Sicurezza Agile significa predisporre una governance basata su infrastrutture Agili ma anche maturando una maggiore consapevolezza sui vantaggi e gli svantaggi del cyberspazio.
“Quante volte i nostri colleghi, in buona fede, si portano il lavoro a casa – spiega Luca Bechelli, Membro del Comitato Tecnico Scientifico, CLUSIT e consulente indipendente per la sicurezza informatica – inviando una mail d’ufficio sul proprio account privato o caricando file di lavoro su un servizio di file sharing (magari perché non è stata loro fornita un’alternativa aziendale valida per condividere file)? Da qui le preoccupazioni principali : da recenti studi è emerso che il 64% delle aziende sono preoccupate di non sapere dove sono dati importanti, perché hanno perso di vista il modo in cui le informazioni viaggiano. La questione è che l’attaccante può essere qualcuno che sta a centinaia di chilometri da noi, ma la maggior parte degli attacchi oggi si determina perché l’utente fa click dove non dovrebbe farlo”.
Le aziende devono alzare la soglia di attenzione e capire bene gli estremi del problema: da qui ai prossimi tre anni, infatti, il 95% degli attacchi alla sicurezza sarà colpa dei comportamenti sbagliati degli utenti (Fonte: Gartner Top Prediction for IT Organizations and Users for 2016 and Beyond).
Quanto costa un ransomware? Le aziende non lo sanno
Il cybercrime punta a infettare il business e lo fa compromettendo gli utenti. Prendiamo il caso della posta elettronica: il 97% delle mail phishing è portatore di un ransomware. La questione non riguarda solo i CIO e i CISO che ogni giorno devono combattere con budget sempre più contenuti: gli executive devono imparare a conoscere i danni causati dagli attacchi del cybercrime alla produttività aziendale e ragionare di conseguenza. Gli ultimi dati degli analisti dicono che il 70% del business infetto è stato causato da un ransomware e solo il 42% delle vittime è riuscito a recuperare i propri dati. Il riscatto pagato dagli utenti per decriptare e riavere i dati? Tra i 200 dollari e i 10mila dollari. Più del 50% delle aziende attaccate ha pagato tra i 10mila e i 40mila dollari. Un utente su quattro che ha pagato il riscatto, però, non è riuscito a tornare in possesso dei sui dati (Fonte: 2017 Ponemon Institute Cost of a Data Breach Study), quindi neanche pagare è sempre una soluzione.
“Ci sono alcune cose interessanti da sapere sui ransomware Service – racconta Carlo Dusi, Software Technical Consultant – EMEA Information Management & Governance, MicroFocus -. Oltre a cifrare tutti i dati, i ransomware sono un tipo di malware che non solo può cambiare i nomi dei file e la loro estensione, ma può propagarsi via rete ad altri dispostivi. Non solo: il pagamento del riscatto può essere effettuato in un tempo limitato ma spesso agli utenti viene inviato un messaggio dove si richiede il pagamento di un falso riscatto in Bitcoins che non va a buon fine. Il problema reale è che le aziende non sono in grado di proteggere i propri dati come dovrebbero. Si preoccupano più di consentire un accesso ai dati ovunque e in qualunque momento agli utenti ma non di garantire soluzioni di ripristino dei dati rubati o persi in modo facile e veloce. Manca ancora un approccio aziendale capace di migliorare la produttività degli utenti finali, riducendo al contempo il carico di lavoro dei team IT attraverso l’uso di sistemi centralizzati dedicati alla governance della sicurezza”.
Come e perché è ora di una Sicurezza Agile
In sintesi, le aziende scelgono un’infrastruttura Agile, ma non sono in grado di pensare a una sicurezza altrettanto Agile. Gestire la complessità di tutti gli endpoint è una bella sfida: cloud, tecnologie mobile e Internet of Things hanno da tempo reso liquide le reti aziendali. Svanendo il perimetro fisico, è sempre più difficile presidiare i comportamenti degli utenti che fanno confluire vita personale e aziendale su una quantità crescente di dispositivi diversi, fissi e mobili.
Proteggere i dati è diventato cruciale per le aziende e per gli utenti. Gli utenti devono:
- poter accedere ai dati, dovunque e in qualunque momento
- restorare i dati rubati o persi in modo facile e veloce
- tutelarsi da virus e ransomware
- rimanere produttivi, riducendo il carico di lavoro del team di IT
Difficile, certo, ma non impossibile.
“Uno degli approcci più innovativi è permettere ai singoli utenti di effettuare in maniera autonoma un disaster recovery attraverso un Backup dei Dati As a Service – prosegue Dusi -. Un esempio concreto è la nostra soluzione Connected MX: attraverso una piattaforma controllata dall’azienda, ogni utente può procedere in autonomia, effettuando un ripristino dei dati senza dover passare dall’IT. Il repository dei file utente, prevede un processo di archiviazione delle copie tale per cui, se il file dovesse venir sovrascritto o cancellato, l’utente possa tornare alla versione precedente. Il tutto gestito a livello centrale e associato a policy definite dall’azienda. In questo modo l’organizzazione può garantire con maggiore efficacia la sicurezza a tutti gli utenti abilitati al sistema, con quella flessibilità necessaria a un restore dei dati funzionale e agile. Grazie a CMX la strategia aziendale riesce a bilanciare la riduzione dei rischi, attraverso una gestione degli utenti e dei gruppi di lavoro caratterizzato da precise regole di management che permettono anche di impostare quali file backuppare e quali no”.
In sintesi Micro Focus CMX garantisce all’azienda:
- Backup “isolati” rispetto alla rete e al traffico normale
- Restore dei dati eseguiti dall’utente su un nuovo dispositivo (disco)
- Versioning per tutti i documenti
- Retention e regole di backup definite per gruppi di utenti
- Continuous backup
- Cifratura dei dati
Data Governance: GDPR o aggiornare gli antivirus non basta
Oggi il board aziendale deve imparare a guardare l’azienda in modo molto diverso, andando oltre il tema del GDPR che, pur avendo alzato l’attenzione sul tema della protezione dei dati offrendo l’opportunità di rivedere posizioni e policy, non risolve la governance. I dati aggiornati sull’andamento dei cybercrime dimostra ampiamente come aggiornare gli antivirus non sia più sufficiente.
“Se vediamo i dati del rapporto Clusit aggiornato a giugno 2017 – conclude Bechelli – abbiamo un incremento, anno su anno, del 100%, di attacchi basati su vulnerabilità note che tradotto significa: non stiamo installando le patch nel nostro sistema informativo e quindi ci bucano. I malware sono cresciuti dell’86%, comportando impatti estremamente elevati per le aziende perché c’è un’incapacità di alcuni meccanismi di protezione o una inadeguatezza dei meccanismi che introdotti dalle aziende che non riescono a fronteggiare le nuove modalità con le quali il malware si diffonde. Abbiamo un altro incremento a due cifre di fishing e attacchi social engineering perché gli utenti continuano ad usare i sistemi e i servizi in modo improprio e le conseguenze per le aziende sono anche letali. Infine crescono gli Advanced and Persistent Threats (ATP), ossia quelle modalità di attacco tecnologico di penetrazione tramite le quali l’attaccante entra e rimane persistente per molto tempo all’interno dell’azienda”.
Non si è Agili senza introdurre differenti livelli di protezione
È dunque essenziale andare alla radice del problema. È necessario che le organizzazioni adottino una strategia di sicurezza agile e dinamica, che costruisca resilienza dall’interno e non si focalizzi sulla difesa del perimetro. Serve un approccio specifico per ciascun settore, che tuteli l’intera catena del valore aziendale. Come è possibile ottenere questo risultato?
Dal punto di vista tecnico introducendo diversi livelli di protezione:
- Aggiornare sempre i server e i dispositivi con le ultime patches per network vulnerabilities
- Aggiornare Antivirus
- Educare i dipendenti
- Fare Data backup, scegliendo piattaforme di nuova generazione all’insegna di una Sicurezza Agile
