Da un lato le minacce al business e dall’altro la necessità di adeguarsi alle normative vigenti impongono alle imprese un’attenta riflessione sulle strategie di sicurezza da intraprendere e sulle linee da attuare nell’ambito della governance aziendale. …
Da un lato le minacce al business e dall’altro la necessità di adeguarsi alle normative vigenti impongono alle imprese un’attenta riflessione sulle strategie di sicurezza da intraprendere e sulle linee da attuare nell’ambito della governance aziendale. Che le minacce siano ormai all’ordine del giorno è cosa nota: i codici maligni, ad esempio, sono in continuo aumento: all’inizio del 2008 Kaspersky Lab usava circa 500.000 impronte per rilevare malware, a fine anno il numero è triplicato. Un altro esempio? Secondo il rapporto Microsoft 2008, i pc italiani infettati con Trojan sono stati 570.000, pari a un +93,4% rispetto al 2007. Seguendo il trend tecnologico, oggi va alla grande il Caas, ovvero il Crime as a service, una nuova pirateria lucrosa che moltiplica le botnet e, in generale, gli attacchi. I dati raccolti da Cisco dicono che su 200 miliardi di messaggi inviati al giorno in tutto il mondo, il 90% delle e-mail è uno spam, il che fa ipotizzare introiti da capogiro per i cybercriminali, che hanno imparato a sfruttare le nuove economie di scala: rubano un euro alla volta, compromettono macchine e server in modo silenzioso, puntano a fare guadagni ripetibili nel tempo e affittano le infrastrutture delittuose che hanno creato. In occasione dell’evento eSecurityLab tenutosi recentemente a Milano e organizzato da Bci Italia con il patrocinio di Aipsi (Associazione Italiana Professionisti Sicurezza Informatica) e Issa (Information System Security Association), attraverso un vivace confronto tra Cio, consulenti e protagonisti dell’offerta, è stato fatto il punto della situazione.
Il ruolo della compliance
L’incontro è stato corroborato da una ricerca condotta da Ernst&Young tra giugno e agosto 2008, su un campione di 1.400 aziende mondiali, di cui 30 italiane, intitolata “Moving beyond compliance”. Nella gerarchia delle priorità aziendali a livello worldwide, la compliance con normative e regolamenti continua a essere il driver principale della sicurezza It con il 77% del campione che ha dichiarato di aver messo al primo posto il raggiungimento della conformità con le politiche della casa madre, mentre il 79% ha sottolineato come fondamentale l’allineamento della compliance alle normative esistenti. Un aspetto condiviso è stato quello per cui la conformità, spesso poco chiara, rende insonne il top management aziendale sia perché difficile da contestare, sia perché onerosa da sanare. Se è vero che non è possibile risolvere la conformità attraverso l’acquisto di un prodotto è altrettanto vero che non la si può esaurire attraverso un unico intervento.
Il consiglio degli esperti? «Sfruttare gli obblighi di conformità per ottenere i budget necessari a finanziare progetti e interventi prioritari e strategici – sottolinea Marco Forneris, Ict Governance manager di Telecom Italia – da un lato aumenta i livelli di protezione, e, dall’altro, consente di rendere più efficiente la governance aziendale, pur rimanendo consapevoli che il fenomeno non sia risolvibile una volta per tutte». Approcci come l’identity management, ad esempio, oltre a consentire un maggior controllo di chi si muove all’interno dell’azienda e di come si muove, permette di abbattere sensibilmente i tempi di rilascio di nuove postazioni e, in scala, di nuove divisioni o sedi aziendali.
«Meccanismi di supervisione e di controllo precisi – afferma Giorgio Gavioli, responsabile servizi sicurezza di T-Systems Italia -, trasparenti al management ed efficaci, se utilizzati al meglio consentono anche di tagliare i costi. La sicurezza, infatti, è parte integrante del Dna aziendale». La combinazione vincente è quella che realizza l’integrazione tra la security governance e l’Information system management.
«A differenza di un tempo – commenta Roberto Luongo, Cio di Zero9 – oggi è più facile che un progetto comprenda diversi aspetti: identity management, gestione della sicurezza applicativa e via dicendo. In dettaglio, rispetto a un controllo del codice, il nostro approccio è di basso profilo: bombardamento in fase di test per verificarne tenuta e audit periodici oltre ad analisi per confermarne o meno la solidità».
Investimenti in crescita
L’integrazione delle piattaforme di identity management di nuova generazione, con le tecnologie di sicurezza relative al data & content protection, nonché con le applicazioni Web 2.0 e le piattaforme di gestione dei sistemi costituiscono un nuovo capitolo delle strategie aziendali.
Il problema è che con il Web 2.0 e i nuovi servizi derivanti dal cloud computing, controllare gli accessi rappresenta oggi solo il punto di partenza per proteggere dati digitalizzati di ogni genere. «La strada da seguire – evidenzia Bruno Degradi, country manager Day Software – consiste nell’integrare i repository dei due ambienti, così come richiesto da un gran numero di aziende di ogni parte del mondo, mediante una gestione dei contenuti d’impresa, dai documenti tradizionali alle componenti Web 2.0, attraverso sistemi aperti e facilmente integrabili in cui l’open source può offrire il suo valore aggiunto». Cosa riserva il futuro? Una proiezione di Idc dice che l’identity e l’access management a livello mondiale passerà dai 3,1 miliardi di dollari del 2007 ai 5,3 miliardi del 2012. Un’altra buona notizia sul fronte degli investimenti è quella di Forrester Research, secondo cui nel 2009 i budget e il mercato della security fanno stimare per il 2014 una quota pari a 12,3 miliardi di dollari, che comparati ai 2,6 del 2006 fanno pensare a un trend decisamente positivo. Anche l’Institute for Applied Network Security (Ians) conferma come il peso relativo della security sul totale del budget It nel 2008 si è attestato all’8%, mentre per il 2009 sforerà il 10%. In ogni caso, non è solo la conformità alle politiche aziendali e alle normative il driver degli investimenti.
Sensibilizzare tutta l’It aziendale
Un punto debole segnalato dai Cio è che, a livello d’offerta, chi sviluppa il prodotto difficilmente si occupa della sua manutenzione e questo lascia qualche problema aperto. Sul progetto di un’It security aziendale, in linea teorica tutti concordano che l’ideale sarebbe quello di coinvolgere diversi process owner, sviluppatori e sistemisti inclusi, anche se emergono alcune resistenze quando il fornitore cerca di entrare nell’area gestionale. Il suggerimento per una migliore security governance è, dunque, quello di recuperare e sensibilizzare quanto più possibile tutti gli informatici che operano in azienda. La sfida, invece, è quella di capire quali siano le funzioni aziendali avvantaggiate dal progetto sicurezza anche per ritagliare il budget sulle diverse funzioni coinvolte.
«È indubbio che tra le priorità aziendali ci sia un discorso di riduzione dei costi – puntualizza Domenico De Angelis, marketing manager di Omnitech – e che quest’ultimo sia connesso con la creazione di una maggiore automazione, il che implica un aumento della sicurezza. Indubbiamente bisogna avere un’ottica globale di services management con l’obiettivo di ottimizzare i processi e di abbattere le spese». Questo vale soprattutto quando un’azienda opera in un contesto multinazionale. Gli orientamenti della corporate governance, infatti, impongono al management di predisporre sistemi di controllo interno su tutte le attività aziendali che comportano rischi per gli stakeholder.
«Bisogna intendere la security governance come un approccio di tipo operativo, in quanto mossa dalla necessità di ottimizzare e razionalizzare l’impiego delle risorse sfruttando le best practice in vigore» aggiunge Claudio Tancini, responsabile Group It Operations Global Functional Leads di Zurigo Assicurazioni.
L’80% delle risposte worldwide raccolte dai ricercatori di Ernst&Young conferma l’information security come parte integrante delle strategie aziendali, in quanto può supportare il raggiungimento degli obiettivi di business dell’organizzazione. «È indubbio che la responsabilità aziendale sia quella di proteggere i propri asset – conferma Elio Molteni, Solutions strategist di Ca – e di assicurare la continuità operativa dei servizi It, la produttività del personale, la tutela delle proprietà intellettuali, ma questo non basta perché è necessario anche presidiare la correttezza delle applicazioni e dell’integrità fisica dei dati, nonché la conformità alle normative di legge e alle policy aziendali». Il 29% delle organizzazioni intervistate da Ernst&Young non ha, infatti, definito una specifica strategia di information security che, generalmente, in un terzo dei casi viene inclusa nell’ambito della strategia It dell’organizzazione. Sebbene la privacy e la protezione dei dati personali siano considerati fattori critici per le organizzazioni, gli interventi in merito sono ancora limitati: solo il 67% ha implementato controlli per proteggere le informazioni personali, solo il 31% ha eseguito un censimento dati personali trattati nell’organizzazione e solo il 27% ha svolto verifiche e assessment in ambito privacy. Anche sotto questo profilo, i dati italiani sono più confortanti: l’87% rivela una forte consapevolezza e sensibilizzazione sulla tematica della privacy, con un 81% che aggiunge di aver inserito dei privacy requirement nei contratti con fornitori, partner esterni e clienti. Rimane irrisolta la questione relativa alla gestione del ciclo di vita dei dati personali, in quanto gli analisti hanno rilevato un’assenza di assessement globali.
«A livello settoriale – ribadisce Andrea Mariotti, senior manager, Technology & Security Risk Services di Ernst&Young – le organizzazioni di Tlc e le società del comparto bancario dichiarano di avere una chiara comprensione degli adempimenti privacy, con percentuali nettamente superiori a quelle riscontrate a livello globale e intersettoriale».
La mancanza di uno standard
In generale, il problema principale della sicurezza è che non esiste uno standard, anche se i suggerimenti del Garante costituiscono una sorta di compendio fatto di norme, regolamenti generali e certificazioni professionali. La domanda è allora la seguente: come strutturare in maniera ottimale un reparto di security all’interno di un’azienda o di una divisione It? Guardando agli Stati Uniti e alle altre nazioni europee esiste un quadro di riferimento interessante, che aiuta a identificare gli specialisti più idonei, a partire dal curriculum professionale e dalle qualifiche maturate. Un aiuto importante viene anche dalle società di consulenza che, monitorando i mercati mondiali, hanno meglio il polso della situazione. Butler Group, ad esempio, sul tema della sicurezza ha evidenziato una lista di priorità che, oltre a comprendere l’obbligo di rispettare leggi e normative relative all’Iso-17799/Bs 7799-2/Cobit, al Codice di Protezione dei Dati Personali e al Documento Programmatico Sicurezza al Basilea II – Sox (Sarbanes-Oxley Act), includono la protezione del patrimonio informativo aziendale e la riduzione dei costi di allestimento, gestione e incremento di qualità ed efficacia dei controlli. «Una cosa è certa: rispetto al passato, gli adempimenti normativi sono diventati realtà – precisa Cosimo Comella, dirigente sistemi informativi Ufficio Garante per la protezione dei dati personali – e i provvedimenti più recenti dimostrano un’applicazione delle leggi effettiva, controllata dal Garante attraverso attività ricognitive ed ispettive mediante ispettori competenti e l’ausilio della Guardia di Finanza, che hanno portato a migliaia di accertamenti con sanzioni nell’ordine delle centinaia».
