29.5.07

Quando il controllo interno non è efficiente...

Il recente studio "The Financial Management 2007 study", condotto da ACL Services Ltd. coinvolgendo 60 manager di aziende inglesi e tedesche, ha mostrato come la complessità delle attività di business moderne possano creare ambienti confusi dove attività fraudolenti e non adeguate alle normative passano tranquillamente inosservate.

Lo studio ha intervistato 60 direttori finanziari e dell'audit scoprendo che che il 77% circa degli intervistati erano d'accordo sull'affermare che una visione univoca di tutti i dati finanziari rilevanti è vitale per andare incontro alle esigenze della corporate governance moderna, sebbene meno del 25% delle aziende avesse un quadro completo della situazione, rendendo così molte delle aziende vulnerabili a inefficienze e frodi.
Nonostante questo, l'81% ha ancora fiducia nella possibilità di poter soddisfare le richieste di compliance e gli obblighi della governance.
L'84% dei manager crede che il monitoraggio continuo del controllo interno dei processi chiave di business possa assicurare una maggior integrità operativa e finanziaria, ma solo il 43% ha potuto implementare queste tecniche o è in procinto di farlo.
Il 57% attualmente effettua audit finanziari sia trimestralmente che annualmente, e solo il 27% afferma di voler eseguire audit più frequentemente (quotidianamente o settimanalmente). Questo nonostante la consapevolezza dei benefici di una pronta reazione quando il controllo interno non lavora come dovrebbe.

Per quanto riguarda attività fuori dalla norma, il 42% delle aziende non sa per quanto tempo una transazione sospetta, ovvero che ricade fuori dai parametri di controllo, possa passare inosservata, e più del 30% crede che un'anomalia possa sfuggire alle maglie del controllo per più di sei mesi.

Di certo questi risultati mostrano l'enorme complessità della gestione dei dati finanziari nelle aziende: sebbene molti addetti ai lavori accolgano la sfida, molti altri sembrano incapaci di implementare i cambiamenti organizzativi necessari, nonostante i palesi benefici per il business.

La maggior parte dei manager intervistati crede di avere implementato processi efficienti, ma non è oggi in grado di monitorare continuativamente le transazioni finanziarie, aprendo così le porte ad attività fraudolente e inefficienze organizzative, fattori che possono impattare seriamente i risultati finali di un'azienda.

28.5.07

Quanto funziona il vostro antivirus?

I virus tentano di sabotare il nostro lavoro in modi sempre più raffinati: da tempo abbiamo installato un antivirus a bordo del nostro PC che (pensiamo) sia in grado di preservarci da ogni problema.
Credo che molti di voi avranno constatato che ciò non è sempre vero: personalmente, oltre all'antivirus installato (non più di uno alla volta) e oltre a mantenere un approccio "sicuro" verso la navigazione (evitando cioè siti "sospetti"), utilizzo altri tool, come ad esempio Hijack-this, per identificare qualche infezione che potrebbe essere sfuggita alle maglie di controllo dell'antivirus.
Spesso, però, mi sono chiesto quanto fosse efficace il mio AV contro le insidie del "mondo esterno".
Ed ecco che ci viene in aiuto il gruppo AV-Test.org, un progetto indipendente della Otto-von-Guericke-University Magdeburg (Germania) che, in cooperazione con AV-Test GmbH, mette sotto test, a intervalli regolari, software anti-virus, anti-spyware e personal firewall.
Lo scopo è quello di verificare le capacità di individuazione dei virus, configurando i prodotti con le opzioni di detection più aggrssive.
Nell'ultimo test, segnalato da PC Magazine, si prevedeva di testare le capacità di 29 prodotti con versioni aggiornate al 18 maggio 2007 verso 606,901 problemi diversi, tra cui:

* 68,864 backdoor
* 407,487 Trojan Horse
* 47,891 bots (zombies)
* 82,659 worm

Beh, non c'è che dare ora un'occhiata alla classifica per capire se abbiamo fatto la scelta giusta:


ProgrammaProblemi individuati% di successo
WebWasher605,84699.83%
AVK 2007604,25599.56%
AntiVir603,40899.42%
F-Secure594,33397.93%
Symantec593,35597.77%
Kaspersky592,60697.64%
Fortinet589,02897.06%
Avast!584,57496.32%
AVG583,54196.15%
Rising582,77296.02%
BitDefender580,70095.68%
Norman574,47694.66%
Ikarus561,60792.54%
Panda558,89992.09%
Trend Micro552,10790.97%
Nod32536,04388.32%
McAfee529,68087.28%
Dr Web520,95985.84%
F-Prot517,49185.27%
VBA32498,26482.10%
Sophos496,13581.75%
eSafe495,07481.57%
Microsoft488,94280.56%
Ewido456,66075.24%
VirusBuster441,34172.72%
Command414,03668.22%
ClamAV387,27663.81%
QuickHeal382,55763.03%
eTrust-VET376,98362.12%

17.5.07

Quando la tecnologia non può nulla

Abbiamo un bel lavorare noi che ci occupiamo (anche) di sicurezza: vai da una società, cerchi di sensibilizzarla su determinati argomenti cercando di trasmettere un'immagine della sicurezza che non sia solo una voce dell'elenco dei costi, ma un vero e proprio patrimonio aziendale, una cultura, un approccio che dovrebbe permeare tutta la struttura organizzativa.
Organizzi seminari, corsi, divulghi informazioni e testi, proponi (anche) soluzioni che cerchino di mitigare i rischi relativi al trattamento di informazioni sensibili che ogni azienda tratta all'interno della sua attività.
E' un duro lavoro, poiché le aziende prima di tutto pensano a come fare business, a guadagnare soldi, a discapito di quello che è poi la capacità di preservare i risultati, ovvero il frutto del proprio lavoro, e soprattutto la privacy dei propri clienti.
Vi farò un esempio, anzi, lascerò che l'esempio ve lo faccia YouTube: in questo video potrete vedere dei rappresentanti dei sindacati che, frugando tra la spazzatura delle filiali della banca, scoprono documentazione cartacea contenente dati sensibili dei clienti.

Nome e cognome, indirizzi, Social Security Number (qualcosa come il nostro codice fiscale) associati a numeri di conto corrente, firme, tutti dati a disposizione di chiunque.

Cosa ci può insegnare questo episodio? Che le aziende finanziarie non devono investire solo nella tecnologia, ma si devono assicurare che le prassi (o le policy) aziendali sulla non divulgazione di dati sensibili siano recepite e implementate a tutti i livelli della struttura organizzativa.
E' intuibile capire come l'informazione sia sensibile in tutti i suoi formati e in ogni momento del suo ciclo di vita: dalla creazione, alla diffusione, alla replicazione, alla distruzione.
Purtroppo l'informazione è replicabile e ogni azienda che voglia garantire la propria sicurezza, deve tenerlo ben presente: ogni qualvolta avvenga la duplicazione di un dato sensibile, anche il suo nuovo formato dovrà essere salvaguardato, che si tratti di file o fotocopie cartacee.
E per implementare questo è necessario che ogni singolo impiegato sia consapevole della sua responsabilità nei confronti dell'informazione, dell'azienda e dei clienti.
Non si tratta, quindi, solo di stilare procedure e policy che una volta scritte vanno a finire in un archivio e una volta lette terminano il loro ciclo di vita nel cestino sotto il tavolo, o in quello di Windows: si tratta di creare una cultura della sicurezza e divulgarla nel modo più efficace possibile. Non parlo di comunicazioni interne o di email, ma di corsi, seminari, video, manuali, strumenti che implementano un approccio completo.
Pensate anche solo al danno di immagine che una fuga di informazioni può comportare: se foste a New York, dopo aver visto il video, aprireste un conto alla Chase Bank?

3.5.07

Telefoni criptati: big business per l'Italia

Corriamo il rischio che la telefonia cellulare in Italia non sia più spiabile.
Ce lo dice il New York Times, e tempo fa anche il Corriere della Sera.
I due articoli citati illustrano come il mercato dei telefoni criptati stia esplodendo: ne fanno uso politici, VIPs, ma anche persone meno conosciute che però sentono il bisogno di preservare il contenuto delle informazioni che scambiano al telefono.
L'articolo del NYT ha il pregio di riportare anche alcune statistiche, nonchè interviste ai rappresentanti di aziende italiane che operano nel settore.

La sicurezza è un mercato dei limoni?

Alcuni giorni orsono mi trovai a presentare un prodotto di sicurezza sviluppato da noi e contenente un’implementazione dell’algoritmo AES con chiave a 256 bit.
Tra le varie funzioni del prodotto vi è la possibilità di crittografare un file e, mentre stavo esponendo questa funzione al mio interlocutore (un responsabile dei sistemi informativi) mi sentii chiedere: “Ma chi mi garantisce che effettivamente il programma faccia quello che lei afferma? Davvero implementa una crittografia forte così come lei dice?”
Al momento rimasi sorpreso dalla questione sollevata in quanto mi aspettavo una maggior fiducia poiché l'AES è un algoritmo implementato ormai dalla gran parte delle applicazioni di crittografia. Dopo un rapido calcolo, però, decisi di svelare parte dell’arcano e di mostrare qualche riga di codice, che, fortunatamente, conservavo in una zona criptata dell’hard disk del mio notebook.
Il mio interlocutore rimase ben impressionato dalla mia disponibilità, dalla capacità di spiegazione dell’architettura dell’applicazione e, soprattutto, da quelle poche righe di codice che indicavano che ciò che affermavamo era coerente con ciò che era contenuto nel programma.
Tutto sommato, gli sono grato di avermi dato la possibilità di aumentare la sua fiducia nei confronti della sicurezza dell’applicazione.
Qual è quindi la morale di questa storia?
Nel mercato della sicurezza esistono decine di prodotti diversi che cercano di risolvere lo stesso problema. Il successo di un prodotto sull’altro non sempre è dato dalle sue caratteristiche di efficacia, robustezza, affidabilità, etc.
Ce lo spiega anche Bruce Schneier nel suo articolo “A security market for lemons”, quando parla di Secustick, l’azienda che offriva l’unico prodotto sul mercato con capacità autodistruttive. Secustick è ua chiave USB in grado di crittografare il contenuto e proteggerlo con una password: nel caso si tentasse di accedervi non conoscendola, il contenuto viene distrutto dopo un certo numero di tentativi.
L’azienda affermava inoltre che il prodotto era stato commissionato dai servizi segreti francesi e veniva correntemente utilizzato in campo militare e da alcune banche.
Per sua sfortuna, un gruppo di esperti olandesi di Tweakers.net dimostrò che non esisteva nessuna funzione di autodistruzione, che la protezione via password poteva essere bypassata e che le informazioni non venivano nemmeno criptate. Non so qual è il numero di chiavette USB vendute, ma so per certo che ora il sito dell’azienda olandese è momentaneamente “offline” in attesa di una nuova versione di Secustick.
Perché ci sono così tanti prodotti mediocri nel mercato della sicurezza? Ma come, non lo sapevate? Ebbene, è proprio così. E perché si vendono più i prodotti mediocri dei prodotti buoni?
Ce lo spiega George Akerlof, economista americano, nel suo "The Market for 'Lemons' in cui illustra la sua teoria dell’informazione asimmetrica, in cui il venditore ha più informazioni sul prodotto di quante ne abbia il compratore.
Nell’esempio del mercato delle auto usate, in cui sono presenti auto migliori e auto peggiori (i cosiddetti “limoni” negli USA), il compratore basa il suo acquisto su un’auto usata di qualità media. A questo punto le auto migliori non verrano vendute, per il loro prezzo più alto. La loro rimozione del mercato ridurrà il prezzo medio che i compratori sono disposti a sostenere, e quindi anche le auto buone verranno tolte dal mercato, e così via, finché non rimarranno soltanto le auto di cattiva qualità (i limoni).
In conclusione, in un mercato dove il venditore ha più informazioni del compratore, I prodotti peggiori possono eliminare i migliori.
Il mercato della sicurezza è molto simile: il caso delle chiavette USB sicure descritto sopra è paradigmatico. Di fronte a offerte similari, dove i produttori affermano di utilizzare gli stessi algoritmi di crittografia, chi può farla da padrone? È estremamente arduo basare una decisione di scelta sull’efficacia del prodotto: il compratore dovrebbe avere gli strumenti (tecnologici e di conoscenza) per effettuare della valutazioni comparate, ma si tratta di attività specifiche e onerose, in termini di tempo e denaro da investire.
Quindi, i prodotti di sicurezza molto spesso non vengono scelti perché più sicuri di altri (caratteristiche non comparabili dai compratori, se non sulla carta), ma bensì per le caratteristiche più comparabili, ovvero il prezzo, la facilità di installazione e di configurazione, la semplicità d’utilizzo, la poca invasività nelle attività dell’amministratore della sicurezza. O ancora, la “pervasività” del venditore, la reputazione del produttore o le valutazioni di organismi indipendenti (i cosiddetti “analisti”).