Nel corso dell'edizione 2009 di Rsa Conference Europe è stata presentata un’indagine europea promossa da CA. La ricerca, che riguarda anche il mercato italiano, mette in luce uno scarso utilizzo delle misure e degli strumenti per controllare gli utenti che hanno diritti di accesso privilegiato ai dati critici aziendali. Anche il discorso di apertura del convegno ha fatto leva soprattutto sulla sicurezza e la protezione delle informazioni sensibili, soprattutto correlandole alle nuove tecnologie.
Si è appena conclusa l’edizione londinese della
RSA Conference Europe 2009. L’
evento ha visto succedersi, in due giorni, numerosi
speaker di livello internazionale che hanno fatto il punto su diversi
temi “caldi” del panorama It e della
sicurezza.
Nel dettaglio la conferenza ha trattato di
applicazioni e sviluppo, il
business della sicurezza,
governance,
host,
reti,
servizi di sicurezza, ricerca e minacce, case studies e molto altro.
[tit:Nuovi sistemi di sicurezza per nuove minacce]
Nel discorso di apertura
Arthur Coviello,
Executive Vice President di Emc e Presidente Rsa, ha posto l’accento sui
cambiamenti a cui stiamo assistendo, soprattutto a fronte dell’enorme diffusione di
dispositivi mobile connessi alla rete e il
cloud-computing. Il mondo consumer e, conseguentemente, il panorama business sono sempre più legati alla
rete.
“Tale legame - assieme ai miglioramenti in termini di velocità, usabilità e numero di web applications disponibili - ha causato una massiccia crescita di informazioni che sta profondamente cambiando l’It e le sue infrastrutture”, ha puntualizzato Coviello.
Tale situazione comincia a porre seri problemi di sicurezza, con lo sviluppo di minacce sempre più legate all’ingegneria sociale. “Entro il
2015 saranno circa
15 miliardi i dispositivi interconnessi via web. Ed entro il
2011 il
75% dei dispositivi per il business saranno mobile e i loro possessori li utilizzeranno anche per scopi personali, aumentando il potere dei siti di social networking come
Facebook,
Myspace e
LinkedIn. L’aumento di informazioni sul web che richiedono protezione o privacy è maggiore di quello relativo all’intero volume di dati circolanti su internet. Inoltre le infrastrutture sono sempre più virtualizzate e il controllo sugli accessi a tali infrastrutture sta diventando sempre più superficiale, giorno dopo giorno”, ha continuato Coviello.
Il discorso di apertura, quindi, ha voluto mettere in guardia gli esperti di sicurezza e i professionisti It riguardo alle
nuove sfide che il panorama digitale sta ponendo:
occorre adeguare e rinnovare i propri sistemi di gestione e controllo delle nuove tecnologie.
Questo, però, non deve essere fatto attraverso il
divieto di utilizzo di tali tecnologie o dei dispositivi che esse mettono a disposizione. L’
aggiornamento dei sistemi di sicurezza deve garantire la libertà di utilizzo e andare oltre, adottando le stesse innovazioni tecnologiche che stanno sfidando tutto il panorama It odierno.
A Coviello ha fatto eco anche
Chris Young,
Senior Vice President di Rsa, che ha aggiunto: “I responsabili della sicurezza hanno
diverse opzioni. La prima è tentare di
fermare o rallentare i trend, come è successo in passato quando i settori It aziendali hanno cercato di vietare l’adozione di BlackBerry, l’uso di iPhone, dell’Instant Messaging e dei drive Usb per evitare la copiature di file. Di solito queste pratiche sono tanto futili quanto di
ostacolo alla produttività del singolo e dell’azienda. La seconda è
ignorare i rischi adottando le nuove tecnologie, pratica che, considerando i livelli di crescita di virus, malware e falle nei software, equivale ad esporre a rischi altissimi le infrastrutture It. La
migliore possibilità per i responsabili It è, in ogni caso,
abbracciare i nuovi trend e le nuove opportunità che possono offrire".
Young ha concluso suggerendo che il settore della sicurezza It adotti un
costante aggiornamento per contrastare le minacce in real time, integrando al suo interno i singoli prodotti per offrire
protezione dall’interno: “La sicurezza deve essere
risk-based e
dinamica. Il costante aggiornamento e la
flessibilità sono le chiavi per una pronta risposta alle minacce più sofisticate”.
[tit:Per CA la sicurezza It passa per il controllo degli accessi]
Sempre nell'ambito della manifestazione londinese
CA ha annunciato i risultati di una
ricerca europea che evidenzia i potenziali
rischi derivanti da un’inadeguata capacità di
controllo sull’operato di coloro che, all’interno delle organizzazioni It, hanno accesso ai
dati aziendali più critici e sensibili per poter svolgere le loro funzioni. Queste figure sono abitualmente i cosiddetti
amministratori di sistema (amministratori di applicazioni, reti, Web, sicurezza, database e sistemi operativi), ai quali l’azienda deve concedere diritti di accesso superiori a quelli attribuiti alla maggior parte dei dipendenti. La
realtà italiana, unitamente ad altre, appare ancora non conforme a quanto previsto dalle nuove normative approvate dal Garante della Privacy.
L’indagine
“Privileged User Management - It's time to take Control”, prodotta per CA dalla società inglese di ricerca
Quocirca, rileva una situazione non allineata alle normative di legge e alle best practice sulla
tutela della riservatezza dei dati personali, condizione che rappresenta una potenziale minaccia alla
privacy dei singoli ed espone le stesse aziende ad attività illecite ed illegali perpetrabili da utenti interni e hacker.
Tim Dunn,
Vice President Security Business Unit Emea per CA, ha introdotto l’argomento con un semplice interrogativo: “Le persone che necessitano di un account privilegiato per portare a termine le proprie attività di It manager hanno necessariamente bisogno anche di un accesso più pronfondo alle informazioni presenti sui server o i singoli Pc? La domanda è fondamentale e la risposta è probabilmente no”.
La ricerca, focalizzata su un
campione di aziende con una
dimensione superiore ai 2 mila dipendenti attive nei settori
Tlc e
Media,
PA,
Finance e
Industria, è stata condotta in
14 Paesi (Belgio, Danimarca, Germania, Finlandia, Francia, Irlanda, Israele, Italia, Olanda, Norvegia, Portogallo, Spagna, Svezia e Regno Unito) e ha coinvolto
270 It Manager e Responsabili della Sicurezza, di cui 30 appartenenti ad organizzazioni italiane.
Secondo quanto emerso dall’indagine promossa da CA,
il 41% delle aziende europee interpellate afferma di avere adottato lo standard ISO27001 secondo il quale l’assegnazione e l’utilizzo degli accessi privilegiati devono essere limitati e controllati. Per quanto sorprendente, gli stessi intervistati ammettono che
gli amministratori di sistema non si attengono alle procedure ottimali definite dagli standard.
Una delle pratiche più diffuse sembra essere quella della
condivisione delle credenziali di accesso, nome utente e password, tra più individui. Ancor più grave è che la ricerca sottilinei come la stessa situazione emerga anche per quelle aziende (36%) che hanno sostenuto una certificazione di conformità allo standard ISO da parte di auditor esterni.
Dunn commenta con queste parole: “La ricerca fornisce una prova evidente di quanto scarsa sia l'attenzione posta dalle organizzazioni al delicato problema dell'assegnazione, controllo e monitoraggio degli accessi privilegiati.
La gestione e il monitoraggio di tali accessi è molto difficile”.
Spesso infatti gli account privilegiati sono condivisi e un amministratore di sistema può facilmente prendere il controllo ambienti di lavoro individuali, ad esempio un singolo computer della rete aziendale, e condurre operazioni da tale macchina.
[tit:La situazione italiana]
In Italia il
56,7% degli intervistati afferma di avere già messo in atto le misure conformi agli allo stardard ISO27001, ma l’indagine evidenzia che la percentuale di adeguati meccanismi di controllo applicati non corrisponde. La gravità della situazione si riscontra anche in questo caso nell’
abitudine, rilevata presso il
40 % delle aziende intervistate, a
condividere tra più utenti le stesse credenziali.
Nel suo rapporto Quocirca ricorda come, negli ultimi anni, si sia ampiamente dimostrato che l'utilizzo non controllato di accessi privilegiati, così come la diffusa prassi di condividere tra più persone lo stesso account, espone le organizzazioni a
pericoli di varia natura, non ultimo la possibilità di innescare
attività di hacking per accedere a
dati critici aziendali, numeri di carte di credito o violazioni di proprietà intellettuale.
Nonostante la gravità delle minacce che, come illustra Quocirca, possono derivare da un inadeguato livello controllo degli accessi privilegiati ai dati, la ricerca mette in risalto una diffusa
insensibilità nei confronti del problema da parte di una componente estesa dell'organizzazione It. Complessivamente, infatti,
il danno potenziale derivante da una gestione inadeguata delle utenze con privilegi di accesso
è in genere sottovalutato. Viene considerato un rischio di basso livello o quanto meno sottostimato rispetto ad altre potenziali
minacce quali malware, Internet, utenti interni e strumenti Web 2.0.
Lo dimostra la scarsa diffusione di strumenti appositamente adottate per mettersi al riparo da attività illecite degli utenti con diritti di accesso privilegiato. In Italia, nel
30% dei casi analizzati da Quocirca le
soluzioni applicate per gestire gli accessi privilegiati sono
di tipo manuale, quindi poco affidabili, costose in termini di risorse impiegate e spesso inadatte a documentare la conformità ai requisiti imposti dal Garante. Soltanto il
23% delle aziende italiane intervistate dichiara di utilizzare sistemi automatizzati per il monitoraggio, il controllo e la tracciabilità dell’operato degli utenti con diritti di accesso privilegiato.
Le più attrezzate sono le società di
telecomunicazioni e, a seguire,
Finance e
Pubblica Amministrazione, mentre l'industria appare la meno reattiva e sollecita nel formulare una risposta esaustiva ed efficace. Circa il
50% afferma di non avere un sistema per prevenire e fronteggiare i rischi connessi all'esistenza di profili che operano all'interno delle organizzazioni It con accessi privilegiati.
Molte organizzazioni appaiono infine essere in una sorta di
limbo: non si avverte la consapevolezza di un vero problema legato ai possibili abusi da parte dei super utenti. Laddove si ipotizza un generico piano di intervento, si riscontrano forti restrizioni a causa del progressivo calo dei
budget It. Tali situazioni, in un modo o nell'altro, dovranno essere risolte mediante decisioni mirate a mettere in atto le misure richieste dal
Garante della Privacy con il provvedimento del
27 novembre 2008 sugli amministratori di sistema al quale le aziende italiane devono adeguarsi entro il 15 dicembre 2009.
“Nonostante la necessità, da parte del personale It, di disporre di accessi di tipo privilegiato” continua Dunn – “è nell'interesse di tutti definire e mettere in atto misure volte a ridurre l'esposizione a rischi, proteggere le applicazioni e i dati così come permettere un corretto adeguamento alle normative previste nei singoli paesi di riferimento”.
Bob Tarzey, Analyst and Director di Quocirca, afferma: “La ricerca dimostra come, sebbene sia nell'interesse di tutti [a livello aziendale, di singolo dipartimento e tra coloro che svolgono una specifica attività It] adottare misure mirate al controllo degli accessi privilegiati, queste attività non si traducano ancora in una priorità di intervento. L'adozione di
pratiche manuali” continua Tarzey “è del tutto inefficiente e non permette né una reale misurazione interna, né la possibilità di una valutazione da parte di enti certificatori esterni.
Solo un sistema automatizzato per la gestione degli account, l’assegnazione dei diritti di accesso e la verifica sulle attività dei super utenti può condurre le aziende a una condizione di completa rispondenza alle esigenze aziendali e normative".
I risultati emersi dall’indagine di Quocirca sono in netta contraddizione con le norme stabilite dal Garante della Privacy il quale, tramite un provvedimento adottato nel novembre 2008, ha fissato le regole per l'adozione, da parte di enti, amministrazioni pubbliche e società private, di misure tecniche e organizzative che riguardano nello specifico la figura degli amministratori di sistema. L'adeguamento alla nuova normativa è diventato oggi obbligatorio e lo scenario descritto dall'indagine manifesta una evidente
necessità di allineare la gestione degli accessi privilegiati a una logica di maggiore protezione e tutela dei dati personali.
[tit:Le proposte di CA]
Successivamente
Dave Hansen,
Corporate Vice President e General Manager CA Security Management Business Unit ha presentato nuove versioni di prodotti e integrazioni che aiutano ad affrontare le sfide di sicurezza e conformità , tra cui
CA Access Control 12.5, che offre la tecnologia per supportare la gestione degli utenti con accesso privilegiato e delle password. È stata migliorata anche l’
integrazione di CA Identity Manager e
CA Role & Compliance Manager, per offrire una migliore gestione delle
indentità e del loro
ciclo di vita.
In più, le tecnologie di CA vogliono anche offrire una soluzione al problema dellla perdita dei dati, i software di
Data Loss Prevention.
CA DLP 12.0 identifica i dati sensibili sui server, ne amministra la protezione e l’accesso di cui gli utenti godono, le cosiddette policy.
“C’è ancora molto lavoro da fare, e noi di CA abbiamo una roadmap impegnativa riguardo a questo aspetto. Il fattore chiave è identificare i ruoli degli utenti, farlo velocemente ed automaticamente per rendere più facile identificare chi ha fatto cosa e quando”, ha concluso il manager.