29.3.07

Web application security: un tema ancora poco compreso (secondo Forrester)

Secondo un recente rapporto di Forrester Research (Web Application Firewall Forecast: 2007 to 2010), la maggior parte delle aziende non comprende che i firewall tradizionali non possono proteggere dagli attacchi a livello applicativo.
La domanda per i web Application Firewall aumenterà nei prossimi tre anni, soprattutto in ambito bancario, una volta recepito lo standard Payment Card Industry (PCI) per la sicurezza dei dati, relativi ai numeri di carta di credito e altri dati personali trasferiti durante le transazioni online: questo standard richiede l'implementazione di Web Application Firewall come una delle alternative per la protezione da attacchi contro le applicaziono web.
Nella sua ricerca, Forrester cita, insiema ad altri, anche Breach Security come uno dei produttori più innovativi di Web Application Firewall.

Fonte: Articolo di NetworkWorld

28.3.07

Banche (inglesi) e sicurezza

Qual è il motivo per cui un impiegato di una delle maggiori aziende inglesi di credito al consumo , se ne gira con una borsa in macchina contenente i dati di 13.000 clienti?
Non trovate bizzarro che la borsa sia poi stata sottratta dalla macchina chiusa a chiave del suddetto impiegato?
Ad ogni buon conto, sebbene solo 1800 delle 13000 schede cliente contenessero dati sensibili come il nome, l'indirizzo, il numero di conto e l'ammontare del conto è difficile ipotizzare che possano essere commesse frodi su tali dati. Ma non si sa mai.
In ogni caso, i dati di 13.000 dei clienti di Halifax Mortgages sono ora nelle mani di sconosciuti che potranno farne l'utilizzo che vorranno: lascio ai lettori formulare le ipotesi più birichine.
Viene da chiedersi il motivo per cui un'azienda spenda centinaia di migliaia di sterline per rendere le transazioni elettroniche sicure e a prova di hacker, mentre lasci gli impiegati alla mercè di loro stessi, non sensibilizzandoli sulla rischiosità di un trasporto di informazioni fisico.
Viene anche da chiedersi perchè trasportare le schede cartacee di 13000 clienti evitando così di doverle inserire in una scomoda chiavetta USB (sic!) dove potrebbero essere anche state crittografate.
Ora,è tempo che la
Financial Services Authority, l'autorità di controllo inglese , faccia partire un'indagine per valutare quali siano le falle nei protocolli di sicurezza di Halifax.
Non dubito che siano state formulate e implementate delle policy riguardo alla sicurezza delle informazioni, atte a permettere l'implementazione di processi di governo e controllo dell'accesso e della distribuzione delle stesse.
Le policy sono però uno degli elementi necessari, che si accompagnano ad altri due, altrettanto fondamentali:
  1. la diffusione della cultura della sicurezza;
  2. la praticità d'uso degli strumenti.
La cultura della sicurezza (altrimenti detta security awareness) è una componente che deve permeare tutta l'organizzazione bancaria perché ogni singola persona che vi lavora sia consapevole del rischio associato a ogni sua attività (che non è mai nullo, neanche quando si va a prendere il caffè alla macchinetta): per far sì che permei l'organizzazione aziendale, è opportuno che venga accompagnata da una buona spiegazione dei vantaggi che si hanno con una maggior coscienza della sicurezza.
Come accompagnamento all'implementazione di processi e prassi viene poi l'usabilità degli strumenti: se, ad esempio, tutti i dipendenti di un'azienda sono coscienti delle procedure di mantenimento della sicurezza, ma hanno a disposizione degli strumenti tecnologici poco efficienti o difficili da usare, tenderanno a utilizzarli scarsamente, se non addirittura a metterli da parte. Se, supponiamo, nel caso dell'Halifax, fosse stato consegnato e spiegato al dipendente un programma facile da usare che crittografasse i dati e permettesse di conservarli in una chiavetta USB, il problema probabilmente non si sarebbe creato.
Lo strumento, quindi, deve essere sicuro, e sarà tanto più utilizzato quanti più vantaggi porterà alla normale attività lavorativa.
Il Regno Unito, negli ultimi tempi, è particolarmente sensibile alla questione: per la sparizione di un notebook contenente (potenzialmente) i dati sensibili di 11 milioni di utenti, la
Nationwide è stata multata di 980.000 sterline. Anche in questo caso, con l'installazione di un programma di cifratura dei dati, i danni potenziali sarebbero stati più contenuti.

26.3.07

Su Skype un nuovo worm (ma non è poi così nuovo...)

Si chiama Stration, ma non è che una variante del famoso Warezov.
Sto naturalmente parlando del worm che, attraverso un trojan, si inserisce su skype, legge l'elenco dei contatti e invia messaggi contenenti frasi del tipo:
"My party pics:
http://cards20379.gertionjtunhandesunasterfun.com/8/show.xml?id=69463"

Allo stato attuale delle cose sembra che il worm non abbia avuto molto effetto, forse a causa del più alto livello di conoscenza tecnologica degli utilizzatori di skype.
L'elemento che fa nascere dei sospetti è che, immediatamente dopo l'arrivo del messaggio, appare un avviso di skype che afferma "L'utente ha lasciato questa chat".

Potete leggere qualcosa in più su SC Magazine.

Concorrenze sleali: Oracle contro SAP

Oracle ha appena citato SAP in causa per furto del suo software protetto da copyright: non si parla in questo caso di un furto di proprietà intellettuale, ma di appropriazione di applicazioni con lo scopo di offrire un servizio di supporto sull'ambiente Oracle a costi ridotti e di attirare nuova clientela verso SAP.
L'attività illegale sarebbe stata perpetrata dalla società TomorrowNow, azienda texana di proprietà SAP, e avrebbe comportato la copia di migliaia di prodotti Oracle e altro materiale confidenziale utilizzando i dati di accesso di utenti Oracle con supporto scaduto o prossimo alla scadenza.
Secondo la citazione, Sap, utilizzando le credenziali di un cliente, ha scaricato da un sito Oracle ,che permette l'accesso ai clienti che hanno già acquistato le licenze, più di 10.000 file, a volte con una media di 1800 file al giorno per 4 giorni, laddove normalmente un utente scarica in media 20 file al mese. Questi accessi provenivano da un indirizzo Ip in Texas che corrisponde alla sede di TomorrowNow.
L'attività di copia, iniziata nel novembre 2006, è andata avanti fino a febbraio 2007.
La citazione afferma che la maggior parte del materiale scaricato non era coperto dalle licenze acquistate dai clienti che vi hanno avuto accesso: questo, naturalmente, fa nascere qualche perplessità sulle procedure di determinazione dei diritti di accesso degli utenti che possono scaricare materiale dal sito di supporto di Oracle.
Normalmente il materiale per i propri clienti (che si tratti di software, manuali, presentazioni, documenti di supporto ecc.) risiede su un sito ftp accessibile con username e password. Spesso, però, la modalità di distribuzione non prevede che ogni utente abbia accesso a una sua cartella contenente i file che ha diritto di scaricare sulla base della licenza che ha pagato, ma invece a una cartella comune contenente tutta la libreria di materiale.
Si configura in questo caso un problema di procedura di autorizzazione alle informazioni: le prassi consolidate prevedono un'accesso sulla base della necessità di conoscenza o utilizzo di un materiale; un accesso indiscriminato a tutta la libreria, quindi, è una configurazione da evitare. Se Oracle ha adottato questo metodo è, per sua sfortuna in questo determinato caso, incolpabile di superficialità.
L'altra questione che mi pongo è la seguente: nonostante SAP abbia scaricato il software Oracle, credo che abbia avuto la necessità di una licenza per farlo girare. Quindi, dove è andata SAP a prendere queste licenze? Oppure lo ha scaricato senza mai farlo girare?
Ne dubito, anche perchè come risultato di questa attività, sempre secondo la causa, alcune aziende non hanno rinnovato il contratto di supporto con Oracle per accenderne invece uno con SAP: Honeywell, Merck, SPX, Metro Machine, sono solo alcuni degli esempi.

Che cosa possiamo imparare da tutto questo?
  1. che sono necessarie procedure di controllo atte a segnalare comportamenti anomali sui propri siti di distribuzione di materiale;
  2. che le procedure di controllo degli accessi e di autenticazione devono essere più sofisticate di quelle attuali di Oracle e che, quindi, devono prevedere:
    • un'accesso al materiale sulla base dei diritti di licenza acquistati
    • la scadenza dell'autorizzazione per l'utente non appena scade il contratto di licenza.
Se avete poi voglia di capirci di più nelle modalità di appropriazione di materiale leggete la causa intentata da Oracle a SAP.

13.3.07

Minacce interne e garanzie per l'IT

Qualche tempo fa andai a parlare di salvaguardia del proprio patrimonio informativo e di minaccia interna al vicedirettore dei sistemi informativi di una banca.

Gli spiegai che per anni le aziende hanno focalizzato le attività di sicurezza sulla protezioni dalle minacce provenienti dall’esterno, poste dalla crescente esposizione su Internet, dispiegando una serie di soluzioni come firewall, antivirus, anti-spam, intrusion detection systems, antispyware, ecc, e costruendo solide mura per proteggere il proprio perimetro.

Concordammo sul fatto che molti di essi stanno realizzando che queste difese non possono proteggere da un tipo diverso di minaccia, quella proveniente dall’interno dell’azienda e che per ovviare a questo era necessario dispiegare una serie di tecnologie e approcci diversi da quelli utilizzati fin’ora.

Gli parlai quindi della soluzione di Intellinx, che permette di aggiungere un altro livello di log alle attività che vengono condotte sui propri sistemi centrali, che si tratti di mainframe, AS400, web server.

Dopo aver ascoltato con attenzione mi disse che sarebbe diventato uno sponsor interno della proposta, non solo perchè essa interveniva a far luce su una serie di attività che altrimenti sarebbero passate inosservate, ma anche (e credo soprattutto) perchè gli consentiva di avere una garanzia sul proprio operato e su quello dei suoi collaboratori.

È risaputo, infatti, che chi lavora nei sistemi informativi di una banca può avere un accesso privilegiato a informazioni e procedure: le applicazioni di business dell’azienda sono configurate per dare un alto livello di log normalmente tracciano le attività degli utenti finali. Gli utenti IT, ovvero gli amministratori del sistema, dei database e dei programmi, utilizzano vari strumenti di amministrazione e di programmazione per accedere e mantenere i dati aziendali. E, tipicamente, queste applicazioni non hanno log, e non consentono, quindi, di avere traccia degli accessi e delle attività degli utenti privilegiati.

Mi parve un’approccio estremamente illuminato, e al quale non avevo ancora pensato: sebbene, secondo il rapporto"Insider Threat Study: Illicit Cyber Activity in the Banking and Finance Sector", solo il 23% delle frodi interne viene commesso da impiegati in posizione tecnica – e solo il 17% degli insider possedeva un accesso da amministratore del sistema –, la minaccia potenziale di chi opera nei sistemi informativi è per l’azienda sicuramente più alta, perché meno tracciabile.

E avere una garanzia che permetta al direttore dei sistemi informativi di poter tracciare anche le attività delle applicazioni non di business costituisce una tutela per gli impiegati, oltre che per l’azienda stessa, ovviemante. Poter dire “tutte le operazioni verso il mainframe sono tracciate” permette all’azienda di considerare tutti gli impiegati sullo stesso livello, di liberare dal sospetto chi lavora nell'IT e, infine, di non avere aree grigie dove non poter investigare in caso di problema.

Ed è quindi salutare anche per gli impiegati passare da un’area grigia a un’area dove c’è più trasparenza.

Ho ringraziato quindi il mio interlocutore per il suggerimento, ripromettendomi di sfruttarlo per illustrare un ulteriore vantaggio degli approcci alla sicurezza interna che propongo.

9.3.07

Wikipedia e la protezione delle informazioni

Prendendo spunto dall'ultimo caso che riguarda Wikipedia, l'enciclopedia online più utilizzata al mondo, e dello studente del Kentucky che, spacciandosi per un professore di teologia (con un Ph.D), ha modificato più di 20.000 articoli su argomenti controversi, parlerò dell'importanza della certificazione delle informazioni, primo passo verso la salvaguardia di qualsiasi tipo di patrimonio informativo.
Con lo pseudonimo di Essjay, un senior editor aveva l'autorità di dirimere le dispute tra gli autori e rimediare ai vandalismi, un autorità che si era guadagnata sul campo grazie alla disponibilità che aveva mostrato prendendosi in carico la supervisione dello scibile cattolico.
Essjay, però, si è svelato come un ragazzo di 24 anni che si è creato un'identità completamente fasulla, dichiarandosi professore di un'università privata, ma che in realtà utilizzava testi come "Cattolicesimo for dummies" per ispirarsi nella correzione degli articoli.
Alcuni giorni fa Jimmy Wales, uno dei fondatori di Wikipedia, lo ha "licenziato" affermando che da ora in poi tutti i senior editor (come Essjay) dovranno rivelare la propria identità e dimostrare di avere serie credenziali.
Perchè fino ad ora non era così.

Esattamente un anno fa, a seguito di un mio articolo provocatorio che aveva provocato reazioni tra le più disparate, avevo sottolineato alcuni punti fondamentali sulla sostenibilità dello sviluppo di wikipedia e che proprio in questi momenti sembrano trovare realizzazione nelle parole del suo patron.
Il mio pensiero di fondo non è mutato nel tempo e quindi ve li ripropongo qui di seguito:

"Io uso wikipedia, la stimo, stimo il lavoro dei volontari, ma sono convinto che per fare un buon lavoro e creare un prodotto affidabile si debba partire prima dalla qualità e poi puntare allo sviluppo, ovvero: prima si costruiscono procedure di controllo sostenibili, in grado cioè di garantire la veridicità dei contenuti e l'attendibilità della fonte. Per fare questo sono necessari molti volontari, e questo potrebbe limitare lo sviluppo del contenuto dell'enciclopedia.
Wikipedia non è partita e cresciuta con questa intenzione, ma ha puntato soprattutto sull'espansione degli argomenti coperti, mettendo un disclaimer che dichiara che non viene garantita l'accuratezza dei contenuti (http://it.wikipedia.org/wiki/Wikipedia:General_disclaimer).
Purtroppo questo disclaimer non è molto visibile (come tutti i link dei disclaimer sta in fondopagina). Dovrebbe esserlo molto di più in quanto contiene un'elemento dell'essenza di wikipedia: la non garanzia dell'informazione che viene fornita, un punto che non è chiaro a moltissimi utilizzatori.
Io vorrei vedere un'enciclopedia che non riporti la frase "su nessuna delle informazioni presenti in queste pagine è possibile garantire il controllo da parte di professionisti legalmente abilitati ad esprimersi nei vari campi, controllo che sarebbe necessario per fornire un'informazione completa, corretta e/o certa su un qualsiasi argomento."
Questo fatto indiscutibile va a sminuire il valore del lavoro di chi si impegna a contribuire costantemente al progetto.
Per ovviare a questo, ad esempio, si potrebbe creare un comitato d’esame che accetti le candidature dei contributori, ne esamini il curriculum dipendentemente dalla sezione che desiderano curare, lo verifichi e gli conferisca o meno l’autorizzazione al posting di articoli.
Se questo non è fattibile, vorrei che la frase “WIKIPEDIA NON DÀ GARANZIA DI VALIDITÀ DEI CONTENUTI" fosse più visibile: non deve necessariamente campeggiare in ogni pagina all’interno di un campo evidenziato, ma deve essere immediatamente individuabile dal lettore.
Pongo una domanda: è documentato che la stragrande maggioranza dei lettori di wikipedia abbia letto la pagina del disclaimer e sia quindi cosciente dell' “attendibilità presunta” di quello che legge?
Il lettore difficilmente arriva a leggere la pagina fino in fondo e ancora più difficilmente va a leggersi i disclaimer.
Dal momento che Wikipedia è sempre più utilizzata e chi la consulta lo fa sulla fiducia, il lettore deve essere allertato in modo più concreto."

Questa ultima frase è dimostrata dalle statistiche di accesso ai siti wikipediani e dal rank che le pagine di wikipedia su moltissimi argomenti hanno nei motori di ricerca: chiedendo a Google una qualsivoglia informazioni, si ottengono spesso tra i primi posti delle pagine provenienti dall'enciclopedia libera.
Continuando nella discussione...:

"1) non riconosco il prestigio di wikipedia, ma la sua popolarità. So che è molto utilizzata, molto citata (anche perchè è l'unica fonte omnicomprensiva di informazioni - non conoscenza - accessibile pubblicamente su Internet), so che appare spesso tra i primi posti dei risultati di una ricerca via Google. Essere popolari non implica essere prestigiosi.

2) Sia che un mezzo di informazione sia popolare, sia che non lo sia, ha il dovere di rendere evidenti le proprie caratteristiche.
In wikipedia non è scritto ovunque che non vengono date garanzie. Eccettuate le pagine di argomento medico che tu menzioni [mi riferivo a una risposta di Frida, nda], si trova citazione solo nel disclaimer che, mi ripeto, è una voce raggiungibile attraverso un link scritto con un carattere molto piccolo in fondopagina.
E' documentato, da chi fa studi sulla user experience, che chi legge il disclaimer è soltanto un'infinitesima parte dei fruitori di un sito web.
Quindi, a mio parere, è forse trasparente che non ci siano forme di garanzie, ma non è evidente, il che è molto diverso: è ancora più diverso dal pubblicare un saggio e dal mettere un'appendice finale (menzionata anche nell'indice) che riporti la scritta "Attenzione: tutto quello che avete letto in questo libro è falso". Ci sono molte più probabilità che venga letta quella pagina finale che non il disclaimer di wikipedia.

Colui che consulta la wikipedia ha il diritto di sapere il grado di attendibilità dela fonte.
Ad esempio, nella sezione riguardante il profilo dei contributori di wikipedia, a me sembra abbastanza di scarso interesse conoscere gli hobby di un autore, di leggere il suo scarno profilo scritto in modo ironico, di conoscere le sue aspirazioni, di sapere che frasi si è scambiato con gli altri wikipediani (ho girato molti profili per analizzare l'autorevolezza degli autori).
Questi sono elementi che fanno molto "comunità", ma che non fanno altrettanta "autorevolezza".
Io vorrei conoscere le sue capacità, le sue competenze, che cosa lo titola a scrivere di un determinato argomento.
Ecco a cosa dovrebbe servire il collegio degli esaminatori, che citavo nel mio precedente commento: un collegio di persone in grado di giudicare se un potenziale autore ha le competenze per scrivere un articolo di un determinato argomento.
Si badi bene, è un concetto un po' diverso da quello che stava alla base dell'ingessata nupedia: là c'era un collegio piuttosto limitato di espertoni che si confrontavano sui contenuti.
Qui si tratta di avere degli esperti che giudichino autorevolezza e capacità dei redattori."
Vi prego di notare che i due paragrafi non sono da considerarsi auto-citazioni, ma sono stati posti per accelerare la scrittura di questo post e per facilitarne la lettura, obiettivo che dei semplici rimandi ai commenti non sarebbero riusciti ad ottenere.
Ebbene, qui si tratta di considerare l'aspetto della protezione dell'informazione: purtroppo, come mi ha fatto notare Frieda in uno dei suoi commenti, Wikipedia sta diventando autorevole.
Questa qualità, però, non la sta guadagnando per la qualità dell'informazione, ma per l'approccio di fondo (la libertà di compilazione) che attira molti volontari e per l'empatia verso il progetto e i suoi contributori da parte di chi utilizza Internet.

Da questi due elementi consegue l'alto rank conferito da Google alle pagine di wikipedia che, all'interno di un circolo che per alcuni è virtuoso e per altri è vizioso, diventano punti di riferimento perchè sono prime in classifica e di conseguenza riceveranno sempre più collegamenti.

Perché parlavo prima di protezione delle informazioni? Perché ogni tipo di informazione, che sia privata o pubblica, deve essere protetta dalla manipolazione. Ci stiamo dirigendo verso un mondo dove l'informazione risiederà sempre meno nelle nostre teste e sempre di più nel nostro intorno, dove sarà distribuita e facilmente accessibile. Quello che dovremo saper fare è trovare l'informazione "buona", ovvero quella giusta al momento giusto, attendibile e certificata: dovremo sviluppare capacità prima di ricerca e poi di discriminazione, perchè le sorgenti informative saranno sempre di più, e sarà sempre più difficile etichettarle con un bollino di "approvato".
L'informazione dovrà essere quindi salvaguardata, ed è facile comprendere come uno strumento che diventa autorevole solo per la sua popolarità rischia di diventare uno strumento di riferimento potenzialmente fallace e comunque non affidabile.

"Chi controlla il passato controlla il futuro. Chi controlla il presente controlla il passato."
O'Brien, 1984 di George Orwell


7.3.07

[sicurezza] La dimensione economica della sicurezza delle informazioni (parte 2^): il Net Present Value

Leggi la prima parte

Molte volte mi è stato chiesto di ragionare in termini finanziari anche per giustificare un progetto inerente la sicurezza delle informazioni: sebbene si tratti di misure indispensabili per l'azienda dei giorni nostri, devono comunque essere anche frutto di decisioni ponderate economicamente.
Dopo aver introdotto l'argomento nella prima parte, oggi approfondiremo come determinare il valore reale di un investimento nel tempo, sottraendo il totale di tutti i risparmi stimati e scontati ai costi associati all'investimento nel tempo, anch'essi scontati. Il risultato è l’NPV (Net Present Value, o in italiano, il Valore Attuale Netto).

Per calcolarlo si inizia stimando la vita utile dell’acquisto, calcolando i relativi costi e benefici e considerando la spesa iniziale. In ultimo, si scontano costi e benefici futuri per tutta la durata dell’intervallo di tempo dell'investimento.
Supponiamo che una società debba implementare una nuova procedura di sicurezza e prevede che i risparmi che deriveranno dalla extra-sicurezza siano gli stessi per diverse opzioni (diversi tipi di firewall o di antivirus, ad esempio). In questo caso avrà senso scegliere la configurazione meno coctosa.
Nelle aziende, per confrontare il costo di diverse opzioni, è necessario tener conto del valore attuale dei costi: consideriamo due opzioni con un costo totale di 100000 € in termini assoluti in due anni. Supponiamo che la prima opzione costi 75000 € il primo anno (dovuto a una spesa di capitale consistente) e 25000 alla fine del secondo anno.
L’opzione B, invece avrà dei flussi di cassa pari a 50000 € al termine di ciascun anno.
Utilizziamo la formula canonica per il calcolo del NPV:

NPV = FC1/(1+i)1 + FC2/(1+i)2 + FC3/(1+i)3 + … FCn/(1+i)n
Dove:
FC = flusso di cassa
i = tasso d'interesse di sconto
n = numero dei periodi

Considerando un tasso di sconto del 7%, l’opzione A costerà € 91.929,43, mentre l’opzione B € 90.400,91. L’opzione A è quindi più costosa considerando il valore del denaro del tempo.

Se supponiamo che il NPV dei benefici sia di 95000 €, notiamo che l’opzione B è più vantaggiosa poiché ha un NPV positivo di 4599,09 e l’opzione A di 3070,57
Questo dimostra che considerare il valore nel tempo del denaro, nella fase di confronto delle alternative, è più indicato che calcolare solo i benefici. E’ possibile infatti che un investimento risulti peggiore utilizzando l’NPV come metrica e migliore utilizzando il ROI, sebbene possa essere vero anche il contrario.
Ovviamente anzichè considerare il rendimento dell’investimento nel caso dei sistemi di sicurezza si parlerà di mancate perdite: queste dovranno essere stimate sulla base delle best practice che la letteratura ci propone.

I costi diretti asssociati alla prevenzione e al recupero dai crimini informatici(sistemi di analisi delle intrusioni, minor produttività, lavoro straordinario dello staff IT, etc), sono diventati parte dei processi aziendali, e raramente intaccano le revenues di un’azienda o il prezzo delle sue azioni.
Il vero danno finanziario dei crimini informatici risiede nella violazioni della riservatezza: queste vulnerabilità possono comportare una migrazione dei clienti, diminuire le revenue, gli investitori e gli analisti possono considerare di abbassare le stime del valore dell’azione della società.
E’ un costo indiretto e la società paga solo quando i clienti percepiscono che la fiducia che ponevano nei confronti dell'azienda è stata disattesa.
L’opinione pubblica, nonostante sia guidata dal modo in cui vengono presentate le notizie e quindi dai giornalisti, sta cominciando a comprendere la differenza tra un defacement del sito di una banca e una fuoriuscita di informazioni, ma sebbene il primo tipo di attacco sia di pericolosità limitata, perchè riguarda solo la home page di un'azienda, può comportare delle ripercussioni sull'immagine della stessa, perchè viene considerato irriducibilmente come una falla nella sicurezza aziendale.
La modifica della home page del proprio sito non è sicuramente gradevole, ma la fuoriuscita di informazioni può avere ripercussioni sicuramente drammatiche, sebbene sia un'attività piuttosto ardua per un attaccante esterno senza la complicità di un interno alla struttura aziendale (se ne è parlato in questo articolo).

5.3.07

[sicurezza] La dimensione economica della sicurezza delle informazioni (parte I^)

E' l'aspetto economico, non tecnologico, che determina quali tecnologie di sicurezza vengono utilizzate.

La frase introduttiva, di uno dei "pensatori" della sicurezza informatica, è al contempo spiazzante e illuminante: l'implementazione e lo sviluppo di una tecnologia di sicurezza sono sostenute soprattutto da elementi economici imprescindibili.
Collocando il tema all'interno di un'azienda, la dimensione economica della sicurezza delle informazioni aziendali è nota soprattutto al Direttore Finanziario, il quale, come in un meta-supermercato, applica una targhetta con il costo ad ogni elemento dell'azienda.
Con questa metafora non voglio sminuirne competenze e professionalità, ma anzi cercare di mostrare che un’azienda profittevole deve saper quantificare ogni sua componente e deve fare in modo che ogni responsabile abbia ben chiaro quanto impatti il suo dipartimento nei profitti e nelle perdite dell’azienda.
Ho parlato di sicurezza delle informazioni e non solo di sicurezza dei sistemi informativi, poiché l’informazione è uno degli asset aziendali più importanti e la sua integrità non passa soltanto attraverso la tecnologia, ma anche attraverso ben definite procedure aziendali e una consapevolezza da parte di chiunque tratti informazioni sensibili (vedasi precedente articolo).
Le tecnologie per la sicurezza delle informazioni hanno un costo, come pure i salari dei professionisti IT in grado di amministrarle; sfortunatamente, però, sempre poca attenzione è stata dedicata al fattore economico e alle prassi finanziarie applicabili all'argomento.
Per comprendere in che ambiente ci stiamo addentrando comincerò a parlare di perdite finanziarie: il Computer Security Insitute, in collaborazione con l'FBI, conduce annualmente una ricerca sui crimini informatici nelle aziende: nel 2006 è risultato che la perdita totale delle 313 aziende che hanno voluto fornire questa informazione è stata di 52.494.290 $.

Perdite causate da Computer Security Incidents (in $)

Questa cifra, sebbene molto ragguardevole, non fornisce un quadro esaustivo dei costi indotti dall'Information Security, non solo perché solamente solo 313 delle più di 600 società hanno voluto o potuto fornire una quantificazione economica del danno, ma anche perché ci sono voci, come quella riguardante il furto o la perdita di informazioni sensibili, che non sempre vengono dichiarate, a causa dei potenziali danni d’immagine dell’azienda (lo ammette più del 50% degli intervistati).
Un altro dato significativo riguarda la percentuale di budget allocata per spese di security: il 47% delle aziende intervistate alloca per la sicurezza meno del 2% del budget IT, mentre un 12% non è in grado di quantificarne l'entità.


Percentuale del budget IT allocata per la sicurezza

Questi dati di fatto confermano la sensazione consolidata che i manager IT e della sicurezza abbiano dei grossi problemi nel giustificare le spese inerenti la sicurezza delle informazioni.
A volte vengono utilizzati metodi tipicamente finanziari, come il calcolo del ROI, ma i risultati non sono sempre confortanti: ad esempio, chi è in grado di quantificare il ritorno sugli investimenti di un antivirus?
Il CFO o direttore finanziario utilizza anche altre figure, come l’NPV (net present value) e l’IRR (internal rate of return) che meglio si confanno a giustificare una richiesta di fondi nella ripartizione periodica del budget.
Ma come chiedere a una figura preminentemente tecnica come il manager IT di vestire per un momento i panni di un ragioniere?
Un paio di esempi possono aiutarci a introdurre l'argomento: il security manager di una grande azienda americana (che ha preferito non divulgare il proprio nome) ha sviluppato un programma per misurare i ritorni del sistema anti-intrusione della società, utilizzando anche una lista di costi che si sarebbero dovuti sostenere in caso i tentativi individuati dal sistema fossero diventati dei problemi veri e propri.
I responsabili della sicurezza di Oracle hanno fatto lo stesso quando si sono resi conto che il precedente sistema di Intrusion Detection generava dal 60 al 70% di falsi positivi. Uno dei sistemi in test ne generava molti meno e, quindi, è stato calcolato che il processo di sostituzione (servizi professionali, licenza, costi indotti e di downtime, successivo mantenimento) sarebbe costata molto meno del mantenimento del sistema precedente.
Il tema della dimensione economica della sicurezza si fonda su un paradosso che affascina gli economisti e demoralizza i manager IT: più un investimento in sicurezza è adeguato meno visibili e misurabili sono i suoi risultati.
Il calcolo del ROI non può essere applicato alla perfezione perché spesso il ritorno sugli investimenti in sicurezza è intangibile: è più opportuno quindi focalizzarsi sulle aspettative di perdita.
Un altro svantaggio del ROI è che non tiene conto del valore del denaro nel tempo: il denaro speso oggi vale più del denaro che si riceverà più avanti, per la perdita indotta dal mancato investimento di quella quantità di denaro.
Ci viene qui in aiuto il Net Present Value, parametro più utile per considerare il valore di un investimento nel tempo: l'NPV è il risultato della sotrazione tra costi associati all’investimento nel tempo e totale scontato dei risparmi attesi.
L'NPV confronta il valore di un euro oggi contro il valore dello stesso euro nel futuro, considerando l'inflazione e il ritorno: normalmente, se l'NPV di un progetto è positivo, ci sono più probabilità che il progetto venga accettato; in caso contrario il progetto può essere rifiutato perchè il cash flow risulta negativo.

Fine della prima parte: nella prossima cercherò di calarmi nei panni di un manager IT (cosa che peraltro ho già fatto nella realtà) e tratterò più in particolare e con degli esempi concreti il concetto di NPV.

P.S.: un ringraziamento al Direttore Finanziario della società per cui ho lavorato fino al 2003, per avermi introdotto all'argomento e per essere stato così esigente sugli aspetti economici dei progetti