Paolo Ardemagni di Check Point su un problema concreto: la sicurezza degli endpoint.
L’estate che sta finendo non è stata esente da problemi relativi alla sicurezza informatica. Uno, in particolare, che ha riguardato Royal Bank of Scotland, ha fatto capire come i dati personali di milioni di utenti individuali possano valere appena 40 euro: il pc di un ex dipendente, che conteneva dati personali e numeri di carta di credito di oltre un milione di clienti dell’istituto è stato venduto su eBay a questa cifra. Problema risolto, dato che chi ha comprato il computer ha restituito le liste alla banca. Ma il rischio c’è stato.
Secondo Paolo Ardemagni, Regional Director Southern Europe di Check Point Software «il fatto non va sottovalutato. Si spendono miliardi per proteggere i dati all’interno delle aziende, quando il più delle volte sono gli dati a uscire da soli, su computer portatili, hard disk esterni, chiavette Usb, smartphone. È finita l’epoca della protezione dei dati solamente all’interno delle aziende».
Ma hard disk, chiavette Usb, smartphone, palmari, oltre a notebook e pc, sono strumenti di uso personale in grado di contenere quantità rilevanti di dati, che servono per il lavoro: «non è pensabile – osserva Ardemagni – che un funzionario commerciale possa incontrare clienti senza avere a disposizione i dati aggiornati che li riguardano. Il problema non è il fatto che i dati circolino, ma sta nel fatto che non sempre le aziende tengono presente questa modalità di circolazione dei dati quando vanno a definire le policy di sicurezza».
Cosa possono fare, allora, le aziende? Devono cambiare il loro approccio alla sicurezza? «Un’azienda – dice Ardemagni – deve avere sempre chiaro quali dati escono, su quale supporto e per che motivo. E deve fare in modo che i dati siano sempre protetti, al riparo da possibili distrazioni ed abusi, indipendentemente dal tipo di supporto su cui si muovono. È la cosiddetta endpoint security, ovvero a messa in sicurezza dei dispositivi su cui i dati circolano, tramite crittografia. Ci sono tecnologie che consentono di cifrare le informazioni contenute su un supporto digitale, e di far sì che possano essere decifrate solo da utenti abilitati, tramite password o strumenti di autenticazione forte».
Ma il problema non è solo tecnologico. «È una questione di approccio, – dice il manager – di pianificazione. Si tratta di aggiungere un ulteriore livello di sicurezza alla strategia aziendale, che già oggi comprende sicurezza Web, perimetrale e interna, ma senza aggiungere complessità».
Ancora una volta, quindi, è fondamentale la sensibilizzazione dell’utente? «Aldilà di ogni tecnologia – conclude Ardemagni – la prima protezione deve scattare nella testa dell’utente. Si maneggiano dati sensibili? Si verifichi con l’It quali accorgimenti si devono adottare per evitare che cadano, per una semplice dimenticanza, nelle mani di persone non autorizzate».
