Web, giungla selvaggia e insicura per le imprese

Il potenziale di rischio si estende ormai su tutta la Rete senza distinzioni, obbligando le aziende a ripensare la sicurezza Ict secondo un approccio realmente integrato

Più i business delle aziende e le attività di istituzioni e cittadini migrano sul Web e più muoversi in questo mondo virtuale diventa rischioso. Uno stato d’insicurezza di Internet senza precedenti emerge dall’X-Force 2009 Mid-Year Trend and Risk Report, pubblicato da Ibm e presentato dalla stessa società in un recente forum sull’Ict security. E davvero, leggendo i dati, l’impressione che si ha è di stare in una giungla colma d’insidie nascoste o, per usare una metafora di Kris Lamb, direttore di Ibm X-Force, di vivere in un «selvaggio west» dove stare sempre allerta perché non ci si può fidare di nessuno. Proliferano (+508% nel primo semestre di quest’anno) i nuovi link Web malevoli, ma non necessariamente legati a domini o siti non fidati, perché i dati indicano la crescita di contenuti maligni su siti considerati sicuri, compresi quelli usati diffusamente come i motori di ricerca, i siti e i blog personali.

Nei primi sei mesi del 2009, il numero totale delle vulnerabilità appare in contrazione (-8% rispetto allo stesso periodo del 2008) ma crescono quelle scoperte nei file Pdf, più di quelle svelate in tutto il 2008. I software trojan risultano più della metà di tutto il nuovo malware. In particolare si ritiene che i trojan bancari stiano sostituendo gli attacchi di phishing con obiettivi finanziari. Le tecniche di attacco fanno leva sulle applicazioni Web con punti deboli, per poi sottrarre o manipolare dati e acquisire il controllo dei pc infettati. Ad esempio, risultano in forte crescita gli attacchi con iniezione di codice Sql, che permettono al criminale d’autenticarsi e entrare nel sistema anche senza possedere le corrette credenziali d’accesso.

«La colpa delle falle nei sistemi – dice Adrian Davis, senior research consultant di Information Security Forum (Isf) – è anche di pratiche di sviluppo del codice insicure, che i programmatori adottano per pigrizia o mancanza di tempo, a cui si contrappongono tecniche di attacco tutt’altro che stupide. Nello scenario delle minacce del 2010 prospetta Davis, dominano cyber-terrorismo e crimine informatico organizzato, mentre nel 2011 i pericoli maggiori saranno rappresentati soprattutto dagli attacchi criminali con fini economici, dalla debolezza delle infrastrutture It dovuta alla crescita della complessità, da normative inadeguate, da una crescente pressione all’offshoring e all’outsourcing delle attività e anche dalla progressiva erosione dei tradizionali confini e baluardi posti a protezione delle reti (firewall).

Il monito per le organizzazioni è riconsiderare i rischi di perdita delle informazioni sia al proprio interno sia verso l’esterno; cambiare il modo di concepire le minacce informatiche e riorganizzare le strategie di difesa rifocalizzandosi sui fondamentali della security, che includono non solo l’adozione di misure tecnologiche, ma anche la valutazione delle persone e dei loro comportamenti. Inoltre, meglio esser pronti anche a supportare strategie innovative, come il cloud computing.

Gestione oculata

Come sottolinea Mariangela Fagnani, risk management consultant leader di Ibm Italia, per amministrare le informazioni aziendali occorre un’adeguata gestione del rischio, e un’infrastruttura It resiliente in grado di adattarsi di continuo ai cambiamenti e alle esigenze del business. Inoltre tutte le aziende devono predisporre servizi di corporate audit, per garantire che infrastrutture, processi e persone seguano le direttive di sicurezza stabilite.

C’è poi la conformità alle normative diventata complessa da gestire, ad esempio nel settore bancario con l’avvento di regolamentazioni come Basilea II che impongono di valutare il rischio operativo, spingendosi oltre il puro ambito dell’It.

Di fronte a tali problemi, secondo Fagnani, il tradizionale approccio aziendale di gestire i rischi in modo separato per specifiche tipologie oggi si rivela inefficace, perché duplica i costi e non dà una visione complessiva dei rischi, ottenibile solo attraverso un approccio integrato. Quest’ultimo è anche il tema al centro della tavola rotonda che prende spunto da una ricerca della School of Management del Politecnico di Milano nel mondo bancario, e da cui emerge un sostanziale scollamento fra il reparto Erm (Enterprise risk management) e quello dell’Ict security.

Massimiliano Magi Spinetti, vicepresidente Abi Lab, partendo dall’attentato terroristico delle Torri Gemelle, ripercorre l’iter storico che conduce all’attuale complessità di gestione della security con i diversi aspetti che ne fanno parte. «Da allora tutte le banche centrali cominciarono a porre grandissima attenzione al tema della continuità operativa del sistema bancario a livello mondiale. Dover garantire la business continuity, porta per la prima volta le banche ad avvicinarsi all’analisi del rischio basata sulla definizione dei processi operativi aziendali da presidiare e in grado di considerare non solo l’It ma tutti gli elementi coinvolti». Esiste, inoltre, la fondamentale analisi dei rischi di compliance, cioè dei rischi che le banche corrono a livello di normative antiriciclaggio del denaro e contro il traffico d’armi e stupefacenti. Qui nascono nuove esigenze di analisi del rischio e difficoltà gestionali legate alla necessità di tenere un aggiornato profilo di ciascun cliente e del suo grado (rating) di rischiosità. Non a caso, come sottolinea Spinetti, proprio per fare delle banche i massimi presidi su questi aspetti, l’Asset Banking Consortium, costituito circa tre anni fa, ha definito una soluzione organizzativa in cui user group di banche sviluppano, secondo modelli condivisi anche con le controparti, piattaforme e presidi di security per identificare operazioni sospette di riciclaggio.

Altro tema quello della security come servizio. Allargando la prospettiva su tutte le tipologie di aziende, Jean Paul Ballerini, technical sales leader Ibm sud-ovest Europa, ricorda come il tessuto del mercato italiano sia fatto di piccole e medie imprese. Per le Pmi i servizi di sicurezza gestita rappresentano spesso la soluzione per ottenere quel livello di Ict security di cui hanno assolutamente bisogno per mantenere la loro continuità operativa, senza dover investire risorse in personale dedicato.

LASCIA UN COMMENTO

Inserisci il tuo commento
Inserisci il tuo nome