Alcuni suggerimenti dettati da un esperto. Gigi Tagliapietra, presidente del Clusit (Associazione italiana per la sicurezza informatica), traccia alcune linee-guida, utili per non spendere a caso.
Ormai lo sentiamo dire da tempo. I budget dedicati all’It sono sempre più “risicati” e le necessità, per contro, si fanno sempre più pressanti. Conformità alla legge, privacy e altri “grattacapi” affliggono i responsabili It (e i security manager in particolare), anche se le possibilità di spesa sono sempre più contenute. E allora come fare a orientarsi tra le diverse tecnologie, ottimizzando il ritorno sugli investimenti? Lo abbiamo chiesto a un vero esperto di protezione dei sistemi informativi, Gigi Tagliapietra, presidente del Clusit (Associazione italiana per la sicurezza informatica). “La security – esordisce Tagliapietra – non è una questione di tecnologia quanto piuttosto di conoscenza. La formazione, tuttavia, è ancora oggi scarsamente compresa ed è questa l’area sulla quale le aziende dovrebbero imparare a dirottare un po’ più di risorse. Le aziende hanno bisogno di avere suggerimenti pratici, testimonianze concrete, casi di successo e noi, proprio per venire incontro alle loro esigenze, abbiamo creato Isac, Information sharing and awareness center. Si tratta di un esperimento che prevede la condivisione e lo scambio volontario, tra le aziende, di informazioni ed esperienze relative a eventi accidentali, attacchi, punti di vulnerabilità, soluzioni per la sicurezza e altre misure di protezione. Questo tipo di iniziative apporta benefici alle organizzazioni, che possono confrontarsi con i concorrenti dello stesso settore su problematiche comuni, evitando di ripetere gli stessi errori“.
Dove vanno a finire i soldi…
Le imprese stanno indirizzando i propri budget in primo luogo verso la protezione del perimetro, ormai definitivamente compresa, soprattutto con l’installazione di reti private virtuali ma “in realtà – sottolinea il manager -, ciò che manca è la consapevolezza del perimetro esteso. Gli attacchi di phi-shing, sempre più diffusi, devono far riflettere i manager sul fatto che qualsiasi iniziativa che sia in grado di minare la fiducia dei clienti è un danno enorme al business dell’azienda nel suo complesso. Questo significa che i confini dell’azienda sono, ormai, dilatati oltre misura, fino a comprendere non solo i partner commerciali ma anche, in molti casi, ciascun utente finale“. Molti soldi sono stati spesi, negli ultimi mesi, per adeguare l’infrastruttura It ai dettami imposti dalla sicurezza sulla privacy o da normative specifiche per i settori bancario e finanziario ma questo, secondo Tagliapietra, non è sufficiente: “Un esempio calzante è quello degli antivirus, che vanno aggiornati quotidianamente, così come deve avvenire per le procedure in grado di assicurare la continuità operativa. La compliance è un modo estremamente pericoloso e riduttivo di gestire la sicurezza. è utile per far palestra, tuttavia le aziende devono andare ben oltre i livelli minimi definiti per legge per riuscire a proteggere concretamente le proprie attività“. Il secondo grande tema sul quale il manager invita a riflettere (e investire) è quello del filtraggio dei contenuti, contro spam e virus: “Contro queste minacce, che intasano o tentano di mettere fuori uso il network, l’unica arma è la pulizia di tutto quanto transita sulla rete“.
…e dove dovrebbero andare
Negli ultimi anni, inoltre, ciascuna azienda dovrà inevitabilmente, a detta di Tagliapietra, dotarsi di sistemi di autenticazione, in grado di certificare l’univocità e l’originalità dei sistemi informativi e delle persone coinvolte in un processo di scambio dei dati. “Troppo spesso, infatti, – precisa – questo tema è confuso con la firma digitale anche se non si tratta propriamente dello stesso concetto. Il phishing ha fatto emergere con prepotenza la necessità di garantire l’autenticità dei documenti, non solo del loro emittente. Se pubblico un listino online, i miei clienti devono essere certi del fatto che i prezzi siano quelli che io realmente pratico e non che un burlone si sia divertito a ritoccarli. Per fare questo, occorre dotarsi di un’infrastruttura di autenticazione dei contenuti che, oggi, la maggior parte delle aziende non ha“. Anche Intel, come illustrato in tabella, si spinge a dare consigli pratici sulla giusta dotazione di tecnologie di sicurezza in azienda. Si tratta di uno schema riassuntivo e, necessariamente, trasversale. Non vuole essere esaustivo ed esauriente ma può, in ogni caso, aiutare a dare un’idea dell’hardware necessario a garantirsi una protezione “in linea” con le esigenze di un’organizzazione moderna.
