Non più a 360° ma a 380°!

di Daniela Perassi

Di fronte ai crescenti attacchi al patrimonio aziendale il famoso approccio a 360° sembra non bastare più, la competenza del Security Manager diventa sempre più importante e ramificata. Su questo tema AIPSA (Associazione Italiana Professionisti Sicurezza Aziendale) ha organizzato un convegno, all'interno del "Security Summit" di Milano, dal titolo: "Caso Wikileaks: lesson learned per la security aziendale".

"Il terremoto Wikileaks, considerato dalla diplomazia americana come un nuovo 11 settembre, ha offerto l'occasione per una riflessione sulla security aziendale, sull'importanza della protezione delle informazioni critiche e sul ruolo del security manager", ha detto nel suo discorso introduttivo Giuseppe Femia, Presidente AIPSA. Il caso Wikileaks ha confermato come la libertà di movimento e scambio delle informazioni abbia come costo l'aumento dei rischi e l'aumento della complessità della protezione delle informazioni critiche aziendali. I trends dell'information technology (elevata mobilità, miniaturizzazione dei memory devices, digitalizzazione dei dati, socialnetworking, ecc.) moltiplicano i rischi mentre le tecnologie di sicurezza aiutano ma non assicurano una protezione totale. Per questa ragione il tema della protezione delle informazioni è da tempo fra le priorità del security manager, in particolare nell'attuale "società digitale", ed il caso Weakleaks ha riproposto, in modo drammatico, la necessità di porre la massima attenzione sul modo di gestire le informazioni in azienda.

Sono adeguati i modelli di gestione delle informazioni sensibili in place (organizzativi e tecnologici) nell'attuale società digitale? Sistemi come Data Loss Prevention ed Identity & Access Management sono in grado di garantire una efficace protezione del patrimonio aziendale? Come prevenire e gestire fenomeni di Distributed Deniel of Service? Queste le domande a cui hanno risposto tre security manager, prima con interventi verticali sulle diverse tematiche di sicurezza e poi con una tavola rotonda coordinata da Genséric Cantournet, Security Vice President Telecom Italia.

Data Loss Prevention

"Innanzi tutto occorre avere la consapevolezza dell'importanza dell'informazione (intangible asset) per un'organizzazione" ha esordito Pasquale Mancino di Alenia Aeronautica " informazione che può essere elettronica, cartacea o verbale ma che, indipendentemente dalla sua tipologia, deve essere sempre adeguatamente protetta". Il DPL (Data Loss Prevention), parte del processo di ISM (Information Security Management), è l'integrazione di soluzioni tecnologiche e organizzative finalizzate a mitigare il rischio di perdita/trafugamento (colposa/dolosa) di informazioni aziendali. Attività propedeutica fondamentale per il processo di DLP/ISM è capire quali informazioni proteggere e quindi la mappatura e la classificazione delle informazioni, finalizzate a determinare il valore delle informazioni stesse (funzione del livello di criticità per l'azienda) ed associarle a classi/categorie di sicurezza.

Una gestione ottimale del processo di DLP deve tener conto di tre differenti "stati" in cui i dati possono trovarsi:

• data at end points: attraverso una gestione centralizzata, basata su white list, è possibile abilitare/disabilitare la possibilità di utilizzo di dispositivi esterni di memoria e verificare i tipi di file esportati e importati dalle periferiche rimovibili;
• data in motion: la posta elettronica quale principale strumento di comunicazione aziendale deve essere opportunamente gestita per evitare la divulgazione non autorizzata di informazioni/documentazione sensibile;
• data at rest: un'adeguata cifratura (trasparente all'utente) dell'HD dei laptop consentirebbe, nel caso di furto, smarrimento o accesso non autorizzato di rendere il contenuto informativo non intelligibile.

Identity Access and Role Management

Ogni organizzazione, per minimizzare le possibilità di diffusioni indebite delle proprie informazioni, ha bisogno di avere il controllo sull'accessibilità delle stesse tramite processi e strumenti informatici. L'insieme di processi e strumenti, mediante il quale un'organizzazione assegna e tiene sotto controllo nel tempo i diritti delle persone ad accedere agli strumenti informatici, è detto identity and access management. "L'identity management" ha spiegato Luca Rizzo di Fastweb "serve a dare all'organizzazione una visione centrale ed organica delle utenze di tutti i propri sistemi informatici". Un sistema centrale di gestione delle utenze permette di sincronizzare, con efficienza ed efficacia verificabili, l'applicazione dei diritti d'accesso ai sistemi con l'effettivo need to know delle persone, in base ai loro percorsi di carriera e ai cambiamenti organizzativi. Istituire corrispondenze tra le posizioni organizzative delle persone e i loro "profili d'accesso" sui sistemi è detto role management.

Fastweb ha iniziato il processo per dotarsi di un sistema di identity&access management nel 2006. Dopo gli studi di fattibilità e i processi di scelta della soluzione e del fornitore il sistema è entrato in produzione nel 2007, assumendo il controllo dei sistemi aziendali ritenuti più critici. Ogni anno il controllo del sistema IAM (Identity&Access Management) è stato esteso ad altri sistemi aziendali. Dopo l'ingresso in produzione del sistema IAM, Fastweb ha intrapreso un progetto di razionalizzazione dei ruoli sui sistemi volto a migliorare l'efficienza della gestione e la facilità di controllo.

Distributed Denial of Service

"Il crimine informatico è una delle industrie più redditizie ed a rapida crescita del nostro tempo"
(Dave Marcus, direttore del Security Research di McAfee Labs). Claudio Pantaleo, ATM Milano, ha iniziato il proprio intervento con questa citazione per sottolineare che, guardando al futuro del crimine informatico, si può prevedere che le truffe e le strategie utilizzate sui social network (amicizia fasulle, phishing e i link pericolosi) continueranno ad aumentare ed utilizzeranno metodi sempre più intelligenti e raffinati, rendendo le minacce sempre più sofisticate e personalizzate.

Questo tipo di attacco, purtroppo, coglie impreparate molte imprese ed infrastrutture che, sino ad oggi, si ritenevano sicure in quanto "architetture chiuse". Virus come STUXNET hanno messo in evidenza che questo è un grave errore e che non considerare questo scenario vuol dire non considerare la possibilità, non solo di non riuscire a garantire un servizio (temporaneamente) ma anche che si creino gravi danni agli asset delle società. Danni che potrebbero portare, in casi estremi, alla chiusura delle società stesse. Occorre allora innanzi tutto considerare che lo scenario in cui operano le imprese è caratterizzato da costante e profonda trasformazione, dinamismo economico-competitivo e socio-politico, complessità sempre crescenti, continui processi di aggiustamento e/o ristrutturazione, dematerializzazione delle attività aziendali, crescente apertura geografica alla competitività ed intensificazione dei rapporti internazionali, fattori questi che moltiplicano i fronti ove si é costretti ad impegnarsi per conservare la competitività e mantenere integra la capacità di ottenere risultati soddisfacenti.

L'organizzazione della protezione del patrimonio in azienda deve quindi poggiare su tre elementi di base:

• la realizzazione di un framework di policy, norme e procedure di sicurezza, che descrivano le esigenze dell'azienda in tema di protezione del patrimonio, da un livello più generale (policy) fino alla descrizione dei passi operativi da compiere per realizzare quanto definito (istruzioni di lavoro);
• la descrizione dei processi della protezione del patrimonio, ovvero gli obiettivi delle singole attività, i ruoli e le responsabilità in tema di sicurezza, i macroflussi operativi, inclusi i vincoli, gli attori coinvolti ed i prodotti di ciascuna fase del processo;
• la gestione di un insieme di indicatori (KPI, KPO) che misurino periodicamente le "prestazioni" dei processi di protezione del patrimonio, ovvero la qualità ed i volumi espressi da ciascun processo analizzato.

Ci vuole quindi un approccio a 380°, a 360° non basta più!