di Daniela Perassi
Di fronte ai crescenti attacchi al patrimonio aziendale il famoso approccio a 360° sembra non bastare più, la competenza del Security Manager diventa sempre più importante e ramificata. Su questo tema AIPSA (Associazione Italiana Professionisti Sicurezza Aziendale) ha organizzato un convegno, all'interno del "Security Summit" di Milano, dal titolo: "Caso Wikileaks: lesson learned per la security aziendale".
"Il terremoto Wikileaks, considerato dalla diplomazia americana come un nuovo 11 settembre, ha offerto l'occasione per una riflessione sulla security aziendale, sull'importanza della protezione delle informazioni critiche e sul ruolo del security manager", ha detto nel suo discorso introduttivo Giuseppe Femia, Presidente AIPSA. Il caso Wikileaks ha confermato come la libertà di movimento e scambio delle informazioni abbia come costo l'aumento dei rischi e l'aumento della complessità della protezione delle informazioni critiche aziendali. I trends dell'information technology (elevata mobilità, miniaturizzazione dei memory devices, digitalizzazione dei dati, socialnetworking, ecc.) moltiplicano i rischi mentre le tecnologie di sicurezza aiutano ma non assicurano una protezione totale. Per questa ragione il tema della protezione delle informazioni è da tempo fra le priorità del security manager, in particolare nell'attuale "società digitale", ed il caso Weakleaks ha riproposto, in modo drammatico, la necessità di porre la massima attenzione sul modo di gestire le informazioni in azienda.
Sono adeguati i modelli di gestione delle informazioni sensibili in place (organizzativi e tecnologici) nell'attuale società digitale? Sistemi come Data Loss Prevention ed Identity & Access Management sono in grado di garantire una efficace protezione del patrimonio aziendale? Come prevenire e gestire fenomeni di Distributed Deniel of Service? Queste le domande a cui hanno risposto tre security manager, prima con interventi verticali sulle diverse tematiche di sicurezza e poi con una tavola rotonda coordinata da Genséric Cantournet, Security Vice President Telecom Italia.
Data Loss Prevention
"Innanzi tutto occorre avere la consapevolezza dell'importanza dell'informazione (intangible asset) per un'organizzazione" ha esordito Pasquale Mancino di Alenia Aeronautica " informazione che può essere elettronica, cartacea o verbale ma che, indipendentemente dalla sua tipologia, deve essere sempre adeguatamente protetta". Il DPL (Data Loss Prevention), parte del processo di ISM (Information Security Management), è l'integrazione di soluzioni tecnologiche e organizzative finalizzate a mitigare il rischio di perdita/trafugamento (colposa/dolosa) di informazioni aziendali. Attività propedeutica fondamentale per il processo di DLP/ISM è capire quali informazioni proteggere e quindi la mappatura e la classificazione delle informazioni, finalizzate a determinare il valore delle informazioni stesse (funzione del livello di criticità per l'azienda) ed associarle a classi/categorie di sicurezza.
Una gestione ottimale del processo di DLP deve tener conto di tre differenti "stati" in cui i dati possono trovarsi:
Identity Access and Role Management
Ogni organizzazione, per minimizzare le possibilità di diffusioni indebite delle proprie informazioni, ha bisogno di avere il controllo sull'accessibilità delle stesse tramite processi e strumenti informatici. L'insieme di processi e strumenti, mediante il quale un'organizzazione assegna e tiene sotto controllo nel tempo i diritti delle persone ad accedere agli strumenti informatici, è detto identity and access management. "L'identity management" ha spiegato Luca Rizzo di Fastweb "serve a dare all'organizzazione una visione centrale ed organica delle utenze di tutti i propri sistemi informatici". Un sistema centrale di gestione delle utenze permette di sincronizzare, con efficienza ed efficacia verificabili, l'applicazione dei diritti d'accesso ai sistemi con l'effettivo need to know delle persone, in base ai loro percorsi di carriera e ai cambiamenti organizzativi. Istituire corrispondenze tra le posizioni organizzative delle persone e i loro "profili d'accesso" sui sistemi è detto role management.
Fastweb ha iniziato il processo per dotarsi di un sistema di identity&access management nel 2006. Dopo gli studi di fattibilità e i processi di scelta della soluzione e del fornitore il sistema è entrato in produzione nel 2007, assumendo il controllo dei sistemi aziendali ritenuti più critici. Ogni anno il controllo del sistema IAM (Identity&Access Management) è stato esteso ad altri sistemi aziendali. Dopo l'ingresso in produzione del sistema IAM, Fastweb ha intrapreso un progetto di razionalizzazione dei ruoli sui sistemi volto a migliorare l'efficienza della gestione e la facilità di controllo.
Distributed Denial of Service
"Il crimine informatico è una delle industrie più redditizie ed a rapida crescita del nostro tempo"
(Dave Marcus, direttore del Security Research di McAfee Labs). Claudio Pantaleo, ATM Milano, ha iniziato il proprio intervento con questa citazione per sottolineare che, guardando al futuro del crimine informatico, si può prevedere che le truffe e le strategie utilizzate sui social network (amicizia fasulle, phishing e i link pericolosi) continueranno ad aumentare ed utilizzeranno metodi sempre più intelligenti e raffinati, rendendo le minacce sempre più sofisticate e personalizzate.
Questo tipo di attacco, purtroppo, coglie impreparate molte imprese ed infrastrutture che, sino ad oggi, si ritenevano sicure in quanto "architetture chiuse". Virus come STUXNET hanno messo in evidenza che questo è un grave errore e che non considerare questo scenario vuol dire non considerare la possibilità, non solo di non riuscire a garantire un servizio (temporaneamente) ma anche che si creino gravi danni agli asset delle società. Danni che potrebbero portare, in casi estremi, alla chiusura delle società stesse. Occorre allora innanzi tutto considerare che lo scenario in cui operano le imprese è caratterizzato da costante e profonda trasformazione, dinamismo economico-competitivo e socio-politico, complessità sempre crescenti, continui processi di aggiustamento e/o ristrutturazione, dematerializzazione delle attività aziendali, crescente apertura geografica alla competitività ed intensificazione dei rapporti internazionali, fattori questi che moltiplicano i fronti ove si é costretti ad impegnarsi per conservare la competitività e mantenere integra la capacità di ottenere risultati soddisfacenti.
L'organizzazione della protezione del patrimonio in azienda deve quindi poggiare su tre elementi di base:
Ci vuole quindi un approccio a 380°, a 360° non basta più!
Corso Specialistico Videosorveglianza e Privacy: approccio pratico tra normativa, impatto privacy, intelligenza artificiale e cybersecurity
Due giornate, sede Allnet.Italia, Bologna
Smart City e Videosorveglianza Urbana integrata: un bene pubblico da preservare tra intelligenza artificiale, videosorveglianza, digitalizzazione, privacy e sicurezza informatica
Corsi in programmazione riconosciuti per il mantenimento e la preparazione alla certificazione TÜV Italia
Webinar23 aprile 2024
Webinar6 maggio 2024
Webinar14 maggio 2024
Webinar21 maggio 2024
WebinarLa cybersicurezza dei sistemi di videosorveglianza
Corso riconosciuto da TÜV Italia
Scenari, tecnologia e formazione sulla sicurezza in formato audio
Un'immersione a 360 gradi nella realtà dell'azienda