Se gli eventi informatici del 2011 sono una tendenza, i professionisti della sicurezza IT avranno di che sbizzarrirsi nel corso dei prossimi 12 mesi…
Oltre a mantenere le buone pratiche di sicurezza standard, saranno tenuti a rivolgere la loro attenzione e capacità alle sfide poste da nuove tecnologie, nuove minacce e nuove leggi, molte delle quali richiederanno modifiche sostanziali alle policy di protezione.
Quattro sono i passi da considerare alla stesura di un piano di sicurezza IT per il 2012.
Iniziare a chiedere il permesso di utilizzare i cookie
Nel 2012, un compito urgente per la maggior parte delle aziende con un sito Web sarà quello di rivedere il modo in cui utilizzare i cookie. Dal maggio 2011, alle aziende inglesi è stato ufficialmente richiesto di ottenere il consenso informato da tutti gli utenti del loro sito prima di installare un cookie sul loro computer.
Finora, solo poche organizzazioni hanno adempiuto all’obbligo, e chi dice di essere in regola ha fatto in realtà poco o nulla per rispettare la legge, forse perché è stato dato un anno di tempo alle imprese per apportare le modifiche necessarie. Questa legge farà probabilmente da apripista a provvedimenti simili che verranno varati nei diversi Paesi del Vecchio Continente nei prossimi mesi.
Prepararsi per la nuova normativa EU in materia di tutela della privacy
All’inizio del 2012, la Commissione Europea pubblicherà un nuovo regolamento sulla protezione dei dati, destinato ad armonizzare le norme in materia di trattamento delle informazioni personali, rafforzandone la tutela in tutta l’Unione.
Anche se i dettagli non sono noti, parte del contenuto è trapelato e pare che la nuova normativa preveda:
• Sanzioni per violazioni gravi della privacy, che potrebbero costare organizzazioni fino al 5% del loro fatturato annuo globale.
• Il “diritto di essere dimenticati”. In poche parole, gli individui che inseriscono le informazioni personali su un sito come Facebook e poi desiderano rimuoverle, avranno il diritto di farlo.
• Le persone avranno il diritto di far circolare le loro informazioni facilmente da un fornitore di servizi a un altro.
• Le società di servizi di elaborazione dei dati personali, che operano per conto di altre organizzazioni, saranno responsabili per eventuali violazioni della privacy. Attualmente, la legge attribuisce questa responsabilità al proprietario dei dati, ovvero all’azienda che si appoggia al servizio di processing dei dati personali di un’organizzazione terza.
Sviluppare approcci diversi per gli utenti di smartphone e tablet
Il boom di vendite di iPad e iPhone, e i problemi vissuti dagli utenti di piattaforme BlackBerry (il servizio è stato interrotto per diversi giorni lo scorso ottobre), hanno modificato in maniera sostanziale l’arena del mercato mobile.
Secondo Matthias Pankert, responsabile data protection product management di Sophos, i dispositivi mobile “richiedono un nuovo contratto di fiducia e responsabilità tra le aziende e gli uteniti. Con IOs e Android, infatti, non è previsto il concetto di amministratore, ma è l’utente stesso del dispositivo ad amministrare tutto ed è, quindi, piuttosto difficile imporre policy di protezione centralizzate o prevenire la diffusione dei malware”. Questo cosa significa? Che le aziende dovranno inevitabilmente adottare un approccio diverso con i propri dipendenti, un approccio che combini la flessibilità necessaria per consentire loro di gestire dati aziendali e personali sullo stesso dispositivo, ma richiedendo al tempo stesso di adottare un’attitudine di responsabilità e sensibilità nei confronti delle problematiche afferenti alla sicurezza.
Tenere ben presenti le nuove minacce avanzate e persistenti
Alcune grandi aziende come RSA e Sony sono state prese di mira dai cybercriminali nel corso del 2011 ed è lecito pensare che le grandi organizzazioni continueranno ad attrarre l’interesse dei malintenzionati del Web.
Tuttavia, anche le piccole imprese non potranno essere al riparo da questi pericoli. Anzitutto, perché la storia recente insegna che le tecniche di attacco stanno progressivamente diventando delle commodity. I criminali scrivono dei toolkit e iniziano a fare soldi vendendoli a personaggi sicuramente meno “tecnici” ma ben motivati a delinquere. Gli hacker, poi, condividono le informazioni via Internet, così una tecnica di attacco che si riveli di successo viene rapidamente mutuata da molti cybercriminali. Ecco perché anche le piccole imprese dovranno “stare in guardia”.