Punti chiave
Il tema della sicurezza informatica aziendale sta diventando di crescente attualità e sempre più spesso le imprese si trovano a dover fronteggiare le minacce della Rete, trovandosi spesso impreparate dinnanzi a una serie di rischi che non riescono a gestire.
Anche e soprattutto perché sviluppare una strategia di sicurezza informatica aziendale non è semplice, e molto spesso le indicazioni sono abbastanza teoriche e generiche.
I fattori di questa incapacità di risposta sono numerosi e spesso riconducibili al fatto che ancora oggi le aziende non considerano la cybersecurity come parte integrante e prioritaria dei propri processi interni.
Ci spiega cosa fare, con un approccio più pratico, Marco Gioanola Senior Consulting Engineer e Services Architect di Arbor Networks, azienda leader a livello internazionale con oltre 15 anni di esperienza nel monitoraggio delle reti globali e aziendali e nella ricerca di soluzioni all’avanguardia volte a garantire la sicurezza dei dati e delle infrastrutture aziendali.
Perchè è utile una strategia di sicurezza informatica aziendale?
“Relativamente alla politica di sicurezza aziendale ciò che io e la mia azienda abbiamo potuto vedere in questi anni di esperienza è che uno dei problemi principali connesso a un evento di sicurezza informatica è il tempo di reazione.
Molto spesso, infatti, i danni più gravi vengono causati dal fatto che al momento della scoperta di un problema di sicurezza non vi sono delle procedure chiare e pronte di reazione, con la conseguenza che si perde molto tempo per capire cosa fare.
Questo si verifica, ad esempio, nel caso di attacchi DDoS che rendono le risorse online dell’azienda non disponibili e bloccate. In questo caso, ci sono delle contromisure che è possibile mettere in campo interagendo, ad esempio, con il proprio service provider o coinvolgendo le giuste risorse e professionalità aziendali.
Tuttavia se non esiste una procedura, anche di massima, che preveda chi contattare, come identificare le parti problematiche dell’azienda e così via, si finisce con il perdere ulteriore tempo, mentre l’attacco continua e le attività aziendali si bloccano.
Analogamente, nel caso purtroppo molto comune, del furto di documenti o di informazioni riservate dell’azienda, la scoperta della sottrazione dei dati dall’esterno avviene molto tempo dopo quando, ad esempio, i documenti sottratti riaffiorano sul Web.
Anche in questo caso l’azienda è spesso impreparata perché non ha una procedura per, ad esempio, rispondere alle domande dei clienti che chiedono dei chiarimenti su quali sono stati i danni effettivi alla privacy dei dati.
Se non c’è una politica di sicurezza in campo si rischia quindi di amplificare gli effetti dell’attacco perché non vi è una risposta da dare in breve tempo”.
Quindi la sicurezza informatica aziendale consiste soprattutto nel saper reagire?
Si, bisogna creare una strategia di risposta più di ogni altra cosa.
Molti pensano che la sicurezza informatica costituisca solamente nell’aspetto preventivo, ma purtroppo la realtà è che gli attacchi spesso sono inevitabili e in molti casi, nonostante si siano messe in campo molte misure di prevenzione, gli attacchi vanno a buon fine.
E’ quindi importante avere una strategia e dei sistemi di sicurezza che consentano di minimizzare il tempo di risposta nel momento in cui si rileva un attacco perché, se non si risponde velocemente, in termini appunto di descrizione di cosa è successo, di messa in sicurezza dell’infrastruttura, di ripristino del servizio etc. i problemi derivanti dell’attacco finiscono con l’amplificarsi”.
Come si convince un responsabile d’azienda a spendere per una strategia di sicurezza informatica aziendale?
“Fortunatamente la situazione in Italia lentamente migliora, nel senso che la coscienza della necessità di una politica di sicurezza informatica aziendale cresce, sebbene in misura maggiore nelle aziende di grandi dimensioni che hanno persone e risorse a disposizione da poter dedicare.
Esistono, purtroppo, ancora larghissime parti dove l’attitudine è ancora relativa, ovvero ci si occupa del problema di sicurezza informatica nel momento dell’attacco e spesso una cosa che constatiamo è che chi se ne occupa lo fa per un breve periodo, durante e successivo all’attacco, per poi dimenticarsene.
Dal nostro punto di vista questo è un problema perché hai l’attenzione del cliente per un periodo circoscritto, che è quello di panico derivante da un attacco, mentre successivamente, trascorse ad esempio due settimane, il cliente se n’è già dimenticato.
Purtroppo per quello che riguarda soprattutto le piccole e medie aziende in Italia c’è ancora una forte scarsità di risorse dedicate alla sicurezza informatica aziendale e questo è gravissimo.
Un modo che secondo me è efficace per cercare di cambiare questa cultura è la valutazione del rischio. Intendo dire che i responsabili delle aziende che abbiano anche una minima parte di business legato a Internet, credo ormai il 90% delle aziende, devono capire che un attaccante sufficientemente motivato può creare danni costanti e permanenti.
Noi abbiamo visto clienti che, ad esempio, avevano siti web di gioco online che hanno rischiato molto perché il servizio era costantemente sotto attacco e dopo settimane gli utenti smettevano di utilizzarlo e passavano a un altro servizio.
Quindi il rischio è quello dell’interruzione dell’operatività dell’azienda e questo aspetto deve essere assolutamente monetizzato, deve esservi assegnato un valore monetario che ne spieghi il potenziale pericolo”.
Quindi, un vero e proprio “investimento strutturale” funzionale all’operatività dell’azienda?
“Si. La sicurezza informatica viene spesso vista come un argomento complesso ma che in realtà deve essere approcciato come uno tra i componenti che servono all’operatività dell’azienda.
Molte imprese prendono misure di protezione per la sicurezza fisica; un data center, ad esempio, è sempre collocato in un luogo non soggetto ad alluvioni o incendi, o ancora i sistemi informatici sono sempre forniti di generatori di emergenza in caso di black out.
Questo tipo di misure di protezione devono applicarsi anche alla sicurezza informatica; bisogna chiedersi cosa succede se a causa di un malware tutti i pc dell’azienda smettono di funzionare perché qualcuno ha cifrato il disco fisso e chiede un riscatto per decifrarlo.
Queste sono minacce alla disponibilità del servizio, all’operatività dell’azienda che vanno inserite nei comuni piani di prevenzione e di sicurezza.
L’esempio che facciamo ai clienti è vedere come ormai sia assodato che si debbano fare delle polizze di protezione contro gli incendi, mentre non c’è alcuna valutazione del rischio informatico che è del tutto equivalente e anzi molto più probabile di un incendio.
Altro fattore che ritengo fondamentale nella definizione di una politica di sicurezza informatica aziendale davvero efficace è l’identificazione chiara di un responsabile.
Ancora, recentemente, ho partecipato a eventi di aziende di medie dimensioni dove mancava un responsabile della sicurezza informatica, mentre si tratta di una figura centrale.
Finché la sicurezza informatica aziendale rimane un qualcosa di fumoso nessuno se ne prenderà carico, mentre individuando una persona responsabile della sicurezza questa persona sarà responsabilizzata e dovrà anche avere un portafoglio per mettere in campo sia le procedure che le tecnologie”.
All’atto pratico, come si organizza una strategia di sicurezza informatica aziendale?
“La strategia deve essere sempre quella della valutazione del rischio, cioè dell’identificare prima di tutto quali sono le entità, gli oggetti, i materiali che necessitano di protezione.
Bisogna quindi valutare qual’è il valore di questi asset e qual’è il rischio di un attacco a loro rivolto. La cosa, ovviamente, è più facile a dirsi che a farsi poiché la superficie di attacco oggi è molto ampia.
Faccio un esempio, la connettività a internet e alla rete degli uffici delle aziende è un bene molto prezioso perché consente di accedere non solo alla classica mail ma anche al cloud, agli storici dei file, ai CRM e così via.
Se la connettività internet non è disponibile perché magari ci sono dei dispositivi infetti all’interno della rete che creano congestione e bloccano il traffico legittimo, allora le attività quotidiane dell’azienda si interrompono perché non è più possibile raggiungere i servizi che l’azienda sta utilizzando.
Quindi bisogna esaminare i processi aziendali, capire dove sono i punti che possono creare discontinuità nell’operatività dell’azienda e comprendere quali sono i fattori che creano problemi.
Ho fatto l’esempio della connettività a internet perché ho notato ultimamente che viene dato per scontato. C’è una grande attenzione da parte dei media ai servizi cloud e sembra che ci sia un’applicazione del cloud in grado di risolvere tutto.
Ma se poi l’azienda non riesce a raggiungere il cloud perché la connessione internet è bloccata, per ovvie ragioni tutto il castello cade.
La raccomandazione da poter dare alle aziende è che ogni tipo di device, che sia un device mobile utilizzato dai lavoratori o sia una webcam impiegata in ufficio, vanno applicati gli stessi criteri che devono valutare la potenziale superficie di attacco di questi apparati.
Bisogna quindi individuare quali sono le vulnerabilità e quali sono i rischi in caso di un attacco che ha successo e che riesce dunque a infiltrarsi in questi apparati.
A mio parere l’errore che spesso si fa è quello di gestire le policy di sicurezza vietando l’utilizzo di particolari apparati informatici di proprietà del lavoratore stesso come lo smartphone o il portatile o ancora di vietare l’adozione di access point wifi che qualche dipendente può portare in azienda.
L’approccio dovrebbe essere che il divieto non riuscirà mai a coprire tutte le casistiche di persone che magari cercano di aggirare le regole per poter lavorare in maniera più flessibile.
Quindi una policy di sicurezza informatica aziendale dovrebbe mettersi nell’ottica di essere più flessibile possibile, di considerare l’adozione più vasta immaginabile di apparati nella rete aziendale e di focalizzarsi sul controllo di questi apparati una volta che sono stati adottati.
E’ bene regolare dove si può ma si consiglia soprattutto di adottare delle regole generali che possano essere applicate a ogni tipologia di apparato che sia una webcam, uno smartphone, una stampante con accesso wifi e così via”.
Se volessimo individuare un punto concreto da cui partire?
“Io direi che forse come punto per raggruppare tutte queste categorie si potrebbe indicare la rete aziendale, l’accesso alla rete.
Ogni apparato informatico oggi accede alla rete privata dell’azienda e questo fa della rete il punto cardine dove poter fare un controllo, un monitoraggio, un’analisi di tutto quello che succede a prescindere dagli apparati che sono connessi.
Avere il monitoraggio della rete sia per quello che riguarda il traffico interno che per quello che attiene al traffico da e verso internet mi permette di avere anche in modo scalabile una visibilità d’insieme, mentre se dovessi andare a rincorrere ogni singolo apparato sarei quasi certo di lasciare dei vuoti.
Dunque, partendo da un punto di vista generale si possono ottenere risultati migliori con un investimento di tempo e di risorse minore.
La priorità dovrebbe essere quella di acquisire una visibilità quanto di più ampio raggio possibile che consenta poi di identificare quali sono le tipologie di apparati sui quali in seguito effettuare degli interventi, come ad esempio l’installazione di software specifici o di filtri particolari.
Cercare di prevedere a priori ogni tipologia di apparato che si connette alla rete aziendale è impossibile. Grazie a una procedura comune, attraverso una visibilità di rete complessiva è possibile riportare tutto a un minimo comune multiplo così da avere una policy di sicurezza da poter applicare a tutti i casi man mano che si presentano”.
Quando e come aggiornare la propria strategia di sicurezza informatica aziendale?
“Diciamo innanzitutto che parte della procedura di sicurezza informatica aziendale dovrebbe essere l’aggiornamento della sicurezza stessa.
Questo può essere fatto sia reattivamente quando emergono delle vulnerabilità ma ancor di più la politica di sicurezza aziendale deve prevedere delle verifiche periodiche per controllare che la politica di sicurezza stessa sia ancora corrente e soprattutto per testarne sul campo le procedure.
Molte aziende adesso iniziano fortunatamente a fare delle vere e proprie simulazioni di attacchi informatici in cui si simula, ad esempio, che il sito web non sia più raggiungibile così da verificare che le procedure siano effettivamente a conoscenza di tutti e che tutti sappiano concretamente cosa fare.
Quindi almeno un paio di volte all’anno questo tipo di esercitazioni sono obbligatorie; esattamente come si fanno le esercitazioni anti-incendio, anche le esercitazioni informatiche vanno previste e realizzate”.
Concludendo, il nemico numero della sicurezza informatica aziendale è l’impreparazione?
“Si, l’esperienza con le aziende ci ha insegnato una cosa molto importante.
Le tecnologie ci sono, sono disponibili e sono efficaci mentre l’aspetto che crea più problemi è la disorganizzazione, l’essere impreparati a fronte di un attacco, perché non si sa che fare, non si sa chi interpellare con l’inevitabile conseguenza di entrare nel panico e di non riuscire a reagire.
Se, invece, tutti sanno cosa fare, conoscono i canali di comunicazione e le responsabilità, allora la risposta è molto più facile e molto più efficace”.