Analisi

Utenti inesperti e mobilità intensificano le minacce

Ovviamente, la via d’uscita è, di nuovo, la formazione. Che, però, spesso si limita alle questioni tecniche di piattaforme software e hardware più che concentrarsi su policy e best practice

Pubblicato il 30 Nov 2012

security-threats-150309104818

La maggior parte delle violazioni di sicurezza continua a derivare da errori umani interni piuttosto che da minacce esterne. Eppure, IT e business leader ancora destinano la maggior parte delle loro risorse di sicurezza informatica a tutelarsi rispetto alle minacce esterne, anche se quelle interne sono in aumento, soprattutto con la proliferazione dei dispositivi mobili a uso misto, personale e aziendale, che caratterizza gli ultimi mesi. Questo è quanto emerge dall’ultimo studio Information Security Trends condotto dalla Computing Technology Industry Association (CompTIA).

Delle 308 violazioni della sicurezza segnalate dalle persone intervistate nel corso della decima edizione annuale dello studio, il 54% risulta causato da un errore umano.

Quasi la metà degli errori (il 49%) sono stati attribuiti alla mancata osservanza delle linea di condotta e delle best practice previste da parte degli utenti finali. Lo studio si basa su un sondaggio condotto tra 508 responsabili IT e dirigenti aziendali direttamente coinvolti nella definizione o nell’attuazione delle policy di sicurezza relative alla tutela di processi e informazioni all’interno delle loro organizzazioni.

“Vediamo che c’è un crescente bisogno di educare gli utenti finali e mantenerli aggiornati. Come? Con iniziative orientate a migliorare la sensibilizzazione nei confronti delle tematiche relative alla sicurezza, migliorando la loro conoscenza relativa alle modalità e ai segnali d’allarme relativi agli attacchi – ha detto l’autore, Seth Robinson -. Educare l’utente finale dovrebbe essere una priorità più grande di quanto in realtà non sia oggi nella maggior parte delle aziende”. Il messaggio, però, non sembra giungere alle persone responsabili della sicurezza aziendale. Circa il 60% degli intervistati ha citato malware, virus e trojan, come una “grave preoccupazione”.

Altre minacce alla sicurezza provenienti dall’esterno, vale a dire l’hacking (54%), hanno scavalcato l’errore umano come grande minaccia percepita. Infatti, solo il 24% degli intervistati giudica l’errore dell’utente finale come una “grave preoccupazione”. Il fatto che gli intervistati si concentrino sulle minacce esterne non sorprende Robinson. “È ciò di cui si sono preoccupati per anni ed è quello che spiega il modo in cui le aziende hanno costruito e continuano a costruire le proprie difese di sicurezza”.

Una delle più grandi minacce alla sicurezza interna non riconosciute, a cui fanno fronte le imprese, deriva dall’utilizzo improprio dei dispositivi mobili, lo sappiamo bene. Solo il 22% delle aziende ha riferito di avere una policy specifica relativa al BYOD. L’indagine ha mostrato che la maggior parte delle aziende adotta ancora un approccio ad hoc per la gestione dei dispositivi mobile, in alcuni casi plasmando i linguaggi dei device senza fili sulle policy di sicurezza esistenti. Per il secondo anno consecutivo, i dispositivi smarriti o rubati sono stati l’incidente più comune per quanto attiene alla sicurezza mobile (citati dal 38% del campione).

La maggior parte degli sforzi per mettere in sicurezza i device wireless – intrapresi dopo il “fattaccio” – ruota intorno ai tentativi di rintracciare e bloccare i dispositivi. Le misure comprendono l’installazione di software di monitoraggio (47%), l’istituire una procedura per la gestione del dispositivo smarrito (44%) e la crittografia sui dispositivi mobili (43%). Ma questo approccio frammentario e incentrato unicamente sulla tecnologia non è più sufficiente, mette in guardia l’esperto. “La mobilità è diventata così importante, così radicata nel business, che ha bisogno di una propria policy specifica e di una propria serie di regole”.

I nuovi approcci

Robinson attribuisce la frattura tra allocazione delle risorse e aumento delle minacce interne a due cause equivalenti: i bilanci stagnanti da un lato e un vecchio concetto di ciò che costituisce un’adeguata formazione degli utenti finali dall’altro. Una lettura marginale delle politiche di sicurezza al momento dell’assunzione di un dipendente, con un “refresh” periodico (tipo un corso di aggiornamento annuale) non è assolutamente sufficiente, anche se è spesso quanto la maggior parte delle aziende fa.

Oggi, la consulenza di esperti di sicurezza informatica esige una formazione che deve essere frequente e interattiva. Ad esempio, Robinson ha detto che un attacco di phishing simulato tra la forza lavoro può essere uno strumento di formazione davvero molto utile. L’IT sarà in grado di rintracciare, in questo modo, il numero di dipendenti che ha effettivamente cliccato sul collegamento e potrà dare loro un’opportunità di formazione supplementare sulla sicurezza delle informazioni, utile per riconoscere questo tipo di minaccia. L’enfasi sulla formazione richiede una mentalità diversa per molti responsabili IT.

“Queste figure sono abituate a vedere la sicurezza come uno degli elementi che pesa sul budget IT in termini di acquisto di prodotti software o dispositivi hardware”, commenta. Man mano che le aziende spostano una quantità sempre più alta di dati in rete con cloud computing, mobilità e social networking, questo approccio del tipo “acquisto un prodotto che mi protegge” comincia a vacillare, ha detto Robinson. Il desiderio di assumere esperti di sicurezza (il 49% degli intervistati spera di farlo nel 2013) è una prova che l’IT si allontana progressivamente da questa vecchia concezione.

“Gli aspetti più tradizionali e tecnici del mestiere della sicurezza IT non stanno scomparendo – ha concluso Robinson -, ma a questi si deve aggiungere la capacità di farsi carico degli aspetti legati alla miglior gestione del fattore umano. È proprio qui che si inserisce la necessità di nuovi esperti di sicurezza e specialisti certificati”.

Mettere la formazione del personale di sicurezza nelle mani di uno specialista, scorporandola dalla “to do list” dei CIO, è qualcosa che l’analista Simon Yates di Forrester Research chiede con forza. Le decisioni relative ai dispositivi e alla gestione delle piattaforme di accesso alle applicazioni devono essere effettuate dai team appartenenti all’area Infrastrutture e Operazioni (I&O), ha detto. Gli esperti di sicurezza dovrebbero essere quelli che cercano di capire quali minacce debbano affrontare le loro organizzazioni relativamente ai diversi scenari di accesso degli utenti finali.

“Entrambe le squadre dovrebbero, poi, riportare al CIO, ciascuno con la propria lista di suggerimenti e raccomandazioni – ha concluso Yates -. Il CIO non può spendere la maggior parte del tempo cercando di venire a capo della complessità degli strumenti per la sicurezza e della sua posizione rispetto al rischio complessivo delle varie attività d’impresa. Gli serve un aiuto concreto sugli scenari complessivi della sicurezza IT”.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Articoli correlati