La componente “mobile” oggi sta diventando a tutti gli effetti un nuovo canale di comunicazione, soprattutto in conseguenza all’apertura delle aziende verso l’esterno e alla creazione di ecosistemi fatti non più solo di persone interne ma di collaboratori, partner, clienti, fornitori, ecc.
In un simile scenario la sicurezza diventa ancor più importante. L’azienda può essere aperta al mercato e al tempo stesso sicura ma la tecnologia di per sé è in grado di garantire l’adeguata protezione? È l’It a doversi far carico del problema o sono le organizzazioni nel loro complesso, a partire dal top management?
Agli interrogativi proposti da ZeroUno e posti dalle presentazioni dei relatori (scaricabili dal sito di www.zerounoweb.it , Approfondimenti – Sicurezza) se ne sono aggiunti altri da parte del pubblico che ha partecipato all’incontro “Azienda aperta, mobile e collaborativa: come garantire la sicurezza?”, realizzato in collaborazione con Extreme Networks (www.extremenetworks.com ) e Fortinet (http://www.fortinet.com/ ).
Non sono mancate le risposte, anche se restano aperti molti dubbi. Un punto è certo: oggi la sicurezza è un requisito di cui tener conto nel momento stesso in cui si progetta qualunque nuovo servizio rivolto al mercato e che apre i confini dell’azienda.
Hanno partecipato alla tavola rotonda, che ha visto numerosi interventi dal pubblico:
Luca Bechelli, direttivo Clusit, associazione che raccoglie utenti e operatori nell’ambito della sicurezza.
Riccardo Zanchi, partner NetConsulting
Claudio Ferroni, responsabile unità organizzativa sistemi fault tolerant e distribuiti, infrastruttura informatica interna di SSB
Marco Pinna, Pre-sales System Consultant Southern Europe, Extreme Networks
Stefano Chiccarelli, Consultant Engineer for service providers EMEA, Fortinet, sponsor della serata
La tavola rotonda è stata coordinata da Elisabetta Bevilacqua, giornalista di ZeroUno
ZeroUno – Cosa deve fare un’azienda per essere aperta e sicura? Qual è il corretto approccio alla sicurezza?
Bechelli (nella foto a destra)- L’azienda non può e non deve rinunciare ad aprirsi al mercato e ad accogliere clienti e partner al suo interno. Per fare ciò deve poter raggiungere il mercato
in una logica di mobilità, prendendo tuttavia coscienza che esistono reali scenari inquietanti che minano la sicurezza ed evitando la tentazione di minimizzare con l’idea che tanto toccherà sempre a qualcun altro.È però importante porsi le domande giuste. Non si deve tanto comprendere cosa evitare per non correre i rischi, ma chiedersi invece cosa si intende fare, cogliendo l’opportunità della maggior consapevolezza, per pensare alla sicurezza a priori e non a posteriori aggiungendo “pezze qua e là”. Questa nuova consapevolezza ci deve anche far comprendere che solo valutando correttamente le problematiche di sicurezza possiamo aprirci al mercato ed esserne accettati. L’importante è dunque focalizzarsi sull’approccio corretto: ogni volta che si vuole offrire un nuovo servizio, si apre una nuova porta, si abilita un nuovo canale spostando il perimetro dell’azienda, si deve considerare quale rischio si corre a fronte di quale beneficio. I nuovi dispositivi mobili con elevato livello di intelligenza concentrano più canali di comunicazione: uno smart phone, ad esempio, ha 2-3 canali in più rispetto al normale Pc, che rappresentano vie di attacco alle reti. Ma questa consapevolezza non deve spaventarci al punto da buttare a mare gli smartphone. La risposta non può neppure essere quella fornita, ad esempio, da un’azienda, di cui non faccio il nome, che per prevenire gli attacchi ai Black Berry ha introdotto 300 policy di sicurezza che devono essere adattate dagli utenti!
Intervento dal pubblico – Ma quali sono a vostro avviso oggi i driver di mercato per l’adozione di soluzioni di sicurezza oltre all’adeguamento al Documento Programmatico per la Sicurezza?
Zanchi (nella foto sotto)- A mio parere i driver sono tanto più efficaci quanto più sono
coercitivi a livello di sistema o derivano da decisioni all’interno delle aziende. Il vero driver è probabilmente l’esistenza, non tanto del rischio percepito, quanto dell’attacco che si concretizza in un problema per l’azienda. È diverso leggere quali siano i rischi, quando riguardano altri, rispetto a quando li si prova sulla propria pelle. In questo secondo caso l’approccio cambia non solo in relazione al danno subito ma anche perché ci si rende conto che il rischio è effettivamente generalizzato.
La scarsa attenzione che ancora si avverte in merito ai rischi per la sicurezza derivanti dalla mobilità deriva dal fatto che gli attacchi sono ancora limitati, anche se ci aspettiamo che ci sarà un incremento di rischi.
Oggi infatti in area mobile prevalgono attacchi limitati a dispositivi particolari, innanzi tutto Symbian e in misura minore a Microsoft Mobile e Black Berry. Per definire standard di sicurezza all’interno delle aziende, il fattore principale su cui operare è la logica con cui l’utente si muove sulla rete e fa accessi a rischio, per creare la cultura dell’eliminazione del rischio a monte piuttosto che trovare una soluzione a valle.
Chiccarelli (nella foto sotto a destra)- Il driver, per la nostra esperienza come Fortinet e dunque come fornitori, è stata la crescita di colpevolezza da parte delle aziende, a partire dalle maggiori, che le ha spinte a passare da un approccio best-of-breed a uno all-in-one per diminuire i costi e semplificare la gestione.
Per quanto riguarda la mobilità anche noi vediamo un trend di aumento dei rischi. E dunque abbiamo predisposto una serie di prodotti per garantire la sicurezza non solo nel perimetro aziendale, ma anche in relazione ai device mobili.
Ferroni (nella foto sotto)- Per rispondere alla domanda sui driver, certamente Basilea II e il
documento programmatico sono stati elementi che hanno dato forza all’applicazione della sicurezza. Ma da parte nostra, sui nostri utenti applicavamo da tempo una serie di regole per la sicurezza. Ma c’è innanzi tutto un problema culturale: spesso gli utenti, attenti a casa propria, in ufficio non applicano regole banali di sicurezza. Nella nostra azienda, ad esempio, c’è stata quasi una rivolta quando abbiamo messo il lock dopo 8 minuti, perché questa scelta imponeva di digitare più volte la password; e molti sono arrivati ad applicare un post-it con la propria password.
Chiccarelli – La chiusura porta però a una falsa sicurezza, come capitava con il protocollo di rete X.25 trent’anni fa, dove si facevano cose pericolose: ma mentre allora la presenza in rete si limitava a qualche decina di persone e gli host erano un centinaio, oggi gli host sono 6 miliardi e i comportamenti a rischio derivano da milioni di persone. La soluzione non è però la chiusura, ma la maggior consapevolezza.
Intervento dal pubblico – Mi sarebbe piaciuto sentir parlare di più di consapevolezza da parte degli utenti, mentre si è cominciato solo con l’ultimo intervento. Anch’io nella mia azienda ho adottato la formula della rete chiusa; infatti, pur avendo installato apparati wi-fi nelle sale riunioni esitiamo ad attivarli, avendo subito un tentativo di intrusione proprio da un apparato wi-fi lasciato “libero”. Quindi ritengo che nell’avviare qualunque progetto si dovrebbe pensare fin dall’inizio alla sicurezza, coinvolgendo il management.
ZeroUno – Questi temi, vengono affrontati in azienda solo dai Cio o anche da Ceo e top management?
Ferroni – Noi, come It, portiamo avanti il tema della sicurezza evitando di coinvolgere direttamente il management, che si aspetta che siamo noi a realizzarla. Ciò con cui ci si scontra, sono soprattutto le applicazioni business realizzate in un ambiente che non tiene conto delle nuove esigenze della sicurezza. I messaggi, ad esempio, vengono ancora inviati in chiaro dal momento che i sistemi di cifratura sono costosi. Non vorrei aver dato l’idea che in SSB (www.ssb.it) sia tutto vietato, ma è inutile consentire aperture che non sono indispensabili per l’attività che si svolge. Nella mia azienda ci sono alcune isole più o meno aperte in base alle esigenze; e la tecnologia aiuta, se usata in modo oculato: isolando le reti, per esempio, o definendo permessi di accesso. Si può così ottenere una rete sicura anche se non necessariamente blindata.
Intervento dal pubblico – Sulla rete i problemi ritengo siano due: la consapevolezza dell’utente e la capacità da parte degli addetti ai lavori di convincere il top management. La tecnologia ce l’abbiamo, sappiamo come usarla e dove metterla in pratica. Ma qualcuno ha una ricetta per spiegarlo al management?
Bechelli – Se qualcuno ce l’avesse la vita sarebbe più facile. A mio parere sono carenti soprattutto le attività che precedono e che seguono l’implementazione delle soluzioni per la sicurezza. Chi si occupa di sicurezza ha infatti un approccio limitato a questa componente, mentre il top management quando calcola i costi di un nuovo progetto non tiene conto della sicurezza i cui eventuali costi aggiuntivi vengono considerati un impedimento.
Ma l’azienda che cambia, si proietta verso il mercato, pensa alla mobilità come un mezzo per consentire al mercato di entrare all’interno delle proprie strutture, si rinnova con strumenti che consentono ai partner di connettersi alla propria rete e navigare, consente all’utente di accedere in modo selettivo alle informazioni, deve fin dall’inizio realizzare strumenti che garantiscano la sicurezza. Facendolo dall’inizio può non solo sostenere un costo inferiore rispetto a quello che dovrebbe sostenere adottando gli strumenti a posteriori, ma può migliorare la gestione stessa.
Pinna – È questo il metodo che noi utilizziamo quando realizziamo delle reti. Generalemente ci aspettiamo che la sicurezza venga recepita a tutti i livelli aziendali e che tutt’al più venga considerata una barriera per realizzare particolari sviluppi di business, visto che noi la poniamo in modo “esasperato”. Per quale ragione ci focalizziamo molto sulla sicurezza, dato che ci occupiamo soprattutto di sistemi e di architetture di rete (man, wan, ecc)? Se qualcuno attacca i nostri apparati di rete e i sistemi si bloccano, noi ne usciamo comunque male come società. Per questo motivo abbiamo previsto sistemi che permettono agli apparati di rete di resistere agli attacchi.
Intervento dal pubblico – Ritengo che il problema prettamente tecnologico venga compreso: si riesce a spiegare che se non si fanno determinati investimenti per evitare che le macchine si blocchino è automatico prevedere gli investimenti. A mio avviso, la carenza principale resta la consapevolezza degli utenti, interni o esterni, che, nel caso del phishing, è assolutamente evidente.
ZeroUno – L’investimento in consapevolezza e in formazione diventa quindi necessario. Come può essere spiegato in termini economici?
Pinna – L’informazione andrebbe estesa probabilmente a tutti: da chi fa le pulizie al top management. Ma non si possono formare tutti. La sicurezza deve essere un coadiuvante dove la formazione non arriva (ad esempio partner esterni o clienti); partecipare ad un corso non garantisce da comportamenti scorretti, e potenzialmente rischiosi, come lasciare la password ai colleghi o il Pc acceso quando si va alla macchina del caffè.
La tecnologia c’è; ma non si tratta tanto di configurare l’apparato di rete, ma definire l’organizzazione che ci sta dietro, soprattutto a livello logico.
Ad esempio, mentre sono qui, nella mia società ci sono persone che stanno vuotando i cestini, i computer sono bloccati, le mie interfacce di rete sono bloccate perché necessitano di password, se tentano un attacco se ne accorge immediatamente il centro di controllo remoto.
Intervento dal pubblico – Vorrei fare due commenti. Il primo: non ricordo tecnologie che siano state bloccate dalla paura o da problemi di sicurezza. L’azienda sarà aperta nel momento in cui ci saranno servizi utili e questi offriranno opportunità di fare soldi, con o senza sicurezza. Le aziende che hanno scelto di essere chiuse si apriranno o su spinta della concorrenza o del dirigente che scoprirà, magari a livello personale, i vantaggi di certi servizi che comportano l’apertura.
Secondo punto: mi ha colpito la considerazione su X.25, che trovo abbastanza sconfortante. In 30 anni qualcosa dovremmo aver imparato. Dopo essere arrivati all’idea che l’utente non deve essere amministratore del suo Pc, con lo smart phone si torna indietro chiedendo all’utente di amministrare il suo cellulare, gestendo addirittura 300 policy.
La tecnologia dovrebbe aiutare a ridurre i problemi non a ribaltare sull’utente i problemi irrisolti da 30 anni!
Bechelli – Non possiamo infatti caricare l’utente finale di un livello di consapevolezza che non può comunque gestire, tanti e tali sono le novità, le problematiche, le informazioni, gli attacchi, i potenziali rischi.
Se qualcuno calcolasse il tempo che perde l’utente consapevole, ma non esperto nel gestire il suo Pc, nel corso di una giornata lavorativa verificheremmo che sono almeno 1-2 ore al giorno.
Sollevare l’utente significa: garantire una base di sicurezza minima su cui l’azienda conta attraverso una logica di servizio che guida l’utente e ne restringe le possibilità in base alle sue effettive necessità; definire un comportamento uniforme, mantenendo nel tempo le stesso livello di sicurezza.