logo
Come evitare di finire in prima pagina per questioni di sicurezza Stampa E-mail
Scritto da Giuseppe Saccardi   
Mercoledì 16 Novembre 2011 12:02

Il problema della sicurezza delle informazioni aziendali, soprattutto alla luce di notizie recenti che creano non poche perplessità sul come vengono trattati quelli che si presumono essere dati sensibili, continua a turbare i sogni degli utilizzatori. Per capire cosa si può fare per annullare o ridurre il rischio abbiamo sentito il parere di Jeff Schmidt, Executive Global Head of Business Continuity, Security and Governance di BT.

 

GS: Le normative sulla conservazione e protezione dei dati sensibili sono sempre più stringenti, ma poi sono proprio gli enti pubblici che sembra siano i più esposti. Cosa sta accadendo e come ci si può porre rimedio?
JS:Negli ultimi mesi, alcune delle aziende e delle organizzazioni governative di maggior spicco hanno subito una violazione delle proprie difese e il conseguente furto dei dati relativi alla clientela. Guardando al di là del puro fatto di cronaca, vedo due punti di attenzione: il primo riguarda il modo in cui le organizzazioni costruiscono le proprie difese, e il secondo il modo in cui reagiscono quando si verifica un incidente.
Per quanto riguarda la sicurezza in ambito IT, spesso l’approccio che le aziende adottano è piuttosto indifferenziato e può andare dal tentativo di proteggere qualunque asset da qualsiasi minaccia immaginabile (in molti casi a costo di spese altissime) fino all’adozione di quelle misure generali che permettano di mantenere minimo l’impatto economico, nella speranza (o illusione) che possano essere sufficienti a tenere lontani gli attacchi.
Nel mondo fisico, invece, le organizzazioni normalmente adottano un approccio diverso.

 

GS: Potrebbe fare un esempio concreto?
JS: Facciamo l’esempio delle banche. Di notte le porte vengono chiuse, le finestre sbarrate e gli allarmi inseriti. Il personale di guardia provvede al controllo degli spazi, avvalendosi spesso di telecamere a circuito chiuso.
Durante il giorno invece le porte sono aperte e il pubblico ha libero accesso alle sale della banca, sempre sotto il controllo vigile delle guardie e/o delle telecamere. Viene poi applicato un secondo livello di difesa, che si occupa della protezione di una parte più ristretta della struttura, quella che racchiude gli sportelli. In questo modo viene limitato l’accesso ai computer, al denaro e alle informazioni relative ai clienti. Un ulteriore, molto più stringente, livello di sicurezza è riservato alle cassette di sicurezza e a tutte le aree in cui si trovano i beni di maggior valore.
In questo modo le banche fanno sì che i loro investimenti nella sicurezza fisica siano proporzionali a fattori come il valore degli asset da proteggere e i livelli di rischio, ottenendo misure che sono da un lato efficaci e dall’altro economicamente ragionevoli. Lo stesso approccio può essere adottato per la protezione degli asset digitali.
Il primo passo consiste nella definizione di quello che può essere il rischio “accettabile” ossia la quantità di rischio che si è preparati ad affrontare in ciascuna area della propria attività, dai punti di contatto con i clienti e fornitori fino al cuore dei propri sistemi, dove si trovano gli asset di maggior valore. Si può quindi passare alla definizione non solo delle difese da installare, ma anche dei processi da mettere in atto per garantire il rispetto delle policy di sicurezza stabilite. Infine non si deve trascurare di testare che tutto funzioni secondo quanto prefigurato.
A questo scopo, gli strumenti di “penetration test” possono servire per evidenziare vulnerabilità come la mancanza di patch o l’uso di password di default, ma certo non possono verificare la robustezza della security rispetto all’attività svolta direttamente dagli hackers, come telefonare a qualcuno del dipartimento IT fingendosi un utente che ha dimenticato la propria password e chiedendo aiuto per rientrare nei sistemi. Nonostante i vendor affermino che i loro prodotti sono studiati per essere utilizzati “out of the box” non sempre è così. Più si impara a pensare come un hacker, più è probabile che si arrivi a configurare gli strumenti in modo che riescano a identificare tutti i punti di debolezza delle difese implementate. Pertanto è meglio fare ricorso agli “ethical hacker”, persone che sanno pensare e agire come gli hacker, che hanno accesso agli strumenti di hacking più recenti, ma che limitano la loro azione a redigere un rapporto sui problemi che scoprono.

 

GS: Mi aspetto che la cosa non finisca qui, o sbaglio?
JS: No, la cosa non finisce qui, naturalmente. La Cybersecurity è come un gioco a scacchi. Ogni volta che l’avversario fa una mossa, il giocatore deve pensare alla contromossa adeguata. Ma nemmeno i campioni vincono sempre, di tanto in tanto gli attacchi hanno successo. E quando questo accade, è importante avere una strategia per reagire.
Le ore immediatamente successive a una violazione della sicurezza sono particolarmente critiche. Ciò che si fa in quel momento può avere un grosso impatto non solo sui costi cui si va incontro ma anche sull’immagine dell’Azienda, quindi è importante avere un piano di gestione della crisi ben definito – che riporti chiaramente cosa ciascuna funzione deve fare, come si deve comunicare con i clienti, con i media e con gli altri stakeholder. L’esperienza suggerisce che la trasparenza è la policy migliore. I tentativi di minimizzare i problemi e di dichiarare trascurabili gli impatti solitamente non fanno altro che peggiorare le cose.

 

GS: C’è qualcosa d’altro che ritiene utile considerare?
Js:Si, un ultimo commento sull’importanza dello stare sempre in guardia.
I sistemi di protezione come i firewall -gli equivalenti software dei lucchetti– sono assolutamente necessari. Ma non sono infallibili. E’ sufficiente trovare le chiavi per poter entrare. Questo è il motivo per cui le organizzazioni come le banche installano telecamere a circuito chiuso all’interno delle aree protette – per tenere d’occhio chi è all’interno.
Le telecamere sono tuttavia efficaci solo nella misura in cui lo sono le persone addette al loro controllo. Ad esempio, se ogni palazzo è controllato separatamente, l’unico modo per garantire che le immagini vengano sempre visionate in tempo reale è quello di avere almeno due persone di guardia H24. Per questo motivo si preferisce generalmente affidare il controllo delle telecamere, centralizzate in control room, ad aziende specializzate che possono avvalersi di team più grandi. Lo stesso discorso vale anche per le difese software, dove al posto delle telecamere si trovano i sistemi di intrusion detection – strumenti che monitorizzano le reti e i sistemi IT, segnalando le attività sospette. Anche qui è necessario che ci siano delle persone a controllare le segnalazioni e, per garantire una adeguata supervisione agli output dei sistemi di intrusion detection (24x7x365), sempre più spesso le organizzazioni si rivolgono a provider specializzati.

 

GS: In sintesi cosa ritiene di suggerire?
JS:In sintesi i miei suggerimenti per evitare di finire in prima pagina sono i seguenti. Prima di tutto effettuare un’analisi approfondita della propria organizzazione. Assicurarsi poi di avere le difese giuste al posto giusto e di essere in grado non solo di proteggersi da un eventuale attacco ma anche di rispondere, in caso un attacco andasse a segno. Sottoporre a test ogni sistema di protezione e ogni processo e dotarsi di risorse per il monitoraggio delle difese. Ed infine non abbassare mai la guardia,mantenendo tutto sempre rigorosamente aggiornato.

 

 
JoomlaWatch Stats 1.2.7 by Matej Koval