Firewall, antispam, antivirus, sistemi anti-intrusione, autenticazione, monitoraggio della rete.
I prodotti per la sicurezza informatica sono sempre tra i più venduti, e indubbiamente fondamentali, per preservare l'incolumità dell'attività di un'azienda.
Sebbene i firewall siano uno strumento consolidato per prevenire i tradizionali attacchi degli hacker, non possono nulla per fermare la fonte più significativa di reati informatici aziendali: l'interno.
Studi condotti negli ultimi anni hanno infatti dimostrato che più del 70% delle frodi informatiche proviene dall'interno delle aziende.
La protezione introdotta dai firewall è minimale, poiché un attacco focalizzato oltrepasserebbe i meccanismi di difesa più forti. Inoltre, un'attaccante esterno non ha la benchè minima cognizione della struttura informativa di un'azienda: i dati sono ormai distribuiti in database legacy e dipartimentali sparsi per tutta l'azienda e le loro correlazioni, ciò che costituisce il vero valore dell'informazione, sono stabilite da altri DB e strumenti di integrazione (middleware, EAI).
L'informazione è rappresentata in molte forme e deve essere protetta in ognuna di esse: sicurezza dell'informazione non significa sicurezza informatica.
La sicurezza informatica è parte integrante di un buon programma globale: un concetto di sicurezza complessiva include la sicurezza fisica, del personale, operativa e tecnica.
Il furto di informazioni sensibili è l'obiettivo di molte industrie: ai concorrenti non importa quale sia il formato dell'informazione. Sia che essa sia in formato elettronico che buttata nella spazzatura, è assolutamente irrilevante ai fini della sua compromissione.
Sfortunatamente, per molti programmi di sicurezza aziendali, l'estrema sensibilità per la sicurezza tecnologica lascia l'informazione molto vulnerabile ai metodi di spionaggio di base.
I professionisti della sicurezza informativa focalizzano i propri sforzi su ciò che meglio conoscono. L'allocazione del sempre scarso budget sui prodotti informatici di protezione riflette la loro percezione della necessità, limitata purtroppo all'ambito tecnico della questione.
E' assolutamente necessario implementare procedure in ambito organizzativo e instillare nell'azienda la cultura della sicurezza, o, per dirla all'inglese, la security awareness, la consapevolezza, cioè, che ogni impiegato che venga a contatto con dei dati è un potenziale anello debole della catena di trattamento delle informazioni e, come tale, deve essere educato a gestirla nel migliore dei modi.
A questo punto si può fare un giro presso il CLUSIT, che nel suo sito mette a disposizione una ricca documentazione sull'argomento, oltre a partecipare ai corsi e seminari che organizzo io stesso.
Nei prossimi articoli si parlerà di metodi legali e non legali di raccolta delle informazioni, nonchè di metodi per preservare integrità ed evitare compromissioni dei dati aziendali.
Nessun commento:
Posta un commento