22.6.07

Legge 196/03: il governo italiano vuole esonerare le PMI

Leggo dal blog di Gigi tagliapietra, presidente del Clusit, che nella seduta 164 del 5/6/2007, la Camera dei Deputati ha votato, a larghissima maggioranza, un progetto di legge che prevede l'esonero per le imprese fino a 15 addetti dall'osservanza delle misure minime di sicurezza per il trattamento dei dati previsti negli art. 33-35 della legge 196/03.
Il Clusit chiede la sospensione del progetto di Legge e l'introduzione di iniziative mirate a facilitare e supportare le PMI in questo compito.
Leggi il comunicato stampa.
Notoriamente il sistema produttivo italiano è caratterizzato dalla prevalenza di micro e piccole imprese: sono oltre 4 milioni quelle con meno di 10 addetti. Esse rappresentano il 95 per cento del totale ed occupano il 47 per cento degli addetti. (ISTAT, "Struttura e dimensione delle imprese", Ottobre 2006).
Pensate alle imprese che si occupano di e-commerce, o che gestiscono dati sensibili in genere: forse che la dimensione dell'azienda abbia qualche influenza sull'importanza delle informazioni che gestisce?
La risultante è uno svilimento della figura della piccola impresa, che si può comportare in modo diverso dalle sorelle maggiori.
Sono sconcertato che il governo pensi che la salvaguardia delle attività di quello che è la componente principale del tessuto produttivo italiano abbia un'importanza relativa.
Si ricade sempre nella sensazione diffusa (ed errata!) che tutto quanto attiene alla protezione delle informazioni sia da considerarsi un mero costo, anziche' una garanzia per il futuro dell'impresa.

21.6.07

Dal CIO al CBT

Interessanti i risultati dello studio annuale condotto da NetConsulting sul ruolo dei CIO nelle aziende private italiane: il dato più significativo che emerge è la ricerca di un allineamento tra gli obiettivi di business e quelli IT.
La figura del CIO si sta infatti orientando verso un approccio “business technology”, (leggi anche Non più Information Technology ma Business Technology)
approccio che sottolinea la volontà di contribuire, attraverso l’innovazione tecnologica, alla crescita del business aziendale.
Leggete l'articolo su i-dome.

20.6.07

Combattere le minacce interne: una strada a 3 corsie

Pochi giorni fa, a un seminario, incontrai uno dei responsabili della sicurezza di una banca: parlando della minaccia interna mi disse che l'azienda aveva già implementato filtri e sistemi di monitoraggio di tutto il traffico in entrata e in uscita attraverso le email, nonché sistemi che eliminavano i pericoli della web mail e dell'Instant Messaging.
C'era ancora qualcos'altro che, a mio parere, doveva essere fatto?
La risposta inizia con "Sicuramente sì", e continua così...

Negli ultimi 5 anni molte aziende hanno investito in modo significativo per proteggere i propri sistemi email da virus, spam, spyware, attacchi sulla porta SMTP (ivi inclusi i Denial-of-Service e i directory harvest attack).

Esistono oggi nuove tecnologie di filtraggio per analizzare il contenuto delle comunicazioni verso l'esterno: in alcuni casi le iniziative delle aziende prendono la mossa dalle necessità di adeguamento alle normative (il Codice in materia di protezione dei dati personali in Italia - DL 196/3) o la Legge Federale del 19 giugno 1992 sulla protezione dei dati (LPD) in Svizzera, e altre leggi similari che sono state implementatenella maggior parte dei paesi europei seguendo le direttive UE).
In altri casi ancora, le aziende che fondano la propria attività sulla proprietà intellettuale

Sfortunatamente, la maggior parte delle soluzioni di e-mail scan utilizzano una tecnologia obsoleta per l'analisi dei contenuti, come il riconoscimento delle parole chiave (keyword) o il matching di regular-expression, trovando quindi solo dati in formato fisso come i numeri di carta di credito o parole chiave come "documento confidenziale" all'interno del messaggio.

E' comprensibile che questo tipo di soluzioni rappresenti il "meglio-che-niente", poiché sono ancora molte le aziende dove i dati sfuggono senza il minimo controllo e senza che nessuno se ne renda conto.

Spesso queste soluzioni non possono gestire i contenuti più critici e alcune non riescono neppure ad aprire i file allegati che potrebbero contenere le informazioni.

Il modo migliore, quindi, per proteggere le loro comunicazioni dalle minacce interne (sia che si tratti di atti dolosi o semplici errori umani) deve seguire tre strade parallele:

  1. scoprire e identificare tutti i contenuti che possono rappresentare un rischio quando oltrepassano il perimetro aziendale. Tutti i file contenenti informazioni personali o proprietà intellettuale che possono essere localizzati in dischi condivisi, sui laptop, sulle postazioni aziendali, o in qualsiasi database o archivio dati. Una volta individuato, il dato deve essere firmato e registrato per evitare che possa essere divulgato all'esterno via mail o con altri tipi di comunicazioni, come IM, FTP, IRC ecc. I prodotti di gestione delle email non sono fatti per proteggere i cosiddetti data-at-rest (i dati a riposo in qualche punto della rete);
  2. implementare tecnologie di analisi del contenuto che vadano oltre il semplice esame dei formati fissi, che cerchino pattern di numeri e lettere. Esistono soluzioni in grado di guardare all'interno degli allegati, individuare la presenza di lingue straniere, ricercare identificatori univoci che possano rappresentare un rischio, o ancora fare un match con contenuti preregistrati. Le tecnologie di analisi dei contenuti devono anche essere multicanale, in grado cioè di individuare oltre ai contenuti delle email, anche l'uso delle webmail, dell'IM, ecc;
  3. comprendere che la email non è il solo punto di rischio. Il motivo per cui è fondamentale il monitoraggio multicanale è dovuto al fatto che, sebbene molte aziende implementino policy e sottopongono le proprie persone a un adeguato training, sebbene blocchino l'installazione di software non aziendale sui PC e impediscano l'accesso a porte USB o CD, esiste sempre una possibilità che delle azioni fraudolente possano essere perpetrate.
Come ben ribadiva la scorsa settimana Fulvio berghella di Oasi (che ringrazio per la piacevole presentazione al convegno di Azienda Banca sulla minaccia dall'interno), anche la più divulgata policy sull'uso appropriato degli strumenti aziendali non può nulla se non è affiancata da strumenti per monitorare e assicurare un comportamento corretto.
Il controllo dei dati in uscita è un imperativo per il business attuale, sia che si tratti di proteggere il proprio brand e la propria reputazione, sia che ci si debba adeguare alle normative, o fare in modo che la proprietà intellettuale sia la caratteristica distintiva nei confronti dei concorrenti.
Per proteggersi dalle minacce interne e proteggere il proprio patrimonio, le aziende hanno bisogno di strumenti che individuino il dato quando ancora non è stato spostato, ispezionino i contenuti in movimento e considerino il rischio al di là del semplice canale email.
Soltanto con un approccio che segue tre vie parallele la protezione delle informazioni potrà limitare i rischi ofrendo ad aziende pubbliche e private la sicurezza necessaria.

18.6.07

Fuga di informazioni via P2P: da Pfizer in poi

Metti una sposina che, a casa la sera, sola, quando suo marito è fuori a giocare a poker con gli amici, decide di ascoltarsi della buona musica.
Metti che voglia ascoltare proprio l'ultimo CD degli Artic Monkeys, di cui ha sentito un pezzo di sfuggita l'altro giorno in radio e che tanto gli è piaciuto.
Metti che il negozio di dischi sia chiuso e che la sposina non abbia altro a disposizione che il PC del maritino, di cui conosce la password di accesso.
Metti, infine, che sul notebook sia installato Kazaa...
Risultato: la sposina mette a disposizione della rete le informazioni di 17.000 tra impiegati attuali e passati del gigante farmaceutico Pfizer, dati contenenti informazioni sensibili come il Social Security Number associato al nome (leggete l'articolo su The Register per saperne di più).
Dimenticavo: il marito, come è lecito pensare, lavora alla Pfizer.

Risultato per la Pfizer: un'offerta ai dipendenti interessati di un servizio di monitoraggio del credito per un anno.

Cosa possiamo trarre da tutto questo?

Prima di tutto che non dovremmo lasciare le mogli sole a casa la sera, onde evitare accadimenti oltremodo spiacevoli.
Ma ancora più importante è la necessità di una serie di regole che le aziende dovrebbero implementare: innanzitutto di sensibilizzazione e di proceduralizzazione che si estrinseca nel comunicare che alcuni strumenti non possono essere installati dall'azienda e non devono essere installati dai dipendenti.
Dal momento che mettere solo un avviso non basta come misura contro un comportamento indesiderato, sarà necessario impedire questo tipo di comportamenti, e quindi installare appositi sistemi che impediscano l'installazione di software non desiderato oppure che ne consentano il monitoraggio.
Spesso nelle aziende non viene compreso che la maggior sicurezza è un fattore abilitante al proprio business: vengono implementate procedure utili solo qualora la normativa lo richieda.
A nessun ente, poi, viene demandato l'onere del controllo, ma solo nel caso di un procedimento giudiziario sarà possibile scoprire se l'azienda aveva ottemperato agli obblighi normativi (in Italia, la 196/03 impone alle aziende di proteggere i dati sensibili e di adeguare la propria sicurezza con il progredire delle minacce, implementando quindi nuovi sistemi e procedure di controllo).
Gli USA e il Regno Unito hanno fatto un passo in più: impongono alle aziende che hanno subito perdite di dati sensibili di avvisare le potenziali vittime e di darne quindi pubblica notizia.
Certo è che, nemmeno in questo caso, si avrà la sicurezza che l'azienda ottemperi all'imposizione normativa, ma le sanzioni, nel caso che la notizia arrivasse all'autorità giuridica, sono ovviamente severe.
Credo che alla fine il cerchio si debba chiudere sull'azienda che deve raggiungere la consapevolezza del grado di rischio che per sé stessa può avere una perdita di dati: reputazione, danni finanziari, procedimenti giuridici, multe, sono le potenziali conseguenze a cui può andare incontro.
Ho messo per prima la reputazione, proprio perché è quella che ha l'impatto maggiore: sia che si tratti di una banca, sia che si parli di un negozio online, la fiducia che l'utente ha nell'azienda che perde i suoi dati può calare vertiginosamente a fronte di una fuga di informazioni.

5.6.07

L'IT è una minaccia alla sicurezza aziendale!

Perché vi sorprende che molti di noi ficchino il naso nei vostri file; voi non fareste altrettanto se foste in grado di avere accesso a tutto ciò che è a vostra disposizione?
Un amministratore IT intervistato
Sta facendo discutere lo studio condotto da Cyber-Ark Software, un'azienda americana specializzata nella protezione delle informazioni, che rivela che un terzo degli impiegati nell'IT ficca il naso nei sistemi dell'azienda per venire in possesso di informazioni confidenziali, come file privati, dati sugli emolumenti, email personali, curriculum vitae.
Lo studio, che secondo Cyber-Ark rivela "lo scandalo nascosto dei dipendenti IT ficcanaso" non fa che confermare quelle sentimento diffuso che, a bassa voce, si sparge in tutte le aziende: il dipartimento IT ha il potere dell'informazione, non solo perché ne gestisce l'esistenza, ma soprattutto perché ci può guardare dentro e ne può disporre a piacimento.
Quante volte mi sono sentito appellare da colleghi non-tecnici come parte della schiera di coloro che detenevano il possesso dei dati e con questi dati poteva fare ciò che voleva. E quante volte ho dovuto appellarmi alla deontologia professionale per "difendere" il mio dipartimento dalle insinuazioni.
Purtroppo la deontologia non è patrimonio di tutti e parallelemente è difficile avere un monitoraggio delle attività di ognuno, se non mediante appositi strumenti e dispositivi normativi aziendali.
In ogni caso il problema dei superpoteri dell'IT esiste (non per niente in Unix l'amministratore di sistema è chiamato superuser), ed è confermato dai risultati dello studio in oggetto che, francamente, risultano oltremodo sconfortanti.
Esaminiamoli brevemente:

  • più di un terzo degli intervistati utilizza gli accessi privilegiati per ficcare il naso qua e là nei sistemi aziendali;
  • più di un terzo degli intervistati, una volta cambiato lavoro, è stato in grado di accedere ai sistemi dell'azienda che avevano lasciato;
  • il 25% ha affermato che era al corrente che un ex-collega fosse ancora in grado di collegarsi alla rete nonostante avesse lasciato l'azienda;
  • più del 50% delle persone intervistate conservano le password su Post-it, nonostante si tratti di amministratori di sistemi informativi, persone, cioè, con una conoscenza dei rischi indotti da questo tipo di gestione. Questa è però la conferma che anche i sistemisti sono, prima di tutto, uomini;
  • le password di amministratore vengono cambiate raramente nel 20% delle aziende, mentre il 7% non le cambia mai.
  • l'8% dei rispondenti non ha mai cambiato le password di default assegnate dal costruttore sui sistemi critici (e sappiamo che il primo tentativo di intrusione in un sistema viene condotto proprio utilizzando le password di default, peraltro facilmente disponibili anche su Internet);
  • il 57% delle aziende conserva le password in formato cartaceo, il 18% in un foglio excel e l'82% dei sistemisti le conserva nella propria testa, introducendo un'ulteriore criticità di sicurezza e impattando potenzialmente sulla produttività aziendale.
  • il 15% delle aziende ha avuto atti di sabotaggio dall'interno.
Questo studio delinea due tipi di minacce: uno derivato dalla possibilità di disporre del patrimonio informativo aziendale, l'altro indotto dalla incapacità di organizzare la protezione dei propri sistemi, entrambi palesi sintomi di una scarsa professionalità.
Capiamo bene che metodologie come l'ITIL debbano prendere sempre più piede nelle aziende, anche nelle medie e piccole, ma è comunque arduo affrontare il problema dal punto di vista della gestione del personale. Come garantire l'accesso all'informazione senza che essa diventi aperta a tutti o addirittura un bersaglio per un abuso?
Come accennavo sopra, è un problema che va affrontato dal versante normativo aziendale e da quello degli strumenti di verifica di accessi e utilizzi non propriamente professionali: nessuno dei due può prescindere dall'altro.

1.6.07

Sicurezza senza compromessi o sicurezza compromessa? A voi la scelta

Secondo voi qual è la minaccia più grave di perdita di dati o di fuga di informazioni?
La maggior parte di noi istintivamente è portata a pensare agli hacker che attraverso Internet, e con metodologie raffinatissime penetrano all'interno delle reti aziendali venendo in possesso dei dati più critici.
In realtà, chiunque volesse impadronirsi dei dati di un'azienda vorrebbe trovarvicisi all'interno: le cose sono molto più semplici quando hai un accesso con credenziali regolari a una parte dei dati di un'azienda.
Sapere come e quando i dipendenti accedono alle informazioni aziendali significa avere un'infrastruttura di monitoraggio di ciò che avviene dalla postazione del dipendente (in questo ambito denominata endpoint) ai sistemi che erogano i dati.
Il controllo degli endpoint gioca un ruolo chiave nella prevenzione e nella mitigazione dei rischi correlati alla minaccia interna: le istituzioni finanziarie sono più sensibilizzate di altre aziende, soprattutto per merito delle normative internazionali sulla riduzione del rischio, mentre i settori farmaceutico e dell'alta tecnologia, dove la concorrenza è più serrata e il valore di un dato progettuale o di ricerca è proporzionalmente più elevato, tengono la guardia alta già da tempo.
La serie dei report CSI/FBI degli ultimi anni ha evidenziato che la maggior parte degli attacchi proviene dall'interno delle aziende: è da notare che alcuni endpoint sono già presidiati a dovere, sebbene, diciamocelo chiaramente, le maglie del controllo sono abbastanza larghe per permettere ai dipendenti di poter svolgere il loro lavoro.
Questo fattore deriva dalla diversa impostazione che l'ambito finanziario ha nei confronti della sicurezza, rispetto ad altri ambiti come quelli citati della farmaceutica o della tecnologia.
In questi ambiti esiste una predisposizione alla sicurezza che non solo è basata su una solida piattaforma di policy aziendali, ma è soprattutto patrimonio comune e condiviso da tutti. Sto parlando di un approccio che è ormai presente da qualche decina di anni in molte aziende e che viene instillato nei dipendenti contestualmente all'assunzione.
E' l'approccio della "sicurezza senza compromessi", che si contrappone a quello che ho incontrato in molte aziende, che chiamerò, per contrasto, della "sicurezza compromessa".
Cosa prevede quest'ultimo? Prevede che, per evitare le lagnanze dei dipendenti che si vedono cambiare una piccola componente della routine lavorativa a seguito dell'implementazione di nuove procedure, si pongano dei limiti ai controlli, si aprano le maglie dei controlli, si introducano delle eccezioni che, dal momento che non vengono documentate, diventano poi un incubo da gestire.
E' una consuetudine, statene certi. E questo genere di situazioni da un'idea di quanto, in quelle aziende, si dia importanza alla preservazione del capitale informativo.
A questo punto cosa possiamo fare?
Possiamo gestire le eccezioni (nessuna legge è perfetta) ma dobbiamo affermare con solidità che una volta che le policy sono state emanate, le eccezioni devono essere vagliate da un comitato apposito, approvate e documentate.
Inoltre, l'approccio più corretto per individuare una frode interna non si limita solo a osservare ciò che i dipendenti aprono e guardano nei documenti, ma anche il contesto di cosa stanno facendo con quelle informazioni: esistono applicazioni che si occupano di Fraud Intelligence (o Information leakage intelligence), in grado di applicare regole di controllo del contesto alle attività dell'utente interno.
Ogni organizzazione deve avere un set di policy aziendali (altrimenti dette acceptable use policy) che devono essere sostenute, rinforzate, "inculcate" nei dipendenti, in modo che sappiano con certezza dove possono andare e dove no.
Consideriamo un esempio di endpoint poco monitorati: attraverso le reti wireless all'esterno dell'istituto è possibile accedere a quegli endpoint che sono stati lasciati accesi, o ai laptop che sono stati portati fuori dall'azienda. Questo costituisce una vera e propria apertura verso la rete o i dati aziendali, senza che nessuno se ne possa accorgere.
E cosa dire delle cartelle condivise? Molti grandi progetti conservano i dati in cartelle condivise, per facilitare il flusso informativo. Ma una volta che il flusso è partito, diventa difficile da fermare. Può capitare che in una cartella condivisa vadano a finire informazioni sensibili o classificate, semplicemente a causa di un errore umano, senza alcuna intenzione.
Una volta che il documento è inserito nella cartella, diventa disponibile a chiunque.
Cosa fare per l'audit?
Le aziende devono effettuare due tipi di audit su base regolare: sua sulle loro reti, per individuare gli endpoint nascosti e altre vulnerabilità correlate, sia nei confronti delle persone che lavorano in azienda, per accertarsi che le policy di sicurezza siano state correttamente comprese e messe in pratica da tutta la struttura.
Ovviamente a monte di questo ci deve essere un processo educativo e di sensibilizzazione di tutto lo staff: e non pensate che l'amministratore delegato e il direttore generale si possano tirare indietro.