Otto responsabili It mettono a nudo le maggiori problematiche di sicurezza con cui sono costretti a misurarsi quotidianamente. Nell’occhio del ciclone anche il sistema dell’offerta
Fino a 4 o 5 anni fa il tema della sicurezza informatica era appannaggio esclusivo degli addetti ai lavori. Oggi, per effetto di alcuni fenomeni emergenti, la situazione è profondamente cambiata e la sensibilizzazione nei confronti di questo argomento si è notevolmente allargata. Parallelamente, all’interno delle aziende è andata crescendo la consapevolezza relativa alla complessità di gestione del problema, un’urgenza avvertita in particolare all’interno delle grandi realtà. «A questa sfida – ha esordito Luca Marzegalli, head of Information Security Unit del Cefriel – Politecnico di Milano – se ne aggiunge un’altra per i responsabili It: fornire risposte concrete che siano misurabili dal management. In materia di sicurezza, il tema della valutazione del ritorno degli investimenti su qualcosa che agisce sulla diminuzione del rischio è, però, un problema tutt’altro che banale. Stabilire il Roi di una soluzione che incrementa l’efficienza o la produttività aziendale è, infatti, decisamente più facile».
Il problema della governance delle soluzioni di security è sicuramente uno dei grattacapi maggiori per gli It manager, chiamati a gestire una complessità crescente sotto molteplici aspetti. «Per chi si occupa di sicurezza – ha proseguito Marzegalli – monitorare cosa avviene in azienda è fondamentale. Il problema è che oggi ci sono troppi sensori incaricati di registrare gli eventi generati dai vari sistemi e i security manager non riescono ad analizzare le enormi quantità di dati a loro disposizione. La scarsa sfruttabilità di queste informazioni è dovuta anche al fatto che mancano standard di riferimento, per esempio nella formattazione dei log, e correlare informazioni provenienti da fonti diverse diventa un’operazione tutt’altro che semplice. A volte, poi, le aziende si dotano di strumentazioni senza disporre di personale in grado di gestirle o configurano i sistemi in modo inappropriato, con risultati dannosi per il business».
È ormai chiaro che le problematiche di sicurezza non riguardano solo la tecnologia, ma anche aspetti procedurali, due componenti da affrontare in modo integrato: questo nuovo approccio ha impatto, però, sull’organizzazione aziendale, dal momento che chi scrive le policy deve avere un forte background tecnico per forgiare le tecnologie attorno a procedure e, quindi, non farle considerare semplice burocrazia.
Definizione e percezione di rischio
In linea generale, nella scelta delle soluzioni di security, l’It manager deve sapersi muovere, bilanciando due criteri: la definizione di un adeguato livello di rischio e la percezione delle minacce. «Spesso – ha osservato l’interlocutore – la sensazione di insicurezza è un fatto soggettivo, emozionale. Prendiamo, per esempio, il phishing, un fenomeno cui è stato dato un enorme risalto, eppure ci sono minacce più problematiche come impatto sul business. Questo caso insegna che il responsabile It deve sempre saper scegliere le soluzioni, tenendo conto non solo delle possibili perdite economiche causate dai diversi tipi di attacchi, ma anche di quelle dovute alle percezioni del cliente o del fruitore del servizio. È, infatti, importante trasmettere fiducia».
Fondamentale si conferma, quindi, sfruttare la suggestione di alcuni fenomeni per ottenere il giusto commitment, senza mai saltare i passi necessari per la realizzazione di efficaci soluzioni di sicurezza: elementi come la progettazione, la valutazione d’impatto e la selezione del fornitore sono indispensabili. Per fare tutto questo occorrono competenze interne, in grado di selezionare le soluzioni di security sulla base di una conoscenza approfondita delle realtà in cui si opera. «Questo discorso – ha continuato Marzegalli – è valido anche in ottica di full outsourcing, un servizio che offre un contributo significativo, non solo per le economie di scala che riesce a creare a chi lo fornisce, ma anche per una questione di tempi. Molti hacker operano, infatti, nei weekend e di notte, sapendo che molte aziende non sono strutturate per gestire una copertura 24×7. Per tutelarsi, gli outsourcer sono quindi fondamentali, ma per sfruttare al meglio i loro servizi bisogna disporre internamente di qualcuno che li indirizzi con competenza».
Il problema degli insider
Oggi, i temi maggiormente alla ribalta sono rappresentati dal furto d’identità e dal social engineering, ossia tutte quelle tecniche che sfruttano i comportamenti degli utenti per acquisire informazioni da usare per frodare i sistemi informativi.
«Da qualche tempo – ha concluso Marzegalli – sta emergendo anche il fenomeno degli insider, personale interno che nel tempo matura risentimento verso l’azienda o che, grazie alla posizione occupata, ha privilegi d’accesso alle informazioni. In tutti questi casi, la soluzione non è più rappresentata dalla difesa del perimetro aziendale, ma del dato, possibile solo attraverso la profilazione degli utenti. Questi strumenti hanno, però, un punto critico nella gestione della complessità. Oggi ci sono, infatti, un’enormità di dati e una molteplicità di soggetti tali da rendere complessa la gestione della matrice».
Conclusioni
Sono tanti i suggerimenti pratici che emergono dalle interviste raccolte in queste pagine. Innanzitutto, per garantire la corretta gestione della sicurezza in azienda sembra davvero impossibile prescindere dalla presenza di un Chief security officer, incaricato di sviluppare processi tecnologici fortemente integrati con quelli di business. Conservare la security intelligence all’interno delle imprese non solo non preclude all’esternalizzazione delle più semplici attività operative, ma spinge anche alla definizione (e al monitoraggio) di policy in grado di limitare qualsiasi tipo di minaccia, sviluppando parallelamente una solida cultura di sicurezza tra gli utenti.
Sul fronte funzionale, infine, è indispensabile disporre di soluzioni stabili e integrate, in grado di far superare le difficoltà di correlazione tra prodotti e piattaforme tipiche di un mercato frammentato come quello dell’It security.
- B&B – Mai sottovalutare le minacce che arrivano dall’interno
- Banca lombarda e piemontese – Consapevolezza e attenzione: ingredienti per la sicurezza
- Butangas – Il fattore umano come chiave di sicurezza
- Dorini – Fondamentale fissare policy interne
- Facet – Soluzioni chiavi in mano
- Granarolo – Prevenire significa educare l’utente
- Regione Lombardia – La cultura della sicurezza richiede policy rigorose
- Seat pagine gialle – Tutelarsi attraverso una visione integrata di sicurezza
