Sul fatto che, anche in Italia, la sicurezza informatica assuma una sempre maggiore importanza nell’organizzazione e nella gestione di una qualsiasi impresa, non crediamo occorra spendere molte parole. Lo dimostrano il numero e il livello di partecipazione agli eventi ad essa dedicati e, soprattutto, la crescita del mercato. In una situazione che vede l’It in ripresa, sì, ma ancora su valori modesti (secondo Assinform – www.aitech-assinform.it e NetConsulting – www.netconsulting.it , + 1,6% nel 2006 rispetto allo stesso periodo dell’anno precedente) il mercato italiano della sicurezza, come ha detto Roberto Mastropasqua, di Idc (www.idc.com ), alla recente Security conference 2007, “ha dimostrato anche nel 2006 di essere uno dei principali driver del settore, con una crescita a due cifre e un volume di circa 650 milioni di euro”.
A questa situazione di sviluppo fa però riscontro una certa carenza di dati, mancando sinora, a nostro parere, analisi specifiche che, al di là delle rilevazioni quantitative fornite da Idc e delle valutazioni qualitative elaborate da Gartner (www.gartner.com ), diano un quadro dello stato e dello sviluppo della sicurezza It in Italia dal punto di vista delle imprese utenti. Un tipo di analisi dove non è né facile né prudente proiettare sulla nostra realtà dati relativi a sondaggi svolti ai livello worldwide (dove ha peso la componente nordamericana) o europeo.
Questa lacuna è stata colmata con la ricerca ‘Il ruolo della Sicurezza Informatica presso le aziende italiane’, condotta da NetConsulting su incarico di Ca (www.ca.com ), una società che nell’ambito delle soluzioni per la gestione delle infrastrutture It. L’indagine è stata svolta in Italia nell’autunno 2006 con interviste ai responsabili della sicurezza It di 108 aziende di dimensioni superiori ai 500 dipendenti, appartenenti a diversi settori d’attività (industria, servizi, sanità, finanza Pa locale e centrale, retail e Tlc-media) distribuiti in modo da dare uno spaccato per quanto possibile rappresentativo della medio-grande impresa italiana.
Gli intervistati hanno risposto principalmente a tre quesiti: l’approccio adottato dall’impresa verso il problema della sicurezza It; gli eventuali strumenti d’information security utilizzati o previsti a breve; l’eventuale esistenza, o quanto meno impostazione, di una strategia di lungo termine in materia che consideri i fattori di stimolo e di freno degli investimenti. Di quanto emerso al riguardo diamo una sintesi ai nostri lettori.
Un problema che prende forma
Per cominciare va detto che una struttura organizzativa (direzione o servizio) dedicata alla sicurezza, indice, in parte, dell’importanza data dal top management al problema e punto di partenza per ogni approccio alla sua soluzione, esiste solo nel 64% del campione. In altre parole, in più di un terzo delle medio-grandi imprese non c’è una figura istituzionale che abbia una visione generale del problema cui si possa far riferimento. Ed è una media. Se togliamo i settori Finanza e Industria, dove queste funzioni sono presenti a livelli, rispettivamente, del 92 e del 77%, la situazione è ancora più critica. Nella Sanità e nelle Tlc, dove peraltro si trattano dati sensibili relativi alla salute e al privato dei cittadini, siamo al 50%. E se la Pa centrale arriva al 56% grazie ai sistemi di sicurezza dei Ministeri dell’Interno e della Difesa, la Pa locale scende al 36%.
Per capire poi se, indipendentemente dall’esistenza di una struttura formalizzata, vi sia comunque un approccio strutturato alla sicurezza, l’indagine NetConsulting ha preso in considerazione la presenza o meno di quattro strumenti:
– una security policy, procedura formalizzata che stabilisca le norme di sicurezza relative alle attività aziendali, sia in condizioni normali, sia in emergenza;
– un piano di sicurezza completo, che preveda le norme e le attività relative a tutti gli aspetti, fisici e logici, della sicurezza;
– un business continuity plan (Bcp), da porre in atto per garantire il mantenimento delle attività di business in caso di attacco e/o caduta dei sistemi;
– un’analisi del ritorno degli investimenti in sicurezza. Quest’ultimo è, per così dire, un elemento ‘di controllo’, in quanto la sua presenza dimostra una valutazione del problema in chiave strategica e non estemporanea.
Le risposte rivelano una certa ambivalenza di comportamento (vedi figura 1).
figura 1 – I comportamenti e l’approccio alla sicurezza delle aziende medio-grandi italiane – fonte: NetConsulting
A fronte di una larga diffusione di politiche di sicurezza formalizzate (adottate dall’89% delle imprese) e di piani completi di sicurezza (presenti nel 71% dei casi) si ha una scarsa diffusione (28%) di strumenti di analisi dei Roi; una cosa singolare, se si considera che una stima del ritorno d’investimento sulla sicurezza è fondamentale per poter sostenere presso il management la richiesta di un qualsiasi piano di spesa. Un primo motivo di tale mancanza dipende certamente dal fatto che calcolare un Roi per la security non è affatto facile, perché si tratta di investimenti il cui ritorno non è un guadagno ma, piuttosto, una probabile riduzione delle perdite. E sebbene il 79% delle aziende intervistate effettui analisi del rischio (con punte del 92% nella Finanza e dell’89% nei Servizi e Retail) tradurre in moneta queste analisi resta difficile. Un secondo motivo (ma questa è solo una nostra ipotesi) potrebbe dipendere dal basso livello di commitment dell’alta direzione riguardo la sicurezza, che solo nel 24% dei casi è definito ‘molto elevato’ contro un 56% di impegno ‘medio’ e un 20% ‘basso o nullo’.
Se la presenza dei tre strumenti citati (policy, piano e analisi Roi) non mostra differenze significative per ramo di attività, il discorso cambia per il business continuity plan, di uso generalizzato in ambito Finance (85%), diffuso nei Servizi e nel Retail (rispettivamente 72 e 67%) e scarso negli altri settori. La cosa non sorprende, dato il danno che un blocco, anche breve, delle operazioni può dare a una banca, a un aeroporto o a una catena di supermercati rispetto, per esempio, a una fabbrica. Sorprende invece il forte scarto tra l’adozione di un Bcp nella Pa locale (64%) e in quella centrale (22%). Non sappiamo se essere più soddisfatti per l’attenzione alla fornitura dei servizi ai cittadini e alle imprese (business dell’amministrazione pubblica) mostrata dagli enti locali, o più delusi per il disinteresse dei Ministeri.
Firewall e directory non fanno barriera
Sia pure con luci e ombre, i dati emersi mostrano come la sicurezza sia un problema ben avvertito e in molti casi anche correttamente affrontato dalle nostre imprese. Il discorso però cambia quando dai modelli di approccio si passa all’effettiva diffusione delle soluzioni di sicurezza It, che mostra ampie lacune.
Infatti, mentre i sistemi cosiddetti di threat management, ossia di prevenzione e difesa da virus, intrusioni e altre minacce provenienti dall’esterno, hanno un livello di diffusione decisamente elevato, le soluzioni di identity&access management, che controllano l’accesso alle applicazioni e ai dati aziendali, lo sono di meno, e ancor meno diffusi sono i sistemi di monitoraggio che permettono di prevenire i danni dovuti ad attacchi e intrusioni. Ed anche all’interno di queste categorie si rilevano notevoli discontinuità.
In ambito threat management, antivirus e firewall sono presenti in tutte le imprese del campione, mentre l’antispam segue con l’81% (molto, ma non abbastanza, visti i costi in termini di risorse It e produttività che danno i messaggi indesiderati). Tecnologie specifiche contro lo spyware e le intrusioni sono presenti solo al 64 e al 56%, poco visto che contro questi attacchi il firewall non basta. Quanto all’access management, si ha una larga presenza (69%) di soluzioni di directory (cioè, userid + password) che però non risolvono da sole il problema e vanno integrate con sistemi specifici di gestione delle identità e degli accessi, diffuse rispettivamente solo al 48% e al 38% (vedi figura 2).
figura 2 – Soluzioni di sicurezza adottate dalle imprese italiane – fonte: NetConsulting
Decisamente scarsa infine la presenza di strumenti di security information management, ossia soluzioni che, fornendo una visione integrata degli eventi legati alla sicurezza, consentono di formulare politiche di prevenzione. Anche se, secondo NetConsulting, si tratta di soluzioni in crescita, resta il fatto che, nonostante le società di Tlc e servizi le implementino a livelli del 50 e 44% rispettivamente, la media si ferma al 27%, più un 13% di imprese che ci sta pensando.
Risulta poi scarso l’uso di soluzioni di sicurezza per l’accesso ad applicazioni transazionali via Web. A parte l’area Finance, dove le polizze online e l’Internet banking portano ad una diffusione del 77%, si ha una certa presenza nel Retail (44%) e nei Servizi (39%), dovuta in entrambi i casi al progressivo sviluppo dell’e-commerce b2c. Negli altri settori, però, la quota è molto bassa, tanto che la media totale si ferma al 35%. Siccome già in Italia c’è una certa prevenzione nei confronti dei pagamenti online, non dotarsi di robuste soluzioni di sicurezza rischia di alimentare un circolo vizioso. Preoccupa in particolare il bassissimo livello (23%) di queste soluzioni nel settore industriale, che, a nostro parere, è appunto l’indice di un circolo vizioso a danno dello sviluppo dell’e-commerce b2b.
La compliance spinge, il budget frena
Le lacune degli attuali sistemi di sicurezza dovrebbero, come logico, essere colmate dagli investimenti avviati nel 2006 e previsti nel corrente anno. In effetti, l’analisi evidenzia la focalizzazione sull’area di identity&access management, dove prevede d’investire il 57% delle imprese, in particolare nei settori Tlc-Media (100%) e Retail (67%), con speciale attenzione alle suite integrate e alle soluzioni single sign on. Restano comunque alti gli investimenti nel threat management, scelti dal 33% del campione (media dove pesa il 56% espresso dalla Pa centrale), con attenzione in questo caso alle specifiche soluzioni di intrusion detection. Ancora all’ultimo posto invece, con il 28% delle scelte (ovviamente la domanda prevedeva risposte multiple) i sistemi di security information management, con soluzioni di analisi di vulnerabilità e gestione centralizzata degli eventi.
Tutti questi investimenti, secondo NetConsulting, incidono mediamente per il 10% del budget It, con oscillazioni dal 6-7% della Pa centrale e del Retail al 14-16% dei Servizi. Potrebbe sembrare poco, ma considerando che più dei tre quarti della spesa It se ne vanno in manutenzione ordinaria, risulta che la sicurezza assorbe quasi la metà delle risorse disponibili per i nuovi investimenti. Tenendo conto del fatto che oggi il Cio deve affrontare anche altre priorità, tra le quali l’It governance e la gestione delle infrastrutture, direttamente connesse alla flessibilità e competitività dell’impresa, è davvero parecchio. Il fatto è che questa nuova esigenza di sicurezza è spinta da un potente driver, che si chiama compliance. Stando alla ricerca, l’81% delle aziende ha investito in sicurezza per poter rispondere alla legge sulla privacy, principale norma del settore in Italia, seguita a molta distanza dalla Sarbanes-Oxley e da Basilea 2 (figura 3).
figura 3 – Fattori che stimolano l’investimento in ambito sicurezza – fonte: NetConsulting
Gli altri motivi, dalla consapevolezza dei danni derivanti dalle vulnerabilità al fatto stesso di essere già stati colpiti e non voler ripetere l’esperienza, passano decisamente in secondo piano. E anche il fattore frenante è uno solo: i soldi. Che, come sempre, non bastano mai.
Insomma: investire in sicurezza It è un’inevitabile necessità. È un bene? È un male? Né una cosa né l’altra; è semplicemente un fatto. Quello che conta è che, dovendo spendere, lo si faccia bene. Con un approccio di valore strategico oltre che contingente e con soluzioni di fornitori che, oltre ad avere competenza in materia, abbiano a loro volta una visione strategica del problema e siano in grado di trasferirla all’impresa utente. Perché la sicurezza non è un prodotto, ma una cultura.
CACCIA AL DATO PERICOLOSO… OVUNQUE SI NASCONDA
Monitorare e correlare in tempo reale tutto il flusso informativo digitale di reti, sistemi e utenti in modo da fornire proattivamente i dati fondamentali per consolidare la sicurezza dei processi e prendere decisioni strategiche: è questo l’ambizioso obiettivo di Dims, Dynamic Intelligence Management System, la tecnologia sviluppata da IntelligenceFocus (www.intelligencefocus.com ), azienda italiana fondata a Torino nel 2004 da Maurizio Attisani e Paola Boschetti, esperti di sicurezza e di intelligence. Il valore aggiunto di Dims è la sua capacità di rilevare e analizzare, in tempo reale, sia dati strutturati sia dati non strutturati; la soluzione è inoltre in grado di individuare e analizzare le informazioni digitali ovunque si trovino intercettando i dati anche in fase di elaborazione sui PC degli utenti, su Internet, su reti interne aziendali mentre transitano in rete o nascosti nell’hidden Web (ovvero nei siti non disponibili attraverso i motori di ricerca conosciuti). Infine, Dims verifica e analizza i processi in cui tali informazioni vengono elaborate, correlandoli con i profili comportamentali degli utenti e le social networks di larga scala. (P.F.)
SOPHOS TOP TEN FEBBRAIO 2007
La classifica del malware e dei falsi allarmi che hanno dominato la scena nel mese di febbraio 2007, causando problemi agli utenti di tutto il mondo, è dominata dai malware appartenenti alla famiglia HckPk: è quanto emerge dal rapporto redatto dai SophosLabs. Questo tipo di malware è programmato in modo tale da consentire agli hacker l’accesso remoto ai computer infetti. Il worm Dorf, in vetta alla classifica di gennaio 2007, e il worm di tipo mass-mailing denominato Dref, il malware più segnalato a dicembre 2006, sono soltanto due esempi di malware nascosto all’interno dei programmi HckPk. Il malware viene modificato utilizzando un programma di compressione che ne nasconde il carattere dannoso. Sophos ha constatato che gli hacker utilizzano sempre più spesso strumenti per la crittografia e la compressione dei dati, con l’intento di camuffare il malware ed eludere le soluzioni di sicurezza. E per districarsi nell’infido mondo di worm, malware, trojan & c., Sophos ha redatto una guida “Minacce informatiche dalla A alla Z” che descrive in modo completo ed comprensibile tutti i pericoli che può correre chi oggi utilizza il computer, sia in ambito domestico che professionale. Il libro può essere scaricato dal sito
(P.F.)
