1.6.07

Sicurezza senza compromessi o sicurezza compromessa? A voi la scelta

Secondo voi qual è la minaccia più grave di perdita di dati o di fuga di informazioni?
La maggior parte di noi istintivamente è portata a pensare agli hacker che attraverso Internet, e con metodologie raffinatissime penetrano all'interno delle reti aziendali venendo in possesso dei dati più critici.
In realtà, chiunque volesse impadronirsi dei dati di un'azienda vorrebbe trovarvicisi all'interno: le cose sono molto più semplici quando hai un accesso con credenziali regolari a una parte dei dati di un'azienda.
Sapere come e quando i dipendenti accedono alle informazioni aziendali significa avere un'infrastruttura di monitoraggio di ciò che avviene dalla postazione del dipendente (in questo ambito denominata endpoint) ai sistemi che erogano i dati.
Il controllo degli endpoint gioca un ruolo chiave nella prevenzione e nella mitigazione dei rischi correlati alla minaccia interna: le istituzioni finanziarie sono più sensibilizzate di altre aziende, soprattutto per merito delle normative internazionali sulla riduzione del rischio, mentre i settori farmaceutico e dell'alta tecnologia, dove la concorrenza è più serrata e il valore di un dato progettuale o di ricerca è proporzionalmente più elevato, tengono la guardia alta già da tempo.
La serie dei report CSI/FBI degli ultimi anni ha evidenziato che la maggior parte degli attacchi proviene dall'interno delle aziende: è da notare che alcuni endpoint sono già presidiati a dovere, sebbene, diciamocelo chiaramente, le maglie del controllo sono abbastanza larghe per permettere ai dipendenti di poter svolgere il loro lavoro.
Questo fattore deriva dalla diversa impostazione che l'ambito finanziario ha nei confronti della sicurezza, rispetto ad altri ambiti come quelli citati della farmaceutica o della tecnologia.
In questi ambiti esiste una predisposizione alla sicurezza che non solo è basata su una solida piattaforma di policy aziendali, ma è soprattutto patrimonio comune e condiviso da tutti. Sto parlando di un approccio che è ormai presente da qualche decina di anni in molte aziende e che viene instillato nei dipendenti contestualmente all'assunzione.
E' l'approccio della "sicurezza senza compromessi", che si contrappone a quello che ho incontrato in molte aziende, che chiamerò, per contrasto, della "sicurezza compromessa".
Cosa prevede quest'ultimo? Prevede che, per evitare le lagnanze dei dipendenti che si vedono cambiare una piccola componente della routine lavorativa a seguito dell'implementazione di nuove procedure, si pongano dei limiti ai controlli, si aprano le maglie dei controlli, si introducano delle eccezioni che, dal momento che non vengono documentate, diventano poi un incubo da gestire.
E' una consuetudine, statene certi. E questo genere di situazioni da un'idea di quanto, in quelle aziende, si dia importanza alla preservazione del capitale informativo.
A questo punto cosa possiamo fare?
Possiamo gestire le eccezioni (nessuna legge è perfetta) ma dobbiamo affermare con solidità che una volta che le policy sono state emanate, le eccezioni devono essere vagliate da un comitato apposito, approvate e documentate.
Inoltre, l'approccio più corretto per individuare una frode interna non si limita solo a osservare ciò che i dipendenti aprono e guardano nei documenti, ma anche il contesto di cosa stanno facendo con quelle informazioni: esistono applicazioni che si occupano di Fraud Intelligence (o Information leakage intelligence), in grado di applicare regole di controllo del contesto alle attività dell'utente interno.
Ogni organizzazione deve avere un set di policy aziendali (altrimenti dette acceptable use policy) che devono essere sostenute, rinforzate, "inculcate" nei dipendenti, in modo che sappiano con certezza dove possono andare e dove no.
Consideriamo un esempio di endpoint poco monitorati: attraverso le reti wireless all'esterno dell'istituto è possibile accedere a quegli endpoint che sono stati lasciati accesi, o ai laptop che sono stati portati fuori dall'azienda. Questo costituisce una vera e propria apertura verso la rete o i dati aziendali, senza che nessuno se ne possa accorgere.
E cosa dire delle cartelle condivise? Molti grandi progetti conservano i dati in cartelle condivise, per facilitare il flusso informativo. Ma una volta che il flusso è partito, diventa difficile da fermare. Può capitare che in una cartella condivisa vadano a finire informazioni sensibili o classificate, semplicemente a causa di un errore umano, senza alcuna intenzione.
Una volta che il documento è inserito nella cartella, diventa disponibile a chiunque.
Cosa fare per l'audit?
Le aziende devono effettuare due tipi di audit su base regolare: sua sulle loro reti, per individuare gli endpoint nascosti e altre vulnerabilità correlate, sia nei confronti delle persone che lavorano in azienda, per accertarsi che le policy di sicurezza siano state correttamente comprese e messe in pratica da tutta la struttura.
Ovviamente a monte di questo ci deve essere un processo educativo e di sensibilizzazione di tutto lo staff: e non pensate che l'amministratore delegato e il direttore generale si possano tirare indietro.

Nessun commento: