Logo ImpresaCity.it

Dalla sicurezza delle infrastrutture a quella delle informazioni

Oggi le insidie e i pericoli realtivi alla sicurezza IT vengono anche dagli utilizzatori interni alle aziende, per questo motivo la sfida non consiste solo nel proteggere il servizio che si è rende pubblico, quanto nel proteggere i dati presenti all'interno dell'organizzazione.

Autore: Redazione ImpresaCity

Dati che aumentano in maniera esponenziale, informazioni digitali sempre più in crescita, confini aziendali che si dilatano e scompiano, cancellando il perimetro fisico delle aziende a causa dell'utilizzo continuo delle informazioni da qualsiasi dispositivo e luogo: tutti fenomeni che inevitabilmente inducono le aziende ad aumentare l'attenzione sul tema della protezione dei dati e delle informazioni riservate. Tutto ciò inoltre sta spingendo le aziende che operano nell'ambito della sicurezza IT ad estendere il raggio d'azione  non solo nel prevenire le minacce che provengono dal mondo esterno, messe in atto in prevalenza dagli hacker, ma soprattutto nell'occuparsi di quelle che mettono in pericolo le informazioni aziendali, formulando nuove strategie per proteggere le informazioni aziendali da chi le usa abitualmente.
Ecco quindi che il tema Data Loss Prevention (Dlp, prevenzione della perdita dei dati), inteso come insieme di tecniche per  prevenire la perdita dolosa o accidentale delle informazioni confidenziali che un'azienda produce e utilizza, tende ad assure una valenza sempre più strategica.
Di fronte a questo scenario come si muovono le aziende del panorama IT? Qual strategia di Information Security hanno approntato, e in particolare, quale approccio propongono alle aziende clienti per la prevenzione della perdita dei dati aziendali o Data Loss Prevention?
Lo abbiamo chiesto a un campione rappresentativo di aziende fornitrici di soluzioni di sicurezza IT e ad altri vendor che fanno di questa componente un degli elementi critici della propria offerta. Ecco le loro risposte di: CA, Ibm, Cisco, F-Secure, McAfee, Oracle, Rsa, Symantec, Sophos, Trend Micro e WebSense.

[tit:Dall'IT Security all'Information Security]
"Il mondo delle informazioni aziendali è in rapida evoluzione, dice Massimo Vulpiani, Country dalla-sicurezza-delle-infrastrutture-a-quella-dell-11.jpgManager Rsa. Negli ultimi anni, il focus e gli investimenti si sono spostati dalla sicurezza delle reti a quella dei sistemi all'interno delle reti e, infine, alla sicurezza dei dati. Diversi fattori sembrano guidare questa inversione di tendenza in termini di protezione dei dati sensibili e riduzione dei rischi da parte delle aziende:
- La minaccia della perdita dei dati sta diventando un fenomeno tipicamente ‘interno'.
- Le aziende memorizzano una quantità sempre maggiore di dati sensibili, di tutti i tipi.
- La crescente necessità di condividere i dati internamente e con i partner.
- L'emergere di nuovi mercati per i dati sottratti alle aziende.
- Il panorama normativo in continua espansione, con una conseguente maggiore complessità. Ad accelerare questa tendenza, le tradizionali strategie di sicurezza focalizzate su hacker e sulla protezione del perimetro che non riducono i rischi interni in modo significativo. E' necessario adottare un nuovo approccio per affrontare le minacce rappresentate da utenti interni disonesti o da persone che inavvertitamente mettono a rischio i dati attraverso processi aziendali o di sicurezza inadeguati. Alla lunga i rischi associati alla perdita di dati sensibili si traducono in un maggior impatto finanziario dovuto alle azioni necessarie per porre rimedio alle violazioni riscontrate, ai costi di adeguamento normativo, alla sfiducia dei clienti e all'‘erosione' dell'immagine aziendale".
"Il problema della perdita dei dati è molto serio ed è in grado di compromettere l'attività di un'azienda, interviene Marco Misitano, Technology Marketing Manager di Cisdalla-sicurezza-delle-infrastrutture-a-quella-dell-1.jpgco. A tal proposito Cisco ha diffuso poco tempo fa uno studio secondo il quale la perdita dei dati attraverso le e-mail è una delle principali problematiche affrontate dalle aziende. Sempre secondo tale ricerca, per 7 su 10 professionisti appartenenti all'area IT l'accesso dei dipendenti ad applicazioni e siti web non autorizzati (tra cui portali di social media, siti per il download di file musicali e siti di commercio elettronico non approvati) nella maggior parte dei casi rappresenta per l'azienda una tra le principali cause di perdita dei dati. Per questi motivi, è fondamentale per un'azienda adottare soluzioni in grado di tutelare le proprie informazioni". 
"In questo ambito, prosegue Misitano, Cisco propone un approccio architetturale integrato che si riassume nel concetto di Borderless Network per cui applicazioni e servizi vengono sempre più offerti e utilizzati al di là del perimetro aziendale tradizionale. Cisco Borderless Network integra servizi cloud, servizi di rete e servizi utente con gestione e policy integrate per fornire un'esperienza senza confini. Le innovazioni apportate ai sistemi di routing, switching, wireless, di accelerazione e di sicurezza, in cui includiamo anche le funzioni di Data Loss Prevention,  permettono di distribuire tali servizi in modo che le organizzazioni possano fornire un'esperienza completa, affidabile e sicura in qualunque luogo, su qualsiasi dispositivo e applicazione. Questo tipo di approccio ci permette di soddisfare le esigenze dei clienti e di fornire soluzioni molto specifiche in grado di garantire flessibilità e affidabilità. Finora la risposta da parte delle aziende è stata molto positiva anche se l'attenzione a questi aspetti è sicuramente maggiore nelle aziende di fascia alta rispetto alle Pmi". 

[tit:La cultura della prevenzione]
Uno dei primi ostacoli da superare è quello di "rendersi conto del problema". Come dice dalla-sicurezza-delle-infrastrutture-a-quella-dell-3.jpgMassimiliano Bossi, Smb Channel Sales Manager, Symantec Italia: "Una buona base di partenza, mai sufficientemente considerata, è che innanzi tutto è necessario porsi il problema. Ci imbattiamo quotidianamente in aziende che non hanno neanche lontanamente idea di cosa voglia dire implementare politiche di Data Loss Prevention. La cultura della prevenzione è di per sé il primo tassello da porre per proteggere al meglio le proprie informazioni. I dipendenti di un'azienda in cui sono implementate politiche di tutela delle informazioni rispondono aumentando notevolmente il livello di attenzione sul loro comportamento, il tutto con effetti benefici sulla perdita sia accidentale che dolosa di dati critici. Ovviamente a supporto di tutto questo ci sono software che automatizzano il controllo delle attività e consentono di limitare la perdita di dati in maniera banale e/o superficiale. E' altresì consigliabile l'implementazione graduale di una soluzione di data loss prevention in modo che si sviluppi un adeguato livello di consapevolezza da parte degli utenti delle policy introdotte".
E educare l'utente a un corretto utilizzo dei dati aziendali è un importante passo che le aziende devono necessariamente compiere. "La strategia di Trend Micro è da sempre rendere sicuro lo scambio di informazioni digitali in qualunque ambito, quindi anche all'interno delle organizzazioni dalla-sicurezza-delle-infrastrutture-a-quella-dell-6.jpgstesse, dichiara Nicola Foladore, Manager Mid Market Trend Micro Italy. Il nostro approccio alla prevenzione della perdita di dati consiste principalmente nell'educare l'utente ad un corretto utilizzo dei dati aziendali. Secondo le stime degli analisti la perdita di informazioni avviene maggiormente per cause accidentali o scarsa attenzione, anche se il fenomeno della sottrazione fraudolenta è in costante aumento, visto che lo scambio illegale di informazioni protette può fruttare molto in termini economici. In questo contesto le soluzioni di Data Leakage Prevention (Dlp)  si propongono di affrontare in modo organico, sinergico e complessivo la protezione preventiva degli asset informativi aziendali focalizzandosi principalmente sui rischi legati all'utilizzo dei dispositivi e terminali utilizzati dall'utente finale, i cosiddetti endpoint, compresi i dispositivi mobili sempre più utilizzati dalle varie funzioni aziendali". 

[tit:Il dipendente: un fattore d rischio]
Come più volte detto molto spesso sono gli stessi dipendenti che mettono a rischio l'azienda, in modo consapevole e non.
dalla-sicurezza-delle-infrastrutture-a-quella-dell-8.jpgCome afferma Ombretta Comi, Marketing Manager per l'Italia di McAfee: "Per la perdita dei dati aziendali McAfee propone alle aziende di adottare strategie che diano loro gli strumenti per affrontare minacce esterne ma anche interne, queste ultime spesso trascurate e giudicate, a torto, meno pericolose.
In realtà una ricerca McAfee ha evidenziato che le aziende europee sono messe sempre più a rischio dagli stessi dipendenti che ripetutamente mettono a rischio dati aziendali importanti e sensibili. Ne consegue che gli investimenti in soluzioni per proteggere i dati aziendali da hacker e minacce provenienti dall'esterno potrebbero essere vanificati dalla non completa comunicazione delle policy di sicurezza aziendale e dal comportamento negligente degli impiegati. Lo studio rivela che gli impiegati stanno portando al di fuori dell'azienda una crescente quantità di dati confidenziali, utilizzando metodi che spesso svicolano il controllo del dipartimento IT.  Inoltre emerge che più di un terzo delle aziende europee (37%) non ha stabilito delle policy per il trattamento dei documenti sensibili, e che laddove tali policy siano già state introdotte, quasi un quarto (24%) dei dipendenti non ne è minimamente a conoscenza. Si evince che non vengono prese sufficienti precauzioni per difendersi dalla minaccia proveniente dall'interno dal momento che in media un impiegato europeo settimanalmente si appropria di 11 documenti riservati portandoli fuori dal proprio ufficio.
Sul fronte degli strumenti, l'e-mail aziendale rimane il metodo più comune per spedire informazioni al di fuori con l'86% che ammette di inoltrare regolarmente documenti via e-mail. Tuttavia, molti dipendenti stanno utilizzando anche metodi su cui il dipartimento IT ha un controllo minimo o pressoché nullo. Comunemente, i documenti riservati vengono portati al di fuori delle aziende anche utilizzando dispositivi di archiviazione portatili.  Quasi la metà degli impiegati  che trasferiscono dati finanziari (45%) al di fuori dell'azienda utilizzano questi metodi, mentre più di un terzo li utilizza per sottrarre i business plan (38%) e i dati dei clienti (34%). Le memory-stick Usb risultano il dispositivo portatile maggiormente utilizzato con oltre un quarto di impiegati (26%) che lo usa regolarmente per sottrarre le informazioni". "Tutti questi risultati, conclude Ombretta Comi, indicano chiaramente che la perdita dei dati dall'interno è un problema in crescita e che le società devono occuparsene oltre che proteggersi dalle minacce che provengono dall'esterno. Noi crediamo che la soluzione sia in una combinazione di educazione del personale e di investimento in una soluzione completa di gestione della sicurezza".

[tit:Il governo del rischio]
"Una strategia di sicurezza delle informazioni non può prescindere da un approccio corretto al governo del rischio, sostiene Massimo Cipriani, resdalla-sicurezza-delle-infrastrutture-a-quella-dell-12.jpgponsabile della prevendita nella Business Unit dedicata alle soluzioni CA di IT Security, ovvero all'analisi, valutazione e mitigazione del rischio stesso. Tale processo deve essere strettamente correlato alla natura dell'azienda ed alla tipologia di informazioni trattate, ponendo in evidenza l'impatto che una perdita di riservatezza delle informazioni comporterebbe per il business dell'azienda o per la sua stessa sopravvivenza. La gestione del rischio parte dall'analisi, la classificazione e l'identificazione del ciclo di vita dei dati, per individuare le policy e le relative misure di controllo degli accessi. Nella prospettiva della Data Loss Prevention vengono distinti tre momenti del trattamento dei dati:
-  Dati in movimento all'interno del perimetro aziendale e nel loro flusso verso l'esterno, che comportano il controllo accessi alle risorse elaborative ed il monitoraggio del traffico;
- Dati memorizzati sui server e database aziendali, che comportano policy e misure di controllo accessi; 
- Dati in uso sulle postazioni di lavoro (endpoint), che implicano policy di comportamento sull'utilizzo dei dati e misure di controllo sull'endpoint.In altre parole si può distinguere tra il controllo degli accessi ai contenitori dei dati rispetto al controllo sull'utilizzo dei contenuti. Questi controlli devono prevedere il massimo coinvolgimento di tutte le entità  aziendali, in termini di diffusione delle policy e delle misure di protezione delle informazioni. Inoltre, devono essere previsti piani di formazione del personale sul rispetto delle policy interne a tutela delle informazioni critiche aziendali e sui vincoli normativi che riguardano, ad esempio, la tutela della privacy".   

[tit:Sicurezza nel patrimonio aziendale e legata agli obiettivi di business]
Ci sono aziende come Oracle che nel panorama IT si distinguono per avere un'offeta omincomprensiva, a tutto tondo. E' questo il caso di Oracle, che, anche grazie alla recente acquisizione di Sun Microsystems propone al mercato un'offerta composita fatta di hardware, software e servizi. Un'offerta in cui la tematica della sciurezza trova la un'appropriata collocazione. " La sicurezza è da sempre parte integrante del patrimonio Oracle,dalla-sicurezza-delle-infrastrutture-a-quella-dell-2.jpg afferma Domenico Garbarino, Sales Director Security Solutions, Oracle Italia. Fin dalla nascita del primo database relazionale, oltre trenta anni fa, i progettisti Oracle hanno sempre tenuto conto dell'integrazione nello stesso di caratteristiche dedicate alla sicurezza. In tempi più recenti sono state acquisite sei aziende produttrici di software dedicato alla sicurezza informatica. Una serie di primati di settore, come il rilascio del primo database protetto, della prima cifratura di rete, del primo database privato virtuale e della prima cifratura trasparente dei dati, hanno consentito a Oracle di guadagnarsi la reputazione di sviluppatore di prodotti sicuri. Oracle offre oggi soluzioni per la sicurezza che aiutano le aziende a proteggere le informazioni a ogni livello e su qualsiasi sistema, sia al loro interno che al di là del firewall.Oracle sostiene le imprese nella messa in sicurezza del proprio patrimonio informativo grazie a soluzioni complete e affidabili su tutti i fronti, dal Database al Middleware, alle Business Applications. Nell'ambito del controllo degli accessi, della privacy dei dati e della gestione della conformità, Oracle è leader di mercato grazie a prodotti best-in-class come Oracle Access Manager, Oracle Identity Manager e Oracle Database Vault, riconosciuti dagli analisti come i migliori nei rispettivi ambiti. Inoltre, la recente acquisizione di Sun Microsystems, altro key player nel mercato della sicurezza, contribuisce a rendere l'offerta Oracle leader assoluto in tutti gli aspetti legati alla protezione delle informazioni".
"Nell'attuale scenario di mercato l'approccio suggerito da Ibm ai propri clienti consiste nel correlare le strategie di sicurezza agli obiettivi aziendali in modo da individuare il giusto livello di sicurezza da dalla-sicurezza-delle-infrastrutture-a-quella-dell-10.jpgapplicare in funzione delle priorità di business, sostiene Lorenzo Mazzei, Security Services Leader, Ibm Italia. Suggeriamo quindi ai nostri clienti di partire dall'analisi dei processi di business e dei dati che li sostengono, per definire coerentemente le strategie di protezione, le policy e le procedure per la messa in sicurezza dei dati critici, che devono anche tenere conto di fattori esterni quali le normative e gli standard di settore. Spesso le aziende utilizzano dati e informazioni pur non avendo la completa consapevolezza del relativo valore economico: classificare ed elevare a valore il patrimonio da difendere costituisce un passo preliminare di fondamentale importanza per abilitare il processo di protezione dei dati. Un altro aspetto importante legato al tema della Data Loss Prevention è l'incertezza su dove sono memorizzati i dati (laptop, server, periferiche Usb, Cd Rom), come vengono trasferiti (intranet o internet) e come questi siano elaborati. Una delle caratteristiche che contraddistingue la sicurezza dei dati è che il successo di una soluzione è spesso proporzionale al livello di conoscenza che l'azienda ha dei propri dati. Per questa ragione, diventa essenziale individuare quelle soluzioni che, oltre ad applicare i controlli di sicurezza necessari, facilitino il processo di "apprendimento" di come le informazioni devono essere movimentate all'interno e all'esterno dell'azienda". 

[tit:Le diverse facce del problema]
Ed ecco ancora due nomi della sicurezza IT, Check Point e F-Secure, spiegare la loro strategia in quest'ambito.Vediamo la loro posizione."Check Point da tempo affronta la tematica della prevenzione della perdita dei dati aziendali su molteplici fronti, sostiene Andrea Bellinzaghi, SE Manager, dalla-sicurezza-delle-infrastrutture-a-quella-dell-9.jpgCheck Point Software Technologies. All'interno di un'azienda, i dati sensibili possono trovarsi ovunque e sotto diverse forme, quali ad esempio piani strategici, liste clienti, progetti innovativi. Esistono regolamenti che indicano le soluzioni di sicurezza da adottare,  solo nel caso in cui si trattino dati finanziari o medici. Diverse statistiche hanno provato che oltre l'80% degli eventi di perdita di dati sono non intenzionali e avvengono principalmente per un utilizzo non corretto o superficiale dei sistemi di posta elettronica. Spesso ciò comporta un danno molto elevato in termini di immagine, eventuali penali da pagare e rischio di azioni legali.Check Point offre essenzialmente due approcci al problema: innanzitutto una soluzione Endpoint Security, che permette la gestione e implementazione di un agente software unificato per la sicurezza totale dei PC, in grado di associare le migliori funzionalità di firewall, network access control (Nac), controllo antivirus, anti-spyware, sicurezza del dato e accesso remoto e data loss prevention; questa verrà abbinata a una soluzione gateway, che sarà rilasciata entro il 2010. Questo duplice approccio consente di coprire il più ampio spettro di necessità in termini di data loss prevention".
"F-Secure si impegna in prima linea per proteggere l'infrastruttura IT delle aziende sia dalle minacce dalla-sicurezza-delle-infrastrutture-a-quella-dell-4.jpgesistenti sia dal malware di nuova generazione, dichiara Miska Repo, Country Manager di F-Secure Italia, impedendo quindi che elementi esterni si inseriscano all'interno delle risorse aziendali compromettendo l'integrità dei dati in esse contenuti. Grazie alle più moderne tecnologie in-the-cloud, siamo in grado di offrire una protezione totale e costantemente aggiornata, riconoscendo immediatamente attività potenzialmente dannose. La protezione dai tentativi di intrusione esterna deve però coniugarsi allo stesso tempo con la protezione dai comportamenti pericolosi interni. E' quindi necessario adottare soluzioni in grado di segnalare quando un sito è potenzialmente dannoso e che possano impedire il traffico dei dati attraverso canali a rischio, come i protocolli peer-to-peer, l'instant messaging o, laddove vengano considerati pericolosi, i canali FTP". 

[tit:La protezione delle informazioni nell'era del 2.0]
Come si proteggono le informazioni aziendali nell'era del Web 2.0?
"Nell'era del Web 2.0 e della pervasiva mobilità dei dati, commenta Marco D'Elia, Country Sales dalla-sicurezza-delle-infrastrutture-a-quella-dell-5.jpgDirector di Sophos Italia, la protezione delle informazioni sta diventando rapidamente uno dei punti cruciali delle policy di sicurezza. Sophos, da sempre, risponde a tutte le diverse esigenze in termini di sicurezza, abbracciando così obiettivi diversificati, ciascuno legato a soluzioni differenziate: la riservatezza delle informazioni si ottiene grazie all'encryption, la loro integrità viene mantenuta proteggendo il sistema da malware e intrusioni mentre  il controllo viene garantito da una combinazione di tecnologie di access control e Data Loss Prevention (Dlp).  Inoltre, grazie alle funzionalità di logging e reporting che assicurano una piena compliance con le policy interne e i regolamenti esterni, , la responsabilità incontra il controllo proattivo. Il nostro approccio è quello di offrire soluzioni proattive in grado di soddisfare tutti questi obiettivi, grazie a soluzioni di tecnologia avanzata , ma allo stesso tempo facilmente accessibili dalla maggior parte delle aziende. Il Data Loss Prevention ne è un buon esempio. Sophos ha un unico e semplice approccio al Data Loss Prevention, che integra la scansione delle informazioni sensibili in un unico motore antivirus su sistemi sia email che endpoint. Tutto questo rende più semplice la configurazione, lo sviluppo e la gestione da parte delle aziende, in quanto elimina la necessità di più soluzioni eterogenee di Dlp. Grazie alla combinazione di full disk ed email encryption, device control granulare e application control, le aziende possono implementare facilmente una strategia proattiva di protezione dei dati. Inoltre, Sophos attua il processo di identificazione di dati sensibili con una library costantemente aggiornata di definizioni e contenuti, progettata per individuare numeri di previdenza sociale, numeri di carte di credito e di debito, e altri tipi di informazioni personalmente identificabili. Tutto questo con la massima libertà da parte degli amministratori di creare modelli personalizzati per identificare document markers o altri elementi di proprietà intellettuale". 

[tit:Contenuti ed educazione]
"La strategia che in Websense abbiamo deciso di adottare nell'ambito dell'Information Security viene denominata Essential Information Protection (Eip), dichiara Riccadalla-sicurezza-delle-infrastrutture-a-quella-dell-7.jpgrdo Della Martera, Product Consultant, DLP, Websense e consiste nel focalizzarsi su ciò che è più importante per un'azienda: i contenuti, sia quelli che viaggiano inbound che outbound. In modo specifico, nell'ambito della Data Loss Prevention (Dlp) ciò vuol dire focalizzarsi non solo sui dati ritenuti business-critical, ma anche sui modi in cui questi dati possono essere trafugati, sia tramite i canali più usati a livello network (web, posta elettronica, ftp, ecc.) che su un endpoint. Il primo valore aggiunto che un cliente ottiene è la visibilità su ciò che sta accadendo all'interno del suo perimetro aziendale in termini di Chi sta inviando Quali Dati, Come e Dove; l'obiettivo è rendersi conto se gli utenti stiano seguendo o meno le policy aziendali. Il secondo valore aggiunto del nostro approccio Dlp è quello dell'educazione, ovvero la possibilità di aiutare il cliente ad allertare gli utenti  quando compiono azioni non consone alle policy stabilite; l'esperienza sul campo ci ha confermato ciò che dicono le statistiche, ovvero che la stragrande maggioranza (circa 95%-98%) di eventi in ambito Dlp non provengono da una volontà di far danno al proprio datore di lavoro, ma da una mancata (o dimenticata) educazione. Il terzo (e non ultimo) valore aggiunto consiste nella possibilità di fare un enforcement attivo delle policy, ovvero prevenire la fuga di informazioni tramite blocchi sia sui canali a livello network che endpoint".
Pubblicato il: 03/03/2010

Tag:

Cosa pensi di questa notizia?

Speciali

speciali

Red Hat Open Source Day, il futuro ha il sapore dell’open source

speciali

L’affermazione della stampa 3D tra prototipazione e produzione