Qual è lo scenario attuale delle minacce alla sicurezza It, come sono attrezzate le aziende italiane, quali miglioramenti sono auspicabili e come attuarli. Sono i temi affrontati nel corso di un “Incontro a cena con gli utenti” dal titolo “Security management: dal caos alla governance. Come razionalizzare, consolidare e gestire la sicurezza in azienda” organizzato a Milano da ZeroUno al quale hanno partecipato la società di analisi NetConsulting e il fornitore di security Checkpoint. All’evento hanno preso parte anche alcune decine di responsabili della sicurezza e It manager di imprese di diversi settori e dimensioni. Nel corso del dibattito è emerso come il tema cominci ad essere affrontato in modo più maturo da una buona parte delle imprese nazionali, anche se restano ancora molti gap da colmare rispetto alla situazione dei maggiori Paesi europei, e vi sono criticità che rendono il tema particolarmente spinoso: dalla forte frammentazione degli interventi finora effettuati per difendere i sistemi Ict laddove si è voluto affrontare questa materia (molte aziende sembrano ancora aspettare che si verifichi un problema importante prima di iniziare a correre ai ripari), alla difficoltà di trovare un linguaggio comune tra esperti di tecnologie di sicurezza e management aziendale, al fine di iniziare percorsi di investimento condivisi.
Lo scenario mondiale delle minacce ai sistemi Ict dovrebbe suggerire di non rimandare oltre la soluzione della problematica della sicurezza nelle imprese. “Il 2007 – ha esordito Riccardo Zanchi (nella foto), analista di NetConsulting – è già stato definito un anno eccezionale per la crescita esponenziale degli attacchi. Pericoli che non sfruttano più soltanto i canali tradizionali, ma che fanno leva anche su nuove modalità di utilizzo della rete, come il social networking e la mobilità. Dove per mobility ormai si intende non più solo l’uso di notebook, ma anche quello di altri device, diventati possibili veicoli di minacce, come i lettori mp3, le chiavette Usb e persino le cornici digitali in cui inseriamo le nostre foto. In questo contesto – continua Zanchi – non meraviglia che la spesa in It security cresca in proporzione maggiore rispetto ai Pil, soprattutto nei Paesi in cui il tema della sicurezza informatica si lega a quello della prevenzione del terrorismo, come in Gran Bretagna o negli Stati Uniti. Altro fenomeno che porta a una crescita degli investimenti in It per la sicurezza è quello della crescente convergenza tra sicurezza logica e sicurezza fisica, in quanto quest’ultima fa sempre più utilizzo di strumenti di tipo informatico”.
Il Paese delle disomogeneità
Come purtroppo spesso accade, i numeri gettano una luce non proprio ottimale sul nostro Paese. “Se nel 2008 – prosegue Zanchi – si prevede che la spesa in sicurezza logica in Europa crescerà di circa il 17% fino a toccare i 12,5 miliardi di euro; in Italia ci fermeremo a 800 milioni, con un incremento di poco superiore al 10%. In media, in Europa gli investimenti per la sicurezza rappresentano il 10% del totale dei budget Ict, mentre in Italia questa percentuale scende al 4%. Va detto che da noi nel 2007 c’è stato un aumento del 16% della spesa in sicurezza It rispetto all’anno precedente: quindi, la minore crescita prevista nel 2008 si spiega con il fatto che molti interventi sono già stati attuati. Il che testimonia che c’è una maggiore propensione a investire in questa direzione, anche se il livello è ancora lontano dall’essere sufficiente rispetto alle minacce incombenti. Se non si corre ai ripari si rischia il verificarsi di danni che non colpiranno solo singole imprese ma l’intero sistema Paese”.
Il quadro italiano si mostra particolarmente complesso per via della forte disomogeneità del suo tessuto economico in termini di dimensioni di imprese, settori, livelli di acculturazione Ict. Per le medie e grandi realtà, e soprattutto in un mercato come il finance, l’utilizzo di antivirus e di firewall è ormai dato per scontato. “Abbiamo intervistato circa 60 Cio di imprese di medio-grandi dimensioni – racconta l’analista di NetConsulting – e abbiamo scoperto che i progetti che riguardano la sicurezza sono raddoppiati tra il 2007 e il 2008. Nella scala dei valori, la sicurezza Ict va ad assumere un peso sempre più rilevante, grazie anche all’impatto che su questo tema hanno iniziative nuove come la server consolidation. Sul fronte del threat management si punta su nuovi fronti come gli antispam, l’intrusion prevention, l’installazione di antivirus anche sui Pda. La crescita dell’interesse verso l’intrusion prevention dimostra, per esempio, come l’atteggiamento tenda a diventare sempre più proattivo. Un altro tema su cui cresce la sensibilità è quello della gestione dell’autenticazione degli accessi. Finora la maggior parte delle aziende era convinta che fosse sufficiente avere implementato soluzioni di directory management per essere coperti rispetto al rischio di accessi non autorizzati a dati e applicazioni. Se c’è una forte crescita di interesse verso le soluzioni di Identity access management di tipo software, si assiste invece – e vorremmo capire perché – a un rallentamento nell’investimento in soluzioni biometriche, come la lettura della retina e il rilevamento delle impronte digitali”.
La maggiore diversificazione delle soluzioni di sicurezza adottate porta, aggiunge Zanchi, a implementare sistemi di controllo integrati, come per esempio i cruscotti che mostrano diversi indicatori sullo stato dei rischi. “Per quanto riguarda, infine, i fattori di stimolo e di freno agli investimenti in security – conclude Zanchi – tra i primi sono da segnalare le normative come quelle sulla privacy in generale e Basilea 2 per le banche; tra i secondi, la scarsa consapevolezza del top management sui rischi provenienti dall’Ict e che è presente solo in un 30% circa dei casi”.
Da dove ripartire
“Spesso – conferma Paolo Ardemagni, Regional director Sud Europa di Checkpoint – ci succede di parlare di sicurezza con i responsabili delle risorse umane”. La sicurezza, del resto, finalmente inizia a essere percepita non solo in termini di prevenzione delle infezioni dei sistemi hardware e software da virus, ma come insieme di strumenti a difesa di determinati processi di business. E qui emerge un’altra problematica che, secondo Zanchi, costituisce un freno agli investimenti in security: “La difficoltà a identificare i processi critici, in quanto spesso mancano le competenze. Oppure il fatto che il responsabile della sicurezza, fatte salve situazioni come il mondo finance, può avere queste competenze ma non ha potere decisionale in fatto di spesa. Di qui la necessità di riuscire a superare il problema per cui la sicurezza non è vista come un’attività che porta fatturato, enfatizzando invece il rischio che il non riuscire a difendersi da determinate minacce può mettere a rischio il business dell’azienda. Purtroppo, invece, è ancora prevalente la tendenza a prendere precauzioni solo dopo che il danno si è verificato”.
Le strade verso una razionalizzazione
Il tema della razionalizzazione, in opposizione a una gestione a “macchia di leopardo” come quella a cui oggi si assiste, dovrebbe trovare sensibili anche le piccole imprese. “Oggi – continua il manager di Checkpoint – in Italia ci sono quattro milioni di aziende che hanno da uno a nove Pc e rappresentano la parte più consistente del nostro tessuto economico. Se domani un commerciale se ne va da un’azienda grande con il suo database clienti memorizzato nella chiavetta Usb, il problema, pur sempre grave, della fuoriuscita di questi dati può essere di minore impatto rispetto ad una situazione di questo tipo che si verifica in una piccola impresa; le ricadute sul business possono essere anche molto importanti”.
Verso la sicurezza integrata
Dall’intervento di Civita, emerge anche un utilizzo diffuso da parte di Telecom della management console Checkpoint, che si avvale di motori di correlazione dei dati provenienti dai diversi apparati (firewall, intrusione detection system, antimalware etc.) per permettere agli addetti di Telecom di visualizzare gli eventi, identificare i falsi positivi, ricevere gli allarmi, generare la giusta reportistica per i singoli clienti. “Al nostro sistema di monitoring – rivela Civita – arrivano circa sei milioni di eventi al giorno. In molti casi si tratta di eventi previsti che non costituiscono minacce alla sicurezza. Quando segnaliamo un incidente al cliente siamo in grado di contestualizzarlo nella maniera giusta. L’interazione con gli utenti può avvenire in diverso modo. Utilizziamo per esempio un portale “Tu con Ti” in cui i clienti possono generare ticket o visualizzare report e possiamo inviare alert via telefonino”. Un problema che, secondo Civita, frena ancora diverse aziende dal fruire di servizi gestiti è il timore che i dati relativi all’utilizzo dei propri sistemi informatici siano visti da personale esterno all’azienda. “Questi utenti – spiega il manager di Telecom – devono comprendere che noi elaboriamo dei log, correliamo eventi, e non entriamo nel merito dei contenuti delle comunicazioni”.
Policy e dialogo con l’utente finale
Per Uberti Foppa, “è sempre più chiaro il bisogno di razionalizzazione. Il punto è individuare i canali di ingresso migliori per iniziare questa semplificazione della complessità”. Civita è d’accordo, ma invita a non pensare solo a come elaborare piani di sicurezza e sviluppare software sicuro. “Il rischio è di finire di ragionare solo sulla carta e non vedere quello che ci sta sotto il naso”, afferma. “Cercare di individuare tutto può permetterci di avere una visione approfondita ma di perdere di vista i rischi realmente più importanti e quindi di non riuscire a individuare gli investimenti effettivamente necessari”. Secondo Zanchi, “questo è un mondo che ha nella disomogeneità la sua caratteristica fondamentale. È impensabile riuscire a coprire subito tutti i rischi. Bisogna essere in grado di gestire una gradualità. Per farlo, però, occorre una forte consapevolezza di come funziona la propria azienda, conoscere bene i processi”.
“Da come ne parliamo – interviene un ospite tra il pubblico – sembra a volte che la sicurezza sia il fine di un’azienda. Invece la security deve essere implementata per permettere all’impresa di fare il proprio lavoro. Il nostro compito dovrebbe essere quello di metterci nei panni dell’utente che deve poter svolgere il suo mestiere e permettergli di farlo senza andare sempre ad insegnargli qualcosa”. Anche con il top management, sottolinea il direttore di ZeroUno, “spesso c’è la tendenza a parlare di sicurezza facendo forza soprattutto sulla leva catastrofista – se non investiamo saranno guai – a scapito di un linguaggio più orientato all’efficienza e al supporto al business dell’impresa”. Non solo, aggiunge Ardemagni: “Può addirittura succedere che noi esperti di sicurezza andiamo a dire allo stesso utente cose completamente opposte l’una all’altra, a subissarlo di discorsi tecnologici fino a confonderlo. Invece dovremmo presentare la sicurezza non come qualcosa di invasivo, ma come una tecnologia amica in grado di aiutare gli utenti nel loro lavoro”.
Emerge, insomma, un problema di come instaurare un dialogo, oltre ovviamente un’attività di educazione verso gli utenti. Un altro intervento dal pubblico lamenta il moltiplicarsi di password e l’obbligo di cambiarle di frequente. “In effetti – interviene Civita – in questi casi si assiste al paradosso che si obbligano gli utenti a modificare spesso le password e poi le si vedono scritte su postit incollati in bella vista sui monitor”. Un altro ospite fa notare come “è vero che la rete è diventata il mezzo di comunicazione principale per chi lavora e che da Internet possono provenire un sacco di guai. Ma dobbiamo stare attenti a non esagerare con misure che finiscono solo per appesantire le aziende”. Secondo Civita, “dobbiamo fare lo sforzo di sederci a fianco dei clienti fin dall’inizio della filiera di un progetto di sicurezza e conquistarci la fiducia delle aziende. Un altro approccio è quello di indrodurre in azienda la security un poco alla volta per far prendere confidenza agli utenti con questi strumenti e permettere loro di capirne l’importanza. Tutto è più facile se l’azienda affida la gestione della sicurezza all’esterno. Ma anche in questo caso è necessario che nelle imprese aumenti la consapevolezza dell’importanza della sicurezza”.
Come è avvenuto in seguito all’introduzione degli Erp, che hanno portato molte imprese a cambiare alcuni modelli comportamentali e adottare delle best practice, fa notare in conclusione Uberti Foppa, anche la razionalizzazione delle policy e degli strumenti di sicurezza può indurre nuovi modelli comportamentali più virtuosi nelle imprese.