Quello che emerge maggiormente dall’analisi degli eventi di Security dell’ultimo anno è che gli attacchi informatici stanno arrivando a livelli di sofisticazione molto elevati e sono oggi in grado di causare danni gravissimi, una volta neanche immaginabili. Dieci anni fa, ad essere presi di mira erano soprattutto i computer della Sicurezza nazionale (per esempio, il Pentagono), i database che custodivano segreti, l’Intellectual Property delle aziende, i dati dei conti correnti bancari. Oggi le minacce si diffondono e non ci sono sistemi che possono essere completamente isolati in caso di guerra informatica su ampia scala. L’ambito di maggiore attenzione si sposta sulle infrastrutture civili critiche: reti elettriche, collegamenti telefonici, centrali, impianti, il cui malfunzionamento può avere un impatto devastante sulle economie nazionali.
Diversi eventi recenti hanno dimostrato fino a che punto le infrastrutture critiche di un paese non erano state adeguatamente protette: in Iran il malware Stuxnet ha infettato 30mila computer, e, aspetto ancor più grave, sistemi usati per il controllo di oleodotti, reti elettriche, impianti nucleari. Il malware è stato progettato per funzionare e portare a termine il proprio attacco indipendentemente da un collegamento Internet (di solito infatti per motivi di sicurezza i sistemi di controllo industriale non sono collegati alla Rete). Si annida in chiavette infette, che una volta utilizzate, casualmente, trasmettono il malware. Questo fatto sembra preannunciare l’epoca della guerra informatica tra stati nemici; non a caso, nell’ultimo anno diversi governi hanno annunciato un rafforzamento delle proprie unità di Intelligence informatica.
Il problema non è isolato: secondo il fornitore di soluzioni di security Symantec, il 53% dei provider di infrastrutture critiche è stato attaccato mediamente 10 volte negli ultimi cinque anni; secondo questi provider, i cyber-attacchi sarebbero di natura terroristica o sponsorizzati da stati stranieri. In generale tutti gli stati hanno programmi di protezione di queste infrastrutture voluti dai rispettivi governi. Va considerato però che nei Paesi nei quali la maggior parte dell’infrastruttura critica nazionale è nelle mani di aziende private, molte di queste sono piccole realtà (con meno di 100 dipendenti), spesso non in grado, da sole, di rispondere ai moderni cyber-attacchi. Dobbiamo quindi aspettarci, per il futuro, interventi importanti da parte dei governi a supporto della sicurezza nazionale.
Guardando all’evoluzione delle strategie messe in atto dalle aziende in tema di Security, quello che emerge da analisi Idc su grandi campioni di aziende (come mostrato in figura 1), è che rispetto al passato l’aspetto sempre più grave e mai risolto è la scarsa importanza attribuita dagli utenti alle policy di sicurezza. Il problema della mancata educazione degli utenti è ancora oggi la sfida più rilevante, seguita poi dalla difficoltà di rispondere ad attacchi sempre più sofisticati, da un management poco preparato sul tema, dai limiti di spesa.
Figura 1 – Le principali sfide per le aziende in tema di IT Security
(cliccare sull'immagine per visualizzarla correttamente)
Con riferimento invece alle innovazioni tecnologiche che comportano maggiori rischi sul fronte della sicurezza, secondo le organizzazioni queste sarebbero le architetture cloud, il Software-as-a-service, Soa: in generale, viene assegnata maggiore importanza alla messa in sicurezza di queste infrastrutture più nelle grandi organizzazioni che non nelle medio piccole (tuttora meno toccate dall’evoluzione verso il Cloud). Inoltre, le aziende mostrano una tendenza verso l’outsourcing – seppure graduale – della gestione delle proprie infrastrutture di Security. Va detto però che oggi la maggior parte delle organizzazioni preferisce ancora un controllo interno oppure misto (in parte gestione interna, in parte outsourcing) e che in molti casi la gestione non è ancora unitaria (patchwork di soluzioni puntuali), vedi figura 2.
Figura 2 – Le principali sfide per le aziende in tema di IT Security
(cliccare sull'immagine per visualizzarla correttamente)
Altri trend che Idc osserva con riferimento alle nuove realizzazioni in ambito security sono: l’integrazione della sicurezza fisica e logica, il ricorso a nuovi servizi di Hosted Security.
Il tema della convergenza della sicurezza fisica (controllo accessi, videocamere) con l’It security è conseguenza dei maggiori benefici ottenibili dal punto di vista del controllo (badge che permettono di accedere sia al luogo fisico che al pc, informazioni sugli eventi che avvengono nei luoghi fisici registrate e integrate in rete) e da quello della riduzione dei costi, potendo utilizzare un’unica rete per entrambi gli ambienti. Alcune organizzazioni hanno preferito fino a oggi mantenere questi ambienti separati, in parte perché fanno capo a dipartimenti diversi nell’organizzazione, in parte per motivi legati alla maggiore efficienza di sistemi gestiti separatamente (in particolare, viene osservato che i video per la videosorveglianza occupano molta banda, fino a 1,5 Gbps per segnali Cctv ad alta definizione, e possono saturare rapidamente il network).
L’obiettivo delle organizzazioni deve essere, prima ancora di quello di una piena convergenza dei due ambienti, di un’integrazione degli obiettivi delle diverse divisioni nell’ottica di un Risk Management condiviso e unitario. La sicurezza deve infatti essere gestita a livello di intera organizzazione e deve essere supportata dalla massima collaborazione tra diversi team di esperti. Le regole per processi fluidi e integrati non possono essere stabilite da chi ha l’ownership della tecnologia, ma lo sponsor deve essere a livello di management generale dell’impresa.
Con riferimento al tema dell’Hosted security, le organizzazioni stanno considerando la possibilità di far gestire esternamente, almeno in parte, le proprie infrastrutture di It security (Managed Security Services). Inoltre, la disponibilità di una nuova famiglia di servizi di Security-over-the-Cloud permette alle organizzazioni di ripensare le proprie misure e di affidarsi ai nuovi servizi sia per una protezione tradizionale (l’antivirus, la Web e Messaging security) sia per i nuovi rischi collegati al maggiore utilizzo della Rete (il Denial of Service, o l’indisponibilità di strumenti per la Mobility nel caso di organizzazioni fortemente distribuite e dipendenti da un’infrastruttura Ict diffusa). In ogni caso, la domanda di servizi forniti da fornitori esterni specializzati è diretta conseguenza della difficoltà di dotarsi di esperti interni, oltre che dei risparmi ottenibili con le soluzioni managed rispetto alla stessa gestione effettuata internamente.
Queste e altre tematiche in tema di It Security saranno oggetto di analisi e discussioni nel corso dell’evento previsto da Idc per il prossimo 16 febbraio a Milano, l’Idc Security Conference 2011.
* Elena Vaciago è Senior Consultant di Idc Italia
