SearchCIO
SearchNetworking
SearchSecurity
01net.CIO
Opinioni
Sistemi It permeabili: serve un secure program training
Alla direzione It spetta inequivocabilmente la difesa del patrimonio informativo aziendale. Da Paolo Lezzi, Ceo di Maglan Europe, una serie di consigli pratici.
10 Novembre 2011
«Piccola o grande che sia, il valore di un'azienda è determinato dalla consistenza del proprio patrimonio informativo. La difesa di questo asset diventa, quindi, fondamentale».
Va dritto al sodo il Ceo di Maglan Europe, Paolo Lezzi (nella foto).
Davanti a una platea di Cio e responsabili dei sistemi informativi chiamati a raccolta in occasione della prima edizione dell'ItDirectorForum 2011 organizzato a Gubbio da Richmond Italia, il manager si rivolge ai responsabili dei sistemi informativi come «ai primi attori dell'informatizzazione delle aziende».
Attori che, attraverso una corretta gestione, devono far sì che «le informazioni utili al business siano usufruibili da tutti in modo corretto, nel minor tempo possibile, da qualsiasi luogo e in qualsiasi momento».
Non è più un problema tecnico ma di sicurezza nazionale
Con una precisazione in più, perché se è vero che la mancata difesa del patrimonio informativo può portare a danni incalcolabili, «un attacco informatico non è più un problema tecnico ma di sicurezza delle aziende che, se simultaneo e continuativo su più imprese, può tradursi in un problema di sicurezza nazionale».
Stando, però, al referente della realtà nata nel 1998 come primo laboratorio di ricerca civile in Israele sull'evoluzione delle tecniche comportamentali dei metodi di attacco da parte di hacker professionali, terroristi informatici e organizzazioni di spionaggio industriale computerizzato, «reagire alle emergenze non può essere l'unica via percorribile».
«La vera tipologia di attacchi informatici oggi - continua Lezzi - non è quella eclatante e non sono più i perimetri dell'azienda quelli da difendere bensì le applicazioni, che non sono più sviluppate in maniera sicura».
Basti pensare che, sulla base delle esperienze registrate negli ultimi tre anni, il giudizio di Maglan lascia intendere «che la maggior parte delle applicazioni finanziarie mobile disponibili sul mercato sono al momento penetrabili».
Così, considerato che l'Italia non è l'India, «prima nazione a indire gare pubbliche riservate esclusivamente a sistemi It completamente sviluppati all'interno dei propri confini per evitare la presenza di malware esterni», la strada tracciata per correre ai ripari chiama in causa i responsabili dei sistemi informativi.
Tecnologie di difesa gestibili, monitorabili e configurabili
Perché la chiave di volta «non è acquisire nuove tecnologie per difendersi, ma poterle gestire, monitorare e configurare in maniera sinergica per proteggere la propria azienda da eventuali attacchi perpetrati prevalentemente da persone con una forte competenza tecnica sia in termini di reti complesse che di organizzazione aziendale, che agiscono soprattutto per propria soddisfazione economica».
La finalità ultima di chi le recluta è raggiungere una superiorità informativa strategica. Ma non mancano dipendenti e fornitori di servizi in outsourcing che, consapevolmente o meno, possono attuare comportamenti non consoni, come più volte ricordato da Lezzi nel suo intervento.
Così, preso atto che «lo spionaggio industriale in tutte le sue forme sta crescendo in maniera esponenziale in Italia», la maniera per ovviare buchi, più o meno consapevoli nella rete aziendale passa, in primis, «dal far percepire al top management la criticità dei sistemi di difesa e delle debolezze di quest'ultimi».
Test di verifica per massimizzare l'It già acquistato
Qui la nota si fa dolente, perché davanti a consigli più che leciti da parte di Lezzi, il brusio che si leva in sala è quello di chi ci crede, ma non ha in azienda interlocutori altrettanto pronti a farlo. Loro malgrado (e gli interventi raccolti in tal senso lo confermano - ndr), va spesso disatteso il consiglio di «effettuare continui test e verifiche dello stato di sicurezza dei sistemi informativi in azienda», nonostante il farlo «porta a massimizzare la tecnologia che si ha in casa, senza dover spendere per implementarne di nuova».
Le buone regole da attuare
Ancora una volta, è questione di buon senso e praticità.
Come citato nel decalogo del Ceo di Maglan, «per essere realmente difese le informazioni vanno criptate».
Va, poi, «verificata periodicamente l'efficienza di sistemi e applicazioni, così che le informazioni non siano raggiungibili sia dall'esterno che dall'interno da personale non autorizzato».
Occorre, inoltre, informarsi presso il top level «di quali sono le informazioni che distrutte, rubate o manipolate possono danneggiare pesantemente il patrimonio aziendale verificando se le difese attuate sono sufficienti a difenderle».
Vanno, infine, messi a punto dei «veri e propri Secure program training perché le applicazioni nascano sicure o siano comunque verificabili».
Anche perché, mixando i dati ufficiali rilasciati dalle autorità europee, le informazioni dei produttori di antivirus e quelle provenienti da un sistema di monitoraggio delle reti underground e di quelle Tor, che permettono il traffico in Rete anonimo, gli studi sulla fragilità del sistema informativo delle aziende italiane condotti da Maglan evidenziano dati davvero poco edificanti.
Ad attaccare le aziende di casa nostra sarebbero, nel 20% dei casi, altri Paesi europei totalizzando una perdita che, misurata in termini di fermo macchine, una serie di numeri «del tutto sottostimati» quantificano in circa 80 di milioni di euro all'anno.
Peccato che, tra attività rilevate e attività stimate, «le medesime perdite stimate per il 2011 in corso supereranno i 200 milioni di euro, mentre i dati per il 2012-2013 parlano inequivocabilmente di numeri compresi tra i 450 e i 600 milioni di euro».
Lo dica Lezzi o no, c'è poco da stare allegri.
Va dritto al sodo il Ceo di Maglan Europe, Paolo Lezzi (nella foto).
Davanti a una platea di Cio e responsabili dei sistemi informativi chiamati a raccolta in occasione della prima edizione dell'ItDirectorForum 2011 organizzato a Gubbio da Richmond Italia, il manager si rivolge ai responsabili dei sistemi informativi come «ai primi attori dell'informatizzazione delle aziende».
Attori che, attraverso una corretta gestione, devono far sì che «le informazioni utili al business siano usufruibili da tutti in modo corretto, nel minor tempo possibile, da qualsiasi luogo e in qualsiasi momento».
Non è più un problema tecnico ma di sicurezza nazionale
Con una precisazione in più, perché se è vero che la mancata difesa del patrimonio informativo può portare a danni incalcolabili, «un attacco informatico non è più un problema tecnico ma di sicurezza delle aziende che, se simultaneo e continuativo su più imprese, può tradursi in un problema di sicurezza nazionale».
Stando, però, al referente della realtà nata nel 1998 come primo laboratorio di ricerca civile in Israele sull'evoluzione delle tecniche comportamentali dei metodi di attacco da parte di hacker professionali, terroristi informatici e organizzazioni di spionaggio industriale computerizzato, «reagire alle emergenze non può essere l'unica via percorribile».
«La vera tipologia di attacchi informatici oggi - continua Lezzi - non è quella eclatante e non sono più i perimetri dell'azienda quelli da difendere bensì le applicazioni, che non sono più sviluppate in maniera sicura».
Basti pensare che, sulla base delle esperienze registrate negli ultimi tre anni, il giudizio di Maglan lascia intendere «che la maggior parte delle applicazioni finanziarie mobile disponibili sul mercato sono al momento penetrabili».
Così, considerato che l'Italia non è l'India, «prima nazione a indire gare pubbliche riservate esclusivamente a sistemi It completamente sviluppati all'interno dei propri confini per evitare la presenza di malware esterni», la strada tracciata per correre ai ripari chiama in causa i responsabili dei sistemi informativi.
Tecnologie di difesa gestibili, monitorabili e configurabili
Perché la chiave di volta «non è acquisire nuove tecnologie per difendersi, ma poterle gestire, monitorare e configurare in maniera sinergica per proteggere la propria azienda da eventuali attacchi perpetrati prevalentemente da persone con una forte competenza tecnica sia in termini di reti complesse che di organizzazione aziendale, che agiscono soprattutto per propria soddisfazione economica».
La finalità ultima di chi le recluta è raggiungere una superiorità informativa strategica. Ma non mancano dipendenti e fornitori di servizi in outsourcing che, consapevolmente o meno, possono attuare comportamenti non consoni, come più volte ricordato da Lezzi nel suo intervento.
Così, preso atto che «lo spionaggio industriale in tutte le sue forme sta crescendo in maniera esponenziale in Italia», la maniera per ovviare buchi, più o meno consapevoli nella rete aziendale passa, in primis, «dal far percepire al top management la criticità dei sistemi di difesa e delle debolezze di quest'ultimi».
Test di verifica per massimizzare l'It già acquistato
Qui la nota si fa dolente, perché davanti a consigli più che leciti da parte di Lezzi, il brusio che si leva in sala è quello di chi ci crede, ma non ha in azienda interlocutori altrettanto pronti a farlo. Loro malgrado (e gli interventi raccolti in tal senso lo confermano - ndr), va spesso disatteso il consiglio di «effettuare continui test e verifiche dello stato di sicurezza dei sistemi informativi in azienda», nonostante il farlo «porta a massimizzare la tecnologia che si ha in casa, senza dover spendere per implementarne di nuova».
Le buone regole da attuare
Ancora una volta, è questione di buon senso e praticità.
Come citato nel decalogo del Ceo di Maglan, «per essere realmente difese le informazioni vanno criptate».
Va, poi, «verificata periodicamente l'efficienza di sistemi e applicazioni, così che le informazioni non siano raggiungibili sia dall'esterno che dall'interno da personale non autorizzato».
Occorre, inoltre, informarsi presso il top level «di quali sono le informazioni che distrutte, rubate o manipolate possono danneggiare pesantemente il patrimonio aziendale verificando se le difese attuate sono sufficienti a difenderle».
Vanno, infine, messi a punto dei «veri e propri Secure program training perché le applicazioni nascano sicure o siano comunque verificabili».
Anche perché, mixando i dati ufficiali rilasciati dalle autorità europee, le informazioni dei produttori di antivirus e quelle provenienti da un sistema di monitoraggio delle reti underground e di quelle Tor, che permettono il traffico in Rete anonimo, gli studi sulla fragilità del sistema informativo delle aziende italiane condotti da Maglan evidenziano dati davvero poco edificanti.
Ad attaccare le aziende di casa nostra sarebbero, nel 20% dei casi, altri Paesi europei totalizzando una perdita che, misurata in termini di fermo macchine, una serie di numeri «del tutto sottostimati» quantificano in circa 80 di milioni di euro all'anno.
Peccato che, tra attività rilevate e attività stimate, «le medesime perdite stimate per il 2011 in corso supereranno i 200 milioni di euro, mentre i dati per il 2012-2013 parlano inequivocabilmente di numeri compresi tra i 450 e i 600 milioni di euro».
Lo dica Lezzi o no, c'è poco da stare allegri.
Link correlati
- Cio che incontri, processo che trovi
- I Cio e la distruzione creativa
- La lezione di Steve Jobs ai Cio
- Cio: il ruolo ormai è consulente strategico
- Metodo e automazione per governare la sicurezza
- Sicurezza: è con metodi e automazione che si governano i costi
- Per le Pmi serve una sicurezza ad hoc
- Spionaggio Internet, l'e-mail il mezzo più usato
- Proprietà intellettuale, un patrimonio da favorire e tutelare
Rss