezza aziendale? “Nel contesto attuale – ha risposto Pennasilico – sia nelle piccole sia nelle grandi organizzazioni è impossibile pensare di avere tutti gli skill necessari per affrontare tutti i problemi legati alla sicurezza”. Un esempio è l’analisi dei log degli eventi rilevanti in termini di security: “Per ricavare tutte le informazioni più significative – ha sottolineato il rappresentante del Clusit – è necessario uno staff composto da diverse competenze, che è quasi impossibile avere tutte in un’azienda”. Un’altra attività che potrebbe essere svolta meglio da una struttura esterna è la configurazione e la manutenzione di grandi parchi di firewall. “Spesso – ha affermato Pennasilico – alcuni problemi di sicurezza si verificano a causa di errori umani, come la mancata configurazione di una policy su un dispositivo. Nelle aziende, spesso, la corsa ad affrontare le emergenze sposta in secondo piano il tema della gestione. Quello che invece è opportuno sia presente all’interno di un’organizzazione è la capacità di coordinare realtà esterne”. Oltre, ovviamente, alla conoscenza del proprio business al fine di definire i requisiti di security più adatti. Ma anche questa è una capacità che sarebbe opportuno avesse anche il partner esterno. Perché, comunque, la si guardi, la sicurezza non è quasi mai solo una questione di tecnologie, ma di persone e processi.
Network security secondo Bt
Bt offre un insieme molto articolato di servizi per la gestione dei rischi legati alla sicurezza e alle possibili interruzioni del business: dalla consulenza fino all’offerta di servizi gestiti di network security e di business continuity. Obiettivo è permettere alle aziende di disporre di infrastrutture resilienti e protette dalle crescenti minacce on-line. Nell’ambito dell’offerta di servizi professionali Bt Advise si segnala Security Networking Quick Start, rivolto alle aziende che svolgono sempre di più attività sul web e che permette di effettuare un rapido check delle potenziali vulnerabilità nei confronti degli attacchi mirati da parte dei cybercriminali.
CHECK POINT, pioniere nella security
Check Point è uno dei pionieri e dei leader mondiali nella sicurezza su Internet. Divenuto famoso per i suoi firewall, il fornitore si è quindi imposto come punto di riferimento per la protezione di endpoint e infrastrutture dai più svariati tipi di attacchi. Check Point enfatizza il concetto della sicurezza come un processo, che parte dalle persone, e non solo come un semplice dispiegamento di strumenti. Da un punto di vista tecnologico ha adottato un’architettura software blade che permette alle sue soluzioni di integrarsi in modo flessibile nei singoli ambienti It nonché di essere gestite da un’unica console. Molti articolata anche l’offerta di servizi professionali.
