Il 24% dei lavoratori professionisti europei utilizza il proprio notebook aziendale per navigare in Internet da casa; il 21% (il 42% in Italia) permette a familiari e amici di utilizzare il proprio computer aziendale per accedere a Internet; più del 50% possiede dispositivi tecnologici di vario tipo (palmari, smartphone ecc.) che collega alla rete aziendale; il 60% memorizza contenuti personali come fotografie o musica sul computer aziendale e, dulcis in fundo, il 61% non ha la più pallida idea di cosa sia un virus o “conosce a malapena cos’è un virus”. Questo è il quadro decisamente inquietante che emerge dall’indagine commissionata da McAfee a Icm Research in sei paesi europei nello scorso novembre e che ha riguardato 1500 lavoratori professionisti. (Scarica lo Studio McAfee: La minaccia dall’interno)
Inconsapevole, patito dei gadget, squatter e sabotatore: sono queste le definizioni dei quattro profili dei tipici dipendenti che, in azienda, costituiscono una minaccia per la sicurezza.
Al primo gruppo, l’inconsapevole, appartiene la maggior parte dei dipendenti e si caratterizza per una conoscenza molto limitata della sicurezza che mette continuamente a repentaglio navigando, e lasciandolo fare ai propri familiari, da casa senza adottare il minimo accorgimento. Il patito dei gadget è l’appassionato di ogni tipo di device tecnologico che non esita a collegare alla rete aziendale. Con il terzo profilo, lo squatter, si scivola inevitabilmente verso l’illegalità perché identifica coloro che utilizzano le risorse It aziendali in modi non autorizzati (per esempio per scaricare contenuti multimediali o giocare online). Infine, l’ultima categoria, il sabotatore, seppur popolata da una piccolissima minoranza di lavoratori, identifica coloro che si introducono con intento dannoso in aree dei sistemi informatici della loro azienda a cui non dovrebbero accedere o che infettano deliberatamente la rete dall’interno.
Eppure, nonostante il livello di consapevolezza delle aziende su questi temi stia gradatamente salendo, vi è ancora un sensibile squilibrio nella percezione della pericolosità delle minacce provenienti dall’esterno e quella dei pericoli interni. “Le aziende, soprattutto quelle di grandi dimensioni – dice Alfonso Nobilio, neo direttore generale di Selesta Security Systems, società del gruppo Selesta specificatamente dedicata alle tematiche della sicurezza – hanno già predisposto adeguate misure per combattere gli attacchi esterni; viceversa esiste ancora una certa riluttanza ad ammettere pericoli provenienti da personale interno. E anche nel caso si riconosca l’eventualità di un errore umano, pochissime sono le aziende disposte a considerare come reale la possibilità che un dipendente o un collaboratore possa intenzionalmente causare un danno o perpetrare una frode”.
Se è vero che in nessun caso le problematiche di sicurezza devono essere estrapolate dal contesto e che la sicurezza è un unicum che deve essere approcciato in modo globale considerando gli aspetti sia organizzativi che tecnologici, questo è ancora più evidente se prendiamo in considerazione le minacce provenienti dall’interno.
(clicca sull’immagine per ingrandirla)
La tecnologia non basta
Tecnologia si, dunque, ma prima di tutto un’organizzazione aziendale “security oriented”. “Prima ancora di implementare soluzioni tecnologiche – esordisce Sergio Vantusso,
Enterprise Marketing Manager Emea di McAfee – bisogna adottare dei codici di comportamento all’interno dell’azienda in modo da creare una cultura della sicurezza”. Ed Elio Molteni, Executive Security Advisor di CA, aggiunge: “La maggiore attenzione a quello che un collaboratore deve poter fare o non fare impatta automaticamente su due aspetti: quello tecnologico, perché è impossibile mettere in pratica le policy senza le tecnologie, e quello organizzativo, perché la tecnologia non può prescindere, per essere efficace, dalla definzione di un preciso codice di comportamento e dell’organizzazione che metta in atto questo codice. C’è una vera e propria triangolazione organizzazione-tecnologia-policy, dove l’organizzazione definisce le policy e queste vengono messe in pratica dalla tecnologia. Ogni elemento è strettamente collegato agli altri due”.
Anche secondo
Mariangela Fagnani, Security & Privacy Service Area Leader, Ibm Business Consulting Services, c’è molta attenzione all’aspetto organizzativo: “Il modello organizzativo della sicurezza negli ultimi anni è cambiato. Le problematiche della sicurezza che fino a pochi anni fa erano affrontate in modo molto frammentato, sostanzialmente da parte delle strutture tecnologiche, oggi vengono affrontate con un modello organizzativo che prevede la centralizzazione delle responsabilità e delle funzioni di sicurezza in un unico gruppo che, in genere, riporta al top management dell’azienda. Questo – prosegue Fagnani – perché ci si è resi conto che la sicurezza è un aspetto molto articolato che richiede anche una gestione di tipo organizzativo diversa rispetto al passato”.
Tutti gli operatori che ZeroUno ha intervistato concordano poi sul fatto che la formazione rappresenta un elemento essenziale per la crescita di una “cultura della sicurezza”. Il dipendente informato, consapevole dei rischi e conscio che un comportamento scorretto può essere perseguito è anche un dipendente più “sicuro”. Le strategie da mettere in atto sono, in definitiva, piuttosto semplici, al punto da sfiorare la banalità, come sottolinea Nobilio, ma spesso sono le cose più banali a rimanere disattese: “La sicurezza è un concetto che deve permeare l’intera azienda e quindi già nella fase di selezione del personale deve essere previsto un processo di screening della conoscenza relativa alle tematiche di sicurezza aziendale. E poi si va dalla semplice sorveglianza fisica, riducendo l’accesso alle informazioni sensibili, all’istituzione di figure di supervisor, il Chief Security Officer. Bisogna spingere molto sulle responsabilità, intraprendere misure che riducano le tentazioni (perché se una persona sa che il suo comportamento illecito – come scaricare musica con il pc aziendale – può essere facilmente scoperto, allora è meno probabile che lo adotti), incrementare il senso di appartenenza all’azienda, evidenziare i comportamenti sanzionabili”, specifica Nobilio.
Infrastrutture intrinsecamente sicure
Sul fronte tecnologico gli aspetti da prendere in considerazione sono diversi. I nostri interlocutori ci hanno aiutato a identificare quelli più significativi. Il primo aspetto parte dal semplicissimo presupposto che “è meglio prevenire che curare” e quindi l’infrastruttura tecnologica deve essere messa in sicurezza in tutti i suoi livelli. “Ognuno dei tre livelli dell’infrastruttura, personal computer, server e network, deve essere sicuro. Le aziende sono sempre più sensibili ai problemi della sicurezza e investono in quest’area ma spesso i progetti non abbracciano l’approccio olistico e plurilivello e questo comporta il rischio di trovarsi, anche per quanto riguarda la sicurezza, a dover gestire architetture molto complesse, con soluzioni di tipo differenti e che non consentono di avere un’agevole visione globale”, dice
Stefano Volpi, Vice President ISS Southern Europe and Mediterranean. La standardizzazione dell’infrastruttura è uno degli elementi sottolineati da Francesca Di Massimo, responsabile del
programma sicurezza di Microsoft Italia, che sottolinea: “Microsoft collabora con i propri clienti affinché la sicurezza non venga mai gestita come singolo progetto, ma la contestualizza all’interno di un ambito molto più ampio che è quello dell’evoluzione dell’infrastruttura IT vista come strumento per fare business e non come mero centro di costo. Per questo, un elemento molto importante, se parliamo del contesto organizzativo e dei processi di gestione della sicurezza, è quello di adottare le best practice di standard come Itil [per un approfondimento su Itil vedi l’articolo a pag. 67 del numero di marzo ndr] perché aiutano un ambiente a standardizzarsi, a mettere sotto controllo tutti gli elementi che fanno parte dell’infrastruttura. Il controllo è un passo fondamentale anche per la sicurezza perché nel momento in cui si ha tutto sotto controllo l’azienda è anche più sicura”. E Fagnani aggiunge: “La centralizzazione delle piattaforme aiuta, non solo per ridurre la complessità dell’intero sistema, ma anche per quanto riguarda gli skill necessari che potranno essere concentrati su una sola piattaforma”.
La sicurezza parte dal pc
In una infrastruttura intrinsecamente sicura la sicurezza deve penetrare a tutti i livelli e, quindi, anche in quello fondamentale delle singole stazioni di lavoro, fisse o mobili che siano. “Ciò su cui ci si è sempre più focalizzati è la Dmz [demilitarized zone, sottorete raggiungibile sia da reti interne che esterne che permette connessioni esclusivamente verso l’esterno, ndr]. Ma è ormai chiaro – dice
William Beer, director Symantec Security Services Southern Europe – che bisogna rifocalizzare l’attenzione all’interno dell’azienda. Questo però non significa solamente rendere sicura le rete interna, ma rendere sicure anche le singole postazioni, fisse o mobili utilizzate da dipendenti e collaboratori. A questo proposito è molto interessante il lavoro che sta facendo il Jericho Forum, organizzazione che raccoglie diversi grandi utenti multinazionali che cercano di spingere lo sviluppo di standard aperti che permettano comunicazioni business-to-business su reti senza un chiaro perimetro”. Jericho Forum (www.opengroup.org/jericho/) ha più di quaranta membri, tra cui nomi come Airbus, Boeing, GlaxoSmithKline, Procter & Gamble, Reuters Group, Rolls-Royce e Unilever. “La tecnologia, la flessibilità, la portabilità hanno reso i quattro muri dell’azienda datati e quello che sostiene il Jericho Forum è proprio che bisogna focalizzarsi sulle stazioni di lavoro individuali per essere sicuri che i dati aziendali siano protetti”, ricorda Beer. E Vantusso evidenzia come “si è sempre tenuta in considerazione la protezione del perimetro aziendale, ma si è sottovalutata l’importanza delle infinite tipologie di device che oggi ogni utente utilizza (dagli smartphone ai pda, alle chiavette Usb, agli iPod ecc.) finché qualcuno non si è accorto che era molto semplice minare la sicurezza di questi dispositivi e, a cascata, quella aziendale”. Fagnani ricorda infine che “è importante che l’azienda sia strutturata, dal punto di vista tecnologico e organizzativo, affinché le stazioni di lavoro vengano gestite in modo centralizzato, per non lasciare all’utente finale lo spazio di manomissione delle impostazioni di sicurezza”.
Dalla consulenza ai managed services
Le aziende, dunque, si trovano a dover combattere le minacce intervenendo su entrambi i fronti (organizzativo e tecnologico), ma, come avviene per altre aree dell’It, cercano interlocutori unici in grado di supportarli sia nella definizione del modello organizzativo più consono alla propria struttura sia nell’adozione delle tecnologie più indicate. Il ruolo del vendor tecnologico, quindi, cambia e quello della consulenza e dei servizi diviene un aspetto essenziale della propria strategia. McAfee e Symantec, per esempio, conosciute nel passato più per la fornitura di prodotti che per il supporto in termini di servizio alle aziende hanno cambiato la propria fisionomia: “Symantec ha visto aumentare notevolmente la componente della consulenza. Si tratta di un’area per noi molto importante e strategica che presidiamo con Symantec Consulting Services che, in collaborazione con i nostri partner, implementa e gestisce soluzioni complete e personalizzate per la sicurezza”, dice Beer.
Il supporto dei partner è fondamentale anche per CA che supporta le aziende nella definizione della propria policy di sicurezza attraverso la divisone CA Technolgies Services.
Rivolgendosi a un target di aziende che va dai grandi gruppi industriali alla fascia alta delle medie imprese, Selesta Security Systems fa della consulenza una parte integrante della propria offerta: “”Riteniamo che l’offerta per questo tipo di aziende debba contenere soluzioni best of breed per ciascuna tematica affrontata (dalle problematiche di gestione delle identità e degli accessi alla protezione di apparecchiature mobili) che poi noi moduliamo sulla base delle esigenze specifiche”, spiega Nobilio.
“Il primo passo da compiere – conclude Volpi – è quello di una sana analisi delle vulnerabilità dell’infrastruttura. Una volta analizzati i punti di debolezza si può iniziare a progettare la propria strategia di sicurezza e la nostra proposta è quella di centralizzare la gestione degli strumenti di difesa dei tre livelli dell’infrastruttura (desktop, server e rete). In ogni caso, il ruolo del vendor di tecnologia è fondamentale in tutte le fasi, dall’analisi alla definizione della strategia e lo è sia nel caso che il progetto venga sviluppato e gestito con risorse interne sia che lo stesso venga sviluppato e gestito da provider esterni, un’area, quella dei managed security services, in costante crescita”.
“La sicurezza parte dallo sviluppo e dalla realizzazione di prodotti sicuri. Questo è uno degli impegni principali dei vendor di soluzioni software che devono essere progettate per essere intrinsecamente sicure. Internet ha cambiato totalmente lo scenario di riferimento. I personal computer e il software relativo, che non erano stati pensati per la connessione a reti esterne a quella aziendale, hanno quindi dovuto essere completamente riprogettati. Quindi, quello che abbiamo fatto è stato quello di concentrarci, prima di tutto, sulla qualità del software per rendere intrinsecamente sicuri i nostri prodotti”, ha detto Di Massimo.
ATTENTI ALLE SPIE
Il mercato della gestione sicura delle minacce è in costante crescita con un segmento, in particolare, per il quale si prevedono tassi di crescita per il prossimi cinque anni del 47% (dati Idc): si tratta dello spyware (software che si annidano nei pc di incosapevoli utenti per spiarne le attività online o carpire informazioni archiviate nei pc). “La gestione delle minacce è una tematica che deve essere affrontata nel suo insieme e la vision di CA è proprio quella di fornire soluzoni che ne consentano una gestione integrata”, ha detto Elio Molteni, executive scurity
advisor di CA nel corso della presentazione alla stampa italiana di CA Integrated Threat Management 8. “Lo spyware rappresenta uno dei pilastri della suite – ha aggiunto Molteni – che combina le tecnologie best of breed di eTrust PestPatrol Anti-Spyware con eTrust Antivirus in un’unica console di gestione”.
Frutto dell’acquisizione della società omonima, avvenuta nel 2004, la tecnologia PestPatrol consente di definire delle “safe list” (file d’esclusione delle applicazioni autorizzate) ad hoc per ogni reparto o utente in modo da evitare falsi allarmi. L’analisi e la rimozione dello spyware vengono eseguite dall’amministratore della rete, in modo da non interrompere l’operatività degli utenti dei sistemi desktop i cui sistemi, inoltre, vengono aggiornati sempre centralmente. Infine, è possibile programmare i controlli da eseguire automaticamente in date e orari predefiniti oppure ogni volta che un computer si collega alla rete. In questo anno e mezzo, la R&D di CA ha lavorato su questa tecnologia, che al momento dell’acquisizione era più orientata al mondo consumer, rendendola più idonea all’utilizzo nelle aziende cambiandone il sistema di gestione e distribuzione e replicando, nello spyware, l’esperienza acquisita nello sviluppo dell’antivirus.
“L’integrazione della soluzione antivirus di CA con l’anti-spyware PestPatrol e la loro gestione tramite un’interfaccia comune web based rappresentano la prima fase della soluzione Integrated Threat Management di CA che prevede, entro qualche mese, l’integrazione anche del firewall per arrivare, presumibilmente entro la fine dell’anno, alla gestione unica di tutte le minacce che possono colpire i computer aziendali”, precisa Molteni. Tra le principali caratteristiche della suite si segnalano: una migliore comunicazione tra agent per ottenere visibilità real-time sulle risorse informatiche dell’azienda; aggiornamenti automatizzati delle signatures per proteggere ogni desktop da tutte le minacce più recenti; la nuova funzione “phone home” che garantisce l’aggiornamento di tutti i desktop permettendo ai pc di trasmettere il loro status a una console di gestione centrale. A queste, infine, si aggiunge l’integrazione con Cisco Network Admission Control che consente la verifica dello stato di aggiornamento di antivirus e spyware sui pc o notebook che si “attaccano” alla rete. (P.F.)
INFORMAZIONE TEMPESTIVA
Informazioni personalizzate sulle vulnerabilità sia note sia emergenti e sugli attacchi in corso a livello globale: è questo il servizio Symantec DeepSight Threat Management System 7.0 presentato da William Beer, director Symantec Security Services Southern Europe, nel corso di Infosecurity 2006. “Si tratta – ha spiegato Beer – del primo servizio di avviso precoce che fornisce report di sicurezza completi di valutazione del rischio causato da programmi potenzialmente indesiderati, come adware e spyware”. Il servizio sfrutta la Global Intelligence Network di Symantec che vanta più di 150 milioni di sensori antivirus per desktop, 20.000 sensori di rilevamento intrusioni e firewall e 4.300 dispositivi di sicurezza monitorati e gestiti in più di 180 paesi, dati che vengono associati a quelli del database delle vulnerabilità di Symantec (con una copertura di 35.000 versioni di applicazioni e sistemi operativi di oltre 4.200 produttori e scansioni giornaliere di oltre 2 milioni di indirizzi e-mail civetta). “Utilizzando questo servizio, le aziende anno un aggiornamento costante sulle minacce nei diversi paesi. Aggiornamento che non si limita ad allertare su attacchi, worm ecc. ma fornisce analisi complete e la stima dei rischi con le relative contromisure per mitigare l’impatto degli attacchi. Uno dei vantaggi del servizio, per esempio, può essere quello di consentire alle aziende internazionali una giusta allocazione delle risorse per la sicurezza nei diversi paesi in base all’analisi dei rischi fornita dal servizio”, ha spiegato Beer. La gestione degli alert viene personalizzata in base all’ambiente specifico dell’azienda in modo che gli amministratori IT possano ricevere da un’unica fonte i dati completi sulle vulnerabilità specifiche della propria infrastruttura e, quindi, si possano concentrare sull’attivazione delle soluzioni di sicurezza più opportune. (P.F.)