Il passo è stato fatto. Ora si auspica che il cammino proceda speditamente nella giusta direzione. L’information security, la sicurezza in ambito Ict, è finalmente vista dalla comunità business non più solo come un insieme di strumenti e di competenze miranti a mitigare o eliminare i rischi connessi all’attacco di hacker e virus ai sistemi informativi d’impresa, ma come una funzione aziendale in grado di fornire un contributo per il miglioramento delle performance e l’ottenimento di obiettivi di business. Una funzione che sta aumentando la propria visibilità e importanza man mano che le nuove normative richiedono, ai fini delle compliance, anche l’adozione di strumenti e procedure di information security. E un risultato abbastanza recente è che sempre di più la sicurezza Ict viene integrata all’interno delle politiche più generali di risk management, sicché l’information security finisce per avere sempre meno la connotazione di insieme di attività reattive di natura esclusivamente tecnologica per assumere quella di funzione proattiva e abilitante nuovi percorsi di business in un contesto dove l’uso di mezzi digitali, consolidati e in fase di diffusione, diventa sempre più pervasivo e spesso esclusivo.
L’Annual Global Information Security Survey di Ernst & Young (www.ey.com), giunto alla decima edizione, rappresenta una delle più autorevoli fonti di informazioni e analisi che ci permettono di capire come l’information security si sia evoluta nel tempo a livello di problematiche affrontate, impatto sui processi aziendali, percezione della sua importanza da parte del business management e del top management, gestione, organizzazione e obiettivi.
La novità più significativa emersa negli ultimi due anni, secondo l’indagine svolta intervistando circa 1.300 organizzazioni a livello globale, è che il driver più significativo per l’investimento in information security non è più rappresentato dalla necessità di combattere virus e worm, ma da quella di essere compliant con normative sempre più pressanti. Nel 2007 questo fattore è stato indicato tra i più importanti driver dal 64% dei partecipanti al survey. Significativo anche il secondo posto ottenuto con il 58% delle risposte dall’esigenza di proteggere la privacy e i dati. Eloquente, e incoraggiante, il dato del 45% ottenuto dall’aspettativa che l’information security possa contribuire all’ottenimento di obiettivi di business. Un driver che si conquista il terzo gradino del podio, seguito dalle politiche di enterprise risk management (41%), dall’obiettivo di evitare pubblicità negativa e danni alla reputazione aziendale (24%) e dalla prevenzione di phishing, spyware e altre minacce tecnologiche (23%) (vedi figura 1).
Figura 1
Driver che impattano maggiormente sulle scelte in tema di sicurezza delle aziende
Fonte: Ernst & Young
cliccare sull’immagine per visualizzarla correttamente
La sicurezza diventa strategica
La classifica dei driver indicati nel 2007, insomma, certifica che il tema dell’information security è entrato di diritto nelle considerazioni che stanno alla base delle decisioni aziendali sia a livello strategico che tattico, cioè legate a specifici processi o obiettivi di business. Al momento resta ancora più frequente il coinvolgimento tattico. Nella maggior parte dei casi, infatti, il tema della sicurezza si affronta in funzione di determinate iniziative, come quelle finalizzate al risk management o alla prevenzione della violazione della privacy, che oggi le aziende sono chiamate a tutelare in modo stringente.
Questo spiega perché, secondo il survey, il numero di riunioni mensili che gli specialisti di information security effettuano con i responsabili della funzione It è tre volte superiore a quello che gli esperti di sicurezza hanno con i manager delle linee di business o con gli executive. Gli autori della ricerca Ernst & Young, quindi, auspicano una maggiore crescita delle interazioni tra chi si occupa di sicurezza e i leader aziendali, facendo leva sulla consapevolezza che sempre di più i nuovi obiettivi di business, proprio perché prevedono un uso più intensivo dell’Ict, comportano problemi di sicurezza che devono essere analizzati preventivamente per valutare vantaggi e svantaggi di ogni opzione. Ernst & Young va oltre affermando che i responsabili di information security possono oggi assumersi il ruolo di promotori del più corretto bilanciamento tra le esigenze di aumento delle performance di business e quelle di mitigazione dei rischi.
Security sempre più business oriented
La società di consulenza, quindi, vede nell’importanza crescente della protezione dei dati personali una delle leve che gli esperti di information security possono usare per ottenere un maggiore riconoscimento di ruolo nelle decisioni strategiche.
Il tema della privacy è “consumer-driven”, direttamente collegato con le attività di vendita e di marketing delle imprese, ovvero con il core business. In un contesto in cui le autorità esercitano controlli sulle compliance alle normative e i media sono pronti a puntare i riflettori su casi di violazione di dati personali, la capacità di tutelare la privacy dei clienti può essere usata da un’azienda come un vantaggio competitivo (vedi figura 2).
Figura 2
Frequenza degli incontri tra i responsabili della sicurezza e gli altri manager aziendali per affrontare necessità e obiettivi aziendali.
Fonte: Ernst & Young
cliccare sull’immagine per visualizzarla correttamente
L’indagine di Ernst & Young non manca di sottolineare che, se è vero che la sicurezza diventa sempre più un argomento di business e gli esperti di information security devono essere in grado di affrontare questioni strategiche, non si deve dimenticare che la tematica continua a mostrare anche una spiccata connotazione tecnica. Anzi, si complica sempre di più lo scenario tecnologico sottostante. Se una volta i problemi da affrontare erano limitati ai virus che mandavano in tilt i computer e agli spioni che bucavano i sistemi informativi da Internet con credenziali rubate, oggi la realtà è più complessa, difficile e costantemente in cambiamento. Come sottolineano gli autori della ricerca, fin verso la fine degli anni Novanta le maggiori preoccupazioni di sicurezza erano legate all’uso di connessioni remote, di tipo dial-up o Internet. Solo l’8% delle aziende prevedeva qualche forma di e-commerce. Oggi la stragrande maggioranza delle organizzazioni, dai rivenditori di libri ai servizi di utilità, dispone di portali attraverso i quali dialogano ed effettuano transazioni con i clienti finali e i partner. Accanto al Web si sta diffondendo l’utilizzo di altri dispositivi per le interazioni, a partire dai cellulari e dai palmari.
Servono risorse competenti
La crescita della capacità dell’information security di interloquire con i responsabili di business e gli executive aziendali non deve, raccomanda Ernst & Young, causare lo sviluppo di gap nell’abilità della struttura di proteggere e affrontare le minacce quotidiane alle informazioni e agli asset informatici, hardware e software. La capacità di elaborare e attuare procedure di sicurezza passa prima di tutto dalla disponibilità di risorse umane adeguatamente preparate e con esperienza.
La difficoltà a reperire risorse è messa al primo posto dai partecipanti al sondaggio tra le sfide che oggi si trovano ad affrontare le aziende per quanto riguarda l’information security (51% delle risposte). È anche per questo motivo che oggi sempre più imprese – 60% nel 2007 – tendono a ricorrere all’outsourcing. Ma, va detto, non solo per la difficoltà ad acquisire personale qualificato: a fronte del diversificarsi degli skill necessari per affrontare tutti i problemi della sicurezza, per alcuni aspetti può essere economicamente più conveniente ricorrere a terze parti. E tra questi aspetti cresce quello della predisposizione di regole, procedure, controlli e misurazioni che garantiscano l’implementazione più efficace ed efficiente dell’information security.
Social engineering la lezione di un hacker
Invitato alla convention annuale di Phion Kevin Mitnick, definito il più famoso hacker mondiale, ha indicato quali trasformazioni si sono verificate negli ultimi anni nel comportamento degli hacker passando dalla “semplice curiosità” all’interesse al business e come tali quindi più pericolosi. L’altra trasformazione segnalata da Mitnick è quella inversa, ovvero degli hacker che diventano “ethical hacker”. Tralasciando questo secondo aspetto (che fa riferimento ad hacker che utilizzano in maniera responsabile le loro capacità), Mitnick puntualizza sull’insufficiente livello di sicurezza delle aziende quando questa è basata solo sulla tecnologia e cita i dati di alcune indagini: alla stazione di Waterloo della metropolitana di Londra, il 70% delle persone di un campione casuale di dipendenti ha fornito la password personale per una tavoletta di cioccolato o per una penna da pochi euro. Altri casi dimostrano come la naturale disponibilità delle persone a comunicare e ad assistere chi chiede informazioni sia usata dagli hacker per ottenere informazioni successivamente utilizzate per accedere a dati sensibili.
È da queste situazioni che nasce il “social engineering”, ovvero quella forma di hacking che si basa sull’inganno o sulla manipolazione psicologica di persone al fine di ottenere le risposte chiave per i successivi attacchi. L’inganno e la manipolazione non sono condotti solo in forma vocale ma, come tutti sappiamo, anche via e-mail. È il caso di quelle e-mail emesse da hacker che chiedendo la verifica dei dati personali, numero di conto, numero di carta di credito e password, ottenendo le informazioni per poi condurre l’attacco a scapito del malcapitato che ha dato credito alla richiesta.
“La tecnologia è perfettamente inutile di fronte a queste situazioni, e seppure non ci siano dati precisi al riguardo, questo modo di condurre gli attacchi sembra molto efficace”, dice Mitnick secondo il quale hanno avuto successo nel 95% dei casi da lui stesso sperimentati.
“Il meccanismo psicologico si basa sulle debolezze umane quali l’illusione dell’invulnerabilità, la tendenza a credere agli altri, la percezione che la sicurezza sia perdita di tempo, la sottostima del valore delle informazioni, la naturale tendenza ad aiutare gli altri, l’incapacità a vedere le conseguenze negative delle azioni commesse”, spiega Mitnick. “Un’indagine condotta nel 2007 dimostra che il 100% delle persone, su richiesta, comunica il proprio nome; il 98% rilascia il proprio indirizzo in cambio di un buono premio, e così via con gli altri test condotti”. Aggiunge inoltre che nelle grandi aziende un gran numero di vittime non percepisce neppure di essere stato oggetto di queste manipolazioni. “In casi come questi solo un programma di security awareness e di sensibilizzazione al valore delle informazioni, congiuntamente con test di validità di quanto insegnato può dare risultati positivi”, conclude Mitnick. (E.P.)
