Così come la “prima era di Interent”, anche il Web 2.0 ha rivelato presto la sua natura ambivalente: mentre le aziende, in particolare quelle medie e le grandi, hanno iniziato a valutare positivamente l’impatto delle applicazioni Web 2.0 sul business e i relativi vantaggi, nel contempo i criminali informatici hanno colto nella diffusione dei siti di social network nuove opportunità per mettere a punto minacce mirate, con l’obiettivo di rubare dati con cui perpetrare frodi su ampia scala.
Se da un lato si fa sempre più strada l’uso dei prodotti Web 2.0 tra gli utenti business, dall’altro, dovrebbe andare altrettanto velocemente l’attenzione alla sicurezza; ma così non è e sono molte le aziende che ancora non sanno bene come muoversi e i dipartimenti It si districano tra la ricerca di nuove policy di controllo accessibili per tenere le loro reti al sicuro da minacce esterne e di soluzioni in grado di bloccare contenuti pericolosi o inappropriati, pur cercando di facilitare l’uso delle tecnologie Web 2.0 ai dipendenti, talvolta anche indispensabili per lo svolgimento delle loro funzioni.
Il social networking, per esempio, è riuscito a farsi spazio nella vita di tutti i giorni non solo tra “le mura domestiche” ma anche all’interno delle aziende: Facebook ne è l’esempio con ormai oltre 200 milioni di utenti (che accedono al portale anche dalla propria postazione di lavoro); a questo tipo di siti si aggiungono quelli dedicati proprio alle relazioni professionali come LinkedIn oppure i servizi di micro-blogging come Twitter.
Non sorprende, quindi, che questi servizi siano sempre di più allettanti per gli attacchi dei cybercriminali. Profili compromessi, applicazioni illegali, pubblicità di finte promozioni sono solo alcuni dei pericoli in cui possono imbattersi gli utenti. L’obiettivo principale è carpire informazioni sensibili e i dati delle carte di credito. Per questo l’accesso ai siti di social network dal posto di lavoro rappresenta per le aziende una potenziale falla nei sistemi di controllo della rete aziendale: tali siti costituiscono infatti un nuovo rischio emergente, legato alla diversificazione, ampiezza e incontrollabilità dei contatti ed informazioni rese pubbliche dall’utente, e messe a disposizione anche dei criminali informatici.
Accesso a Internet: proibire o concedere?
Per contrastare le minacce derivanti dal Web 2.0, le aziende potrebbero anche decidere di adottare una politica “proibizionistica”, imponendo maggiori restrizioni all’accesso ai siti di social networking, e più in generale all’uso di Internet dal posto di lavoro.
A rivelare questa tendenza è un’indagine commissionata Trend Micro all’Istituto indipendente A&F Research. Secondo i dati rilevati dalla ricerca, nell’ottica della soddisfazione del personale, i responsabili aziendali sono favorevoli all’ampio utilizzo di strumenti tecnologici avanzati (come, ad esempio, Blackberry o software innovativi) da parte del personale, ma vedono la navigazione dei dipendenti su Internet a fini personali come una potenziale minaccia.
In generale, le aziende si sono dimostrate generalmente favorevoli a un moderato tempo di utilizzo della Rete per motivi non strettamente professionali. Il 68%, infatti, ritiene accettabile un utilizzo non superiore ai 20 minuti al giorno. In particolare, le aziende più piccole (da 10 a 50 dipendenti) appaiono meno tolleranti, infatti solo il 26,3% giudica opportuno andare oltre i 20 minuti. Mentre il 44% delle aziende più grandi (da 51 a 250 dipendenti) considera accettabile superare tale limite.
Per quanto riguarda l’uso scorretto della rete da parte dei dipendenti, lo studio ha evidenziato che i rischi sono meglio identificati e già oggetto di limitazione nelle aziende con più di 50 dipendenti.
Attualmente la percezione di rischi e il “proibizionismo aziendale” verso Internet, si concentrano sull’area della pornografia (56,2%), dei giochi (41,8%), delle scommesse e lotterie (37,9), e della ricerca di anime gemelle (34%), in buona parte già oggi non accessibili, specie nelle aziende di maggiori dimensioni.
Per quanto riguarda l’utilizzo dei sempre più popolari siti di social networking e delle chat, se in generale le aziende finora si sono dimostrate un po’ più “liberali” (attualmente sono vietati complessivamente nel 28% dei casi), la tendenza per il futuro è uno stretto giro di vite. Strada che è già intrapresa dalle aziende più grandi che già vietano, nel 42% dei casi, le chat e i social network.
Un problema di democrazia tecnologica
Il problema dell’accesso o meno ai siti di social network è solo un tassello di un quadro ancora più complesso che attiene all’esercizio dei diritti di quella che viene definita come “democrazia tecnologica”. Il tema è stato affrontato nel corso di un’indagine commissionata da Trend Micro a The Economist Intelligence Unit su un campione di 390 dirigenti attivi nel Regno Unito, Germania, Francia, Italia, Paesi Bassi, Svezia e Russia. Secondo lo studio, negli ambienti di lavoro è già in atto una rivoluzione silenziosa: applicazioni a cui prima si accedeva solo tramite i computer di casa, come wiki e social network, starebbero prendendo piede anche sui Pc aziendali. Di pari passo avanza la richiesta da parte dei dipendenti di una maggiore libertà nell’uso di queste applicazioni anche per svolgere meglio il proprio lavoro. Le aziende tuttavia non sono ancora pronte a questa evoluzione e lo dimostrano le risposte del campione intervistato: poco meno della metà (48%) afferma che la propria azienda è favorevole a incrementare la libertà tecnologica, ma nel contempo, quasi la stessa percentuale (il 47%) dichiara l’esatto contrario.
Ma la ricerca mette in luce non solo le pressioni per l’uso delle nuove tecnologie esercitate dalle risorse umane sulla dirigenza aziendale e sul reparto It, ma anche potenziali soluzioni al problema: più del 40% infatti dei dirigenti europei è pronto infatti ad affrontare i rischi legati allo sviluppo della democrazia tecnologica in azienda pur di sfruttarne al massimo i vantaggi di business.
I partecipanti al sondaggio concordano sul fatto che i rischi principali legati alla democrazia tecnologica sono il calo della produttività, la perdita di informazioni riservate e una maggiore vulnerabilità ai virus.
Per limitare tali rischi, tuttavia, le aziende devono elaborare un strategia in grado di conciliare linee guida di natura organizzativa e strumenti di tipo tecnologico oggi già disponibili sul mercato.
Lo studio condotto da The Economist Intelligence Unit indica sei step per evitare che la democrazia tecnologica si trasformi in una minaccia alla sicurezza aziendale:
– Redigere linee guida specifiche per l’uso delle nuove tecnologie.
Alcune aziende che autorizzano l’uso di blog e social network sul posto di lavoro, ad esempio, richiedono ai dipendenti di identificarsi in modo chiaro e di utilizzare formule di esclusioni di responsabilità quando parlano dell’azienda
– Pubblicare e aggiornare le linee guida.
E’ fondamentale stabilire regole inequivocabili per l’uso della tecnologia da parte dei dipendenti per ridurre al minimo il rischio di violazioni alla sicurezza. Data la rapidità di evoluzione delle tecnologie è indispensabile aggiornare frequentemente tali linee guida.
– Garantire la formazione.
Comunicare ai dipendenti le linee guida fissate. Integrare le ore di formazione aziendale previste con appositi corsi sull’uso dei social media e dei dispositivi di comunicazione personale.
– Sviluppare strumenti di social network in sede.
Creare applicazioni interne di social network in grado di garantire i vantaggi della condivisione delle informazioni, senza tuttavia mettere a repentaglio la sicurezza.
– Essere pronti a delegare parte della supervisione per garantire la protezione.
La messa in sicurezza delle applicazioni e dei dispositivi utilizzati dai dipendenti potrebbe sovraccaricare le funzioni IT centralizzate. Per gestire questo aspetto, potrebbe essere opportuno collocare nelle varie unità aziendali esperti IT con formazione specifica. In questo modo lo staff IT collocato a livello centrale si può dedicare ad altre mansioni come la gestione dei firewall e di altri aspetti di sicurezza della rete fisica e l’individuazione di nuove minacce esterne.
– Favorire la collaborazione tra unità aziendali e team IT.
I dipendenti possono percepire prima dello staff IT l’utilità in termini di business di una nuova applicazione. Coinvolgere quindi le unità aziendali nel processo decisionale relativo alle tecnologie assicura uno sfruttamento completo di queste conoscenze e aumenta il livello di consapevolezza dei nuovi rischi.
La soluzione tecnologica
Per incrementare il livello di sicurezza delle informazioni aziendali, le misure organizzative devono essere accompagnare da strumenti e soluzioni in grado di rilevare le minacce e di contrastarle in tempo reale.
Per questo, la sicurezza di rete non può più fare affidamento su un unico metodo ma deve avvalersi di una serie di barriere in grado di difendere l’azienda in vari modi. L’uso delle nuove tecnologie da parte dei dipendenti ha incrementato di fatto la sensibilità dei dirigenti, non solo It, sulla vulnerabilità delle reti aziendali, esposte ad attacchi interni ed esterni. La capacità di reazione delle aziende non è infatti ancora in grado di tenere il passo con la velocità con cui il malware si sta diffondendo.
La risposta di Trend Micro si chiama Web Gateway Security, una suite che include funzioni per la scansione del malware, la gestione delle policy e il reporting dinamico, permette di ripulire, cancellare e mettere in quarantena i contenuti infetti.
Il modulo Avanced Reporting and Manangement contenuto nella soluzione offre un elevato livello di visibilità su tutte le attività Web svolte in azienda. Il modulo consente di visualizzare tramite console interattive tutte le attività condotte su Internet e di ottenere report dettagliati, riuscendo a identificare le minacce e a reagire con maggiore rapidità.
In questo modo i responsabili It possono stabilire da dove proviene il malware, quali sono gli utenti che trascorrono quantità di tempo significative a navigare su siti non attinenti alle tematiche lavorative, quando vi navigano, chi è responsabile del rallentamento della rete proprio nel momento in cui si verifica il problema.
La nuova release di InterScan Web Security Virtual Appliance, inoltre, garantisce una protezione completa a livello gateway contro le minacce Web attraverso il consolidamento del filtro Url con funzioni di Web reputation in tempo reale, e potenti strumenti di scansione dei contenuti. La soluzione, infine, permette ai clienti di dedicare l’hardware standardizzato esistente all’applicazione o di installarla all’interno di un ambiente VMware con altre applicazioni.
