A dispetto della riduzione dei budget, la sicurezza deve costantemente essere allineata all’attività di business
Nell’economia aziendale, la sicurezza è un aspetto che implica modalità di approccio differenti rispetto a qualsiasi altra attività operativa. La tipologia delle minacce e l’entità dei rischi, infatti, presuppongono modalità di intervento giornaliere e una capacità di reazione possibile solo attraverso continue logiche di aggiornamento per far fronte alla costante e progressiva evoluzione dei crimini informatici e delle attività dolose che, in maniera più o meno inconsapevole da parte di chi ne è autore, possono impattare sulla continuità operativa.
Il primo problema condiviso da qualsiasi organizzazione, indipendentemente dalle sue dimensioni o dalla tipologia del business trattato, è la vulnerabilità dei sistemi informativi che, una volta infettati, impediscono l’accesso ai dati, bloccando le routine di lavoro a vari livelli. Il secondo riguarda il possibile furto dei dati; a questo proposito Symantec nel 2008 ha stimato il fatturato mondiale generato da questo tipo di business: la cifra è importante, con i suoi 270 milioni di dollari e un trend di crescita tre volte superiore, rispetto alle aspettative. Gli attacchi, insomma, diventano sempre più malevoli anche perché lucrosi: phishing e spam consentono di carpire e rivendere informazioni per cui tutte le aziende sono chiamate a fronteggiare questa nuova dinamica di rischio.
A dispetto della riduzione dei budget, la macchina della sicurezza deve, dunque, mantenersi allineata sia all’evoluzione del business che ai cambiamenti quotidiani.
Il contesto internazionale
Secondo l’ultimo Rapporto Assinform, l’anno trascorso ha evidenziato una maggiore consapevolezza da parte delle aziende del ruolo dell’information security, non tanto per esigenze di adeguamento alle normative, quanto per tutelare il patrimonio aziendale e incrementare il valore del business. «A livello internazionale – ha spiegato Ennio Lucarelli, presidente di Assinform – il 2008 è stato anche l’anno in cui si sono manifestate due grandi minacce, che hanno dimostrato come le imprese siano sempre più vulnerabili: avanzano i casi di furto dei dati aziendali da parte di personale interno, in crescita soprattutto negli Usa in seguito ai licenziamenti conseguenti alla crisi, e il phishing proveniente dai siti di social network, basato su sistemi sempre più sofisticati. In realtà, il furto dei dati aziendali è all’attenzione delle aziende già da qualche anno, soprattutto con la diffusione della possibilità di accedere da remoto, tramite numerosi dispositivi, a sistemi e database aziendali».
Cogliere la prospettiva internazionale in merito alla sicurezza costituisce un importante strumento di previsione dei trend che potranno interessare nel medio/breve termine lo scenario nazionale ed europeo in virtù del comprovato ╥ritardo╙ tecnologico che abbiamo ancora rispetto a paesi più sviluppati, Usa in primis. Confrontando i dati raccolti da altre società di ricerca, gli analisti di Assinform hanno completato il quadro della situazione che rivela le tendenze in atto e le strategie più gettonate per far fronte a una gestione della sicurezza che deve essere sempre più dinamica e proattiva. Dando un’occhiata alla classifica stilata dalla Csi Computer Crime and Security Survey 2008 su un campione che ha coinvolto oltre 500 security manager statunitensi, le principali soluzioni adottate vedono in testa gli antivirus al 97%, seguiti dai firewall 94%, Vpn 85% e antispyware 80%. Rispetto agli anni passati, inizia a crescere una serie di approcci integrati come l’uso di smart card o di soluzioni one-time password token, con una quota pari al 36% e di software per la protezione degli endpoint lato client, scelti dal 34% del panel così come le soluzioni biometriche, presenti in un’azienda su cinque, pari al 22% del campione.
Secondo la Annual Global Information Security Survey, condotta da Ernst&Young su un panel di oltre 50 paesi, il 45% delle aziende intervistate ha dichiarato come la crescita dell’importanza della sicurezza It implichi una maggiore attenzione ai processi aziendali per ottimizzare l’efficienza operativa, allineandola al business. Di fatto, le principali conseguenze degli incidenti subìti a causa di attacchi informatici per l’85% dei casi si è tradotta in un danno alla reputazione e al brand, nel 77% ha portato a una perdita di fiducia degli stakeholder e nel 72% dei casi ha fatto registrare una perdita dei ricavi.
Gli studiosi, citando ancora i numeri della Computer Crime & Security Survey, indicano che la perdita media per ogni azienda del panel è stata quantificata in un ordine pari a 289.000 dollari circa in seguito ad attacchi e a perdite dei dati legati a virus informatici, ad abusi da parte del personale e al frutto di laptop. La sicurezza It è considerata dal 41% delle aziende campione come un’importante component del risk management; per il 64% degli intervistati deve essere correttamente impostata non soltanto per esigenze di compliance mentre il 58% ritiene che sia necessaria a incrementare la protezione dei dati e della privacy. Il 24% di risposte, invece, ne attribuisce la strategicità grazie ai benefici di immagine che portano a un miglioramento delle performance.
Il mercato italiano
Guardando all’Italia, l’X-Force Trend and Risk Report 2008 promosso da Ibm, conferma il Bel Paese al secondo posto mondiale come luogo d’origine delle mail di pishing (14,0%), leggermente dietro la Spagna (15,1%), ma distanziando in misura notevole paesi tecnologicamente avanzati come Francia (6,4%), Germania (4,4%) e Usa (2,8%). Per quanto riguarda la produzione di spam, l’Italia ha prodotto nel 2008 il 3% delle ╥mail spazzatura╙, a fronte del 3,9% del 2007: nulla se confrontato al 20,6% della Cina, che ha recentemente superato gli Usa, fermi al 19,4%.
La diffusione del Web collaborativo anche tra le imprese italiane inizia a creare diversi problemi ai responsabili aziendali che devono rivedere le proprie politiche di controllo degli accessi secondo una gestione del rischio di più alto profilo. Secondo il rapporto sulla sicurezza 2009 stilato da Sophos, nel 2008 gli spammer si sono rivelati molto intraprendenti nel provare nuovi metodi per distribuire i loro messaggi di marketing e malware; è noto come i siti di reti sociali come Facebook e Twitter sono stati presi di mira in modo particolare. Di solito gli hacker rubano i nomi utente e le password dei membri, quindi bombardano gli amici e i familiari delle vittime con messaggi di marketing ben camuffati, indirizzandoli alle pagine Web di terzi.
Ma non è solo il social network ad alterare gli equilibri della sicurezza aziendale: la pervasività del mobile tra le organizzazioni di tutte le dimensioni non ha una standardizzazione procedurale per cui nella maggior parte delle realtà gli utenti utilizzano e condividono regolarmente i dati senza preoccuparsi troppo della riservatezza e delle leggi sulla protezione dei dati stessi. Non è un mistero che la maggior parte dei lavoratori tende ad archiviare su supporti rimovibili non protetti dati relativi a contratti e aspetti finanziari, informazioni su clienti, obiettivi di vendita, contatti e account personali il che ha comportato numerosi casi di perdita di dati, anche se più spesso accidentali che malevoli.
A fronte di questi e altri problemi, i responsabili aziendali stanno reagendo e, di fatto, gli investimenti tengono. Secondo Gartner, le proiezioni del triennio 2009-2011 dicono che, rispetto ai budget It, la parte dedicata alla security si conferma senza variazioni sensibili. A fronte di un calo dei budget, dunque, la sicurezza rimane percentualmente allineata: in proporzione, diminuisce quella per il personale e aumenta quella relativa ai software e alla consulenza. La distribuzione della spesa viene spiegata in seguito a una certa evoluzione delle tecnologie utilizzate anche dal punto di vista attitudinale: le organizzazioni, infatti, tendono a investire meno in attività internalizzate e a investire di più nell’offerta del mercato esterno.
Assinform ha individuato il valore della spesa It in sicurezza in Italia nel 2008, in 792 milioni di euro che, paragonati ai 716 del 2007 e ai 648,9 del 2006 ne confermano la costante crescita.
«Analizzando i dettagli di spesa – ha osservato Giancarlo Capitani, amministratore delegato di NetConsulting – si può notare come il software e i servizi abbiano mantenuto una crescita rispettivamente del 12% e dell’11%. Di fatto, l’hardware è l’unica componente di mercato che ha fatto registrare un rallentamento della crescita».
Una volta rafforzate le soluzioni di threat managment, specie sul fronte della prevenzione e del rilievo delle intrusioni, le aziende italiane più evolute nel 2008 si sono concentrate sull’implementazione di soluzioni di identity management, adottate dall’82,4% di un campione costituito da oltre 5.000 aziende di cui 1.000 di grandi dimensioni.
Tali soluzioni sono state adottate per monitorare, tracciare e gestire i percorsi effettuati dagli utenti all’interno dei sistemi, orientandosi su suite integrate. Rispetto a un’analisi dei progetti realizzati in ambito security nel 2008, il 54,9% delle aziende italiane intervistate ha avviato progetti di security information management, il che dimostra una crescente attenzione verso sistemi di governance strategica della sicurezza, seppur solo il 35,3% ha adottato cruscotti centralizzati per la gestione degli eventi correlati alla protezione aziendale.
La sicurezza, infatti, è figlia dell’implementazione di un processo che ha bisogno di una tecnologia ma, non esistendone alcuna capace di dare sicurezza in assoluto, è importante una pianificazione in grado di aumentare l’interazione tra la sicurezza logica, ovvero quella di rete, quella sui contenuti, quella a presidio delle applicazioni e via dicendo e la sicurezza fisica delle persone.
