Un’indagine di Unisys segnala le cinque categorie aziendali nelle quali la soglia di attenzione per la prevenzione dei rischi deve essere più elevata
Non si smetterà mai di parlare di sicurezza. Non solo perché le minacce emergenti – a cominciare dall’uscita non autorizzata di informazioni, per passare al cyber-terrorismo e allo spionaggio industriale – sono pericoli reali, ma soprattutto perché la sicurezza deve diventare una strategia sempre meno attinente alla tecnologia e sempre più mirata a considerare anche l’organizzazione, i processi e l’analisi dei comportamenti degli utenti. Quindi, l’attenzione alla prevenzione dei rischi e la conseguente tutela dei sistemi informatici oggi è fondamentale per tutte le organizzazioni, sia pubbliche che private, per gestire l’insorgere di problematiche che potrebbero compromettere l’integrità dei propri asset. I nuovi attacchi alla sicurezza informatica però richiedono di guardare oltre le semplici misure di controllo del perimetro dell’azienda; una necessità, questa, che porterà le aziende, nel 2008, a realizzare una maggiore integrazione fra protezione It e sicurezza fisica e ad adottare un approccio olistico. Un trend che, secondo Idc, fa della security uno dei principali driver del settore It; in particolare, nel nostro paese, la sua crescita spingerà il mercato a superare il tetto del miliardo di euro nel 2010. Con l’obiettivo di aiutare aziende pubbliche e private ad affrontare le sfide alla sicurezza, gli esperti in enterprise security di Unisys hanno delineato cinque “aree calde” per la sicurezza sulle quali si concentrerà l’attenzione nel 2008. «Molte aziende ancora oggi tendono a considerare l’information security una semplice commodity, utile per gestire eventi già accaduti – ha commentato Alessandra Girardo, marketing director Continental Europe Enterprise Security di Unisys -. La sicurezza, invece, è una funzione di business centrale poiché coinvolge l’intera infrastruttura dell’azienda contribuendo al corretto funzionamento e alla protezione dei sistemi».
Telefoni cellulari, Pda e notebook
Secondo la “Global end-user research 2007” di Unisys, il 34% del personale di un’azienda oggi è un “mobile worker”, che lavora da una postazione in remoto, lontana dall’ufficio e si avvale di laptop e Pda e di applicazioni Crm per l’assistenza clienti. Questo scenario obbliga le imprese ad adottare soluzioni di sicurezza che prevedono password o altri mezzi di controllo in fase di log-in; soluzioni che, però, non andando oltre la fisicità del dispositivo stesso, possono far perdere di vista la tutela delle informazioni in essi contenute. Nel 2008, dunque, proteggere le informazioni sui dispositivi mobili richiederà sforzi significativi per le imprese al fine di introdurre nuovi sistemi di autenticazione. Si riveleranno fondamentali la firma digitale e la crittografia, ma solo a condizione che vengano integrate in un piano di sicurezza olistico, a più ampio respiro, capace di fare fronte a problematiche come le modalità di trasferimento delle informazioni da un dispositivo all’altro. Senza un piano di questo tipo, le aziende rischieranno di possedere dati altamente vulnerabili, oppure, al contrario, talmente sicuri da essere però completamente inutilizzabili e isolati. Sarà quindi necessario raggiungere il giusto equilibrio fra questi due aspetti optando per una soluzione che permetta all’utente di restare produttivo a beneficio della redditività dell’impresa stessa.
Il mobile banking
Sempre più diffuso, il mobile banking continuerà a guadagnare terreno, confermandosi un canale bancario di grande importanza. Secondo lo studio “Corporate mobile banking: the times they are a-changing” condotto da Celent, entro il 2010 più del 35% delle famiglie che utilizzano servizi di banking online condurranno le transazioni finanziarie mediante qualche dispositivo mobile; una tendenza destinata a crescere implicando al tempo stesso un incremento dei rischi legati alla sicurezza. Nello specifico, il problema riguarderà i telefoni cellulari che integrano la tecnologia di identificazione a radiofrequenza e i chip “nearfield”; questi ultimi permettono transazioni analoghe a quelle dei telepass autostradali. Il design che caratterizza la tecnologia nearfield e il modo in cui viene usata dagli utenti rendono questi dispositivi particolarmente vulnerabili a minacce come il “phishing”. Questi attacchi potranno determinare una vera e propria distruzione della già vacillante fiducia dei consumatori nei confronti del settore finanziario (l’81% dei consumatori europei teme il furto dei dati finanziari personali e il loro utilizzo a scopo fraudolento). Gli Istituti finanziari che cercheranno di estendere il target dell’e-banking, dovranno perciò ottimizzare l’integrazione fra processi e soluzioni di business per prevenire queste attività di frode e generare fiducia.
Le tecnologie convergenti
Nel 2008 l’integrazione fra sicurezza fisica e logica sarà determinante per garantire l’efficienza economica delle aziende e ottimizzare la protezione delle persone e dei sistemi informatici. Garantire l’identità, l’autenticità e l’integrità degli asset organizzativi, fisici ed elettronici richiederà solide capacità di fusione dei dati integrando una serie di tecnologie sensorie e di monitoraggio remoto come, per esempio, autenticazione istantanea, sensori di movimento, applicazioni video intelligenti, Gps, sensori ambientali wireless e Rfid. Questa convergenza permetterà alle realtà pubbliche e private di contrastare i rischi che compromettono i loro perimetri fisici ed elettronici, i brand, le identità, il personale, i prodotti e gli asset ad alto valore. Sulla scia della globalizzazione, il 2008 vedrà un maggiore utilizzo di tecnologie di sicurezza convergenti nel tentativo di salvaguardare i confini e i porti nazionali, proteggere i dati sensibili e ridurre le possibilità di spionaggio. I sistemi per il controllo degli accessi faranno leva su tecnologie come sensori di movimento per monitorare il territorio, card di accesso e credenziali biometriche per l’autenticazione dei dipendenti, tag Rfi d per l’identificazione dei container e dei relativi contenuti e il rilevamento di possibili falle. Altre applicazioni convergenti potranno essere utilizzate per minimizzare e arginare le minacce: tra queste, il pedigree elettronico che garantisce l’integrità di prodotti (per esempio quelli farmaceutici), reti di sensori wireless-enabled ad alta convergenza per la sicurezza dei confini e dei porti, applicazioni intelligenti di sorveglianza e di monitoraggio.
Lo scambio dei dati
L’informazione è fondamentale per la vita di un’azienda perché i dati contengono tutte le caratteristiche che la contraddistinguono e le consentono di avere successo. L’utilizzo sempre più frequente di supporti elettronici per lo scambio di dati genera però problemi di sicurezza. Molte persone si limitano ad archiviare sul proprio pc o su altro dispositivo informazioni aziendali o personali sensibili senza pensare alle numerose problematiche di sicurezza che si innescano nel momento in cui un documento viene consultato e condiviso da molte altre persone. Per questo motivo, nel 2008, le organizzazioni dovranno essere ancora più attente a promuovere controlli rigidi nei confronti di documenti e informazioni spediti elettronicamente o via posta. Questo significa un impegno maggiore nel criptare informazioni presenti su drive e dischi portatili condivisi e investimenti più significativi dedicati a soluzioni di enterprise rights management, che permettono ai proprietari di contenuti di cifrare i dati sensibili ed esercitare un controllo sull’autorizzazione assegnata a un utente per stampare, inoltrare, fotocopiare o modificare un documento.
Le reti peer-to-peer
Con la diffusione delle tecnologie Web 2.0 aumenteranno gli attacchi alla privacy su siti di social networking quali MySpace, LinkedIn o Facebook. Nel 2007 alcuni di questi siti hanno già dovuto affrontare situazioni problematiche, una tendenza destinata a salire data la natura di condivisione che caratterizza queste realtà online. Le reti peer-to-peer innescano un ventaglio di rischi e di vulnerabilità alla sicurezza degli utenti finali: file sharing non autorizzato, duplicazione involontaria di e-mail personali ed elenchi di indirizzi, data leakage, intercettazione password e instant messaging, installazione di programmi malware attraverso client P2P sono solo alcuni dei rischi ai quali gli utenti possono andare incontro. Chi utilizza reti P2P potrà comunque ridurre i rischi attraverso password più complesse e misure di sicurezza come firewall personali, funzionalità anti-spyware e antiphishing, applicazioni antivirus aggiornate o installando le ultime versioni dei software client P2P, dei browser e delle patch e degli update dei sistemi operativi.
