ºÝºÝߣ

ºÝºÝߣShare a Scribd company logo

LA GESTIONE DELLA SICUREZZA

V
Vincenzo Calabrò

Non solo tecnologia Si sta affermando sempre più un concetto di sicurezza come elemento trasversale che permea, a vari livelli, i processi di business e che quindi va gestito in modo sinergico a essi. Il fatto poi che le informazioni siano sempre più distribuite sia l'interno che all'esterno del perimetro aziendale, verso clienti, partner e fornitori, incrementa la complessità e, di conseguenza, complicala gestione. La tecnologia certamente aiuta a predisporre misure di difesa ma, da sola, non è in grado di assicurare un livello di sicurezza adeguato a ogni esigenza aziendale, anche perché le aziende rappresentano realtà dinamiche in continua evoluzione. Si evidenzia da ciò la necessità di gestire opportunamente la security, prevedendo una continua rivisitazione del livello di protezione a fronte dell'evoluzione informatica e dei processi di business aziendali. Emerge, pertanto, l'esigenza di inquadrare i diversi aspetti di sicurezza all'interno di una strategia aziendale specifica e coordinata, sorretta da una serie di policy e di protocolli rivolti a delineare adeguate azioni che garantiscano il mantenimento dello standard di protezione prefissato. Al fine di semplificare questo tipo di azioni, l'offerta dei vendor si orienta sempre più verso soluzioni integrate, non solo per quanto riguarda le tecnologie, ma soprattutto rispetto alla possibilità di gestione unificata e centralizzata. Spesso la semplicità gestionale viene utilizzata come importante leva di marketing. Tuttavia non va dimenticato che gestire la sicurezza non è un compito semplice così come non si tratta di un risultato banale quello di individuare, all'interno di ogni specifica azienda, il corretto compromesso tra protezione, valore dell'informazione ed esigenze di continuità di business, che condiziona le scelte tecnologiche, strategiche e di spesa per la sicurezza. La scelta di gestione interna della sicurezza implica, innanzitutto, che esista una figura deputata a occuparsene. Anche nelle realtà piccole, in cui la dimensione finanziaria non consente la presenza di una figura dedicata specifica (il security manager) è essenziale che esista, in ogni caso un responsabile: insomma qualcuno che abbia tra i propri compiti specifici quello di occuparsene. Ovviamente dovrà trattarsi di una persona con competenze tecnologiche adeguate e che abbia il tempo per aggiornarsi sulle nuove"macro" vulnerabilità e minacce e risorse sufficienti per affrontarle. In ogni caso, per aziende anche minimamente strutturate, la figura del security manager si appresta a diventare irrinunciabile. https://www.vincenzocalabro.it

1 of 7
Download to read offline
LA GESTIONE DELLA SICUREZZA Non solo tecnologia Si sta affermando sempre più un concetto di sicurezza come elemento trasversale che permea, a vari livelli, i processi di business e che quindi va gestito in modo sinergico a essi. Il fatto poi che le informazioni siano sempre più distribuite sia l’interno che all’esterno del perimetro aziendale, verso clienti, partner e fornitori, incrementa la complessità e, di conseguenza, complicala gestione. La tecnologia certamente aiuta a predisporre misure di difesa ma, da sola, non è in grado di assicurare un livello di sicurezza adeguato a ogni esigenza aziendale, anche perché le aziende rappresentano realtà dinamiche in continua evoluzione. Si evidenzia da ciò la necessità di gestire opportunamente la security, prevedendo una continua rivisitazione del livello di protezione a fronte dell’evoluzione informatica e dei processi di business aziendali. Emerge, pertanto, l’esigenza di inquadrare i diversi aspetti di sicurezza all’interno di una strategia aziendale specifica e coordinata, sorretta da una serie di policy e di protocolli rivolti a delineare adeguate azioni che garantiscano il mantenimento dello standard di protezione prefissato. Al fine di semplificare questo tipo di azioni, l’offerta dei vendor si orienta sempre più verso soluzioni integrate, non solo per quanto riguarda le tecnologie, ma soprattutto rispetto alla possibilità di gestione unificata e centralizzata. Spesso la semplicità gestionale viene utilizzata come importante leva di marketing. Tuttavia non va dimenticato che gestire la sicurezza non è un compito semplice così come non si tratta di un risultato banale quello di individuare, all’interno di ogni specifica azienda, il corretto compromesso tra protezione, valore dell’informazione ed esigenze di continuità di business, che condiziona le scelte tecnologiche, strategiche e di spesa per la sicurezza. La scelta di gestione interna della sicurezza implica, innanzitutto, che esista una figura deputata a occuparsene. Anche nelle realtà piccole, in cui la dimensione finanziaria non consente la presenza di una figura dedicata specifica (il security manager) è essenziale che esista, in ogni caso un responsabile: insomma qualcuno che abbia tra i propri compiti specifici quello di occuparsene. Ovviamente dovrà trattarsi di una persona con competenze tecnologiche adeguate e che abbia il tempo per aggiornarsi sulle nuove“macro†vulnerabilità e minacce e risorse sufficienti per affrontarle. In ogni caso, per aziende anche minimamente strutturate, la figura del security manager si appresta a diventare irrinunciabile. La presenza di un firewall e un antivirus, per lungo tempo considerata esaustiva per assicurare la protezione aziendale, non deve essere
considerata più sufficiente, anche per le realtà piccole. Sono richiesti strumenti integrati, processi di assessment delle vulnerabilità e una gestione e un controllo costante e dinamico delle soluzioni e delle policy di protezione implementate. Infatti, sempre più frequentemente, le PMI hanno lo stesso tipo di problematiche e le stesse esigenze delle aziende di livello enterprise, con l’inconveniente di disporre di risorse inferiori. D’altra parte l’offerta di mercato negli ultimi anni si è occupata molto delle esigenze delle aziende più piccole e sono ormai disponibili, anche a costi accessibili alle PMI, soluzioni di sicurezza con portata analoga a quelle di classe enterprise. In molti casi, la consapevolezza da parte delle aziende dell’importanza della sicurezza e la contemporanea constatazione di non disporre degli strumenti adeguati per affrontarla in modo corretto internamente hanno indotto a indirizzarsi verso strutture esterne dedicate. I servizi di sicurezza gestiti sono certamente un trend in continuo aumento. L’offerta di servizi è ampia e variegata e include la gestione e l’aggiornamento tecnologico nel tempo di firewall, antivirus, IP/VPN, intrusion detection, vulnerability assessment, filtraggio dei siti Web e reportistica su tutte le attività sospette e bloccate. La più recente tendenza è legata alla gestione della business continuity, mano a mano che, come si diceva prima, questa si afferma come un aspetto trasversale tra sicurezza e business. I vantaggi di affidarsi a una struttura esterna sono quelli tipici dell’outsourcing: la possibilità di avere una copertura 24x365 (essenziale per questi compiti), di potersi affidare a personale specializzato dotato di tecnologie all’avanguardia e costantemente in aggiornamento, che effettui un monitoraggio costante e riveda periodicamente l’esposizione al rischio dell’azienda. Un altro aspetto fondamentale è la capacità d’intervento rapido, in un ambito in cui la differenza tra fermare un attacco entro pochi minuti oppure lasciarlo proliferare per un’ora può fare una grandissima differenza. La contropartita rispetto a questa serie di vantaggi risiede nell’affidarsi a un soggetto esterno e, in qualche modo, perdere una percentuale di controllo su alcuni aspetti gestionali o informativi. In conseguenza di ciò sta incontrando un crescente successo un approccio indirizzato all’outsourcing parziale, in cui l’azienda si affida a una struttura esterna per la verifica, il monitoraggio e l’impostazione di alcune azioni automatiche di protezione, mantenendo però il controllo sui propri apparati e sui processi gestionali afferenti alla sicurezza. L’analisi del rischio L’analisi del rischio è il punto di partenza del processo di pianificazione di un sistema di sicurezza IT aziendale. Prima di descrivere le fasi con cui si arriva alla sua valutazione, occorre, però, definire che cosa s’intende con rischio: esso è una misura del danno che consegue a un evento pericoloso, in funzione della probabilità che questo si verifichi effettivamente. Solo una corretta valutazione del rischio permette a un’azienda di stabilire quale piano di intervento sia opportuno implementare al suo interno. Tale analisi, inoltre, va ripetuta periodicamente perché l’entità dei danni dovuti a un
attacco informatico segue la dinamicità dell’azienda. In altre parole, quest’ultima, nel corso della propria esistenza, evolvendo, modifica le proprie risorse e le esigenze di business (ad esempio attraverso fusioni o acquisizioni aziendali). D’altro canto, anche le condizioni esterne variano: gli hacker scoprono nuove vulnerabilità dei sistemi, inventano altre tecniche e via dicendo; di conseguenza cambia il rischio ed è necessario rimettere tutto in discussione. Il rischio, dunque, è tanto più alto quanto più elevato è il valore della risorsa che si ritiene di dover proteggere e quanto maggiore è la minaccia che incombe su quella risorsa; un’azienda il cui asset principale è rappresentato dalle informazioni, potrebbe restare distrutta dalla perdita delle stesse (per esempio, si pensi a un’assicurazione che si vedesse cancellare tutti i dati relativi alle proprie polizze). Le minacce sono tipicamente classificate in tre categorie:calamità naturali, minacce intenzionali e minacce involontarie. L’analisi del rischio può invece essere scomposto nelle seguenti fasi: • identificazione o classificazione delle risorse da proteggere; • identificazione delle minacce cui sono soggette le risorse (insieme e singolarmente); • identificazione delle vulnerabilità (o vulnerability assessment, come è più comunemente indicata usando il termine inglese); • valutazione del rischio. Identificazione delle risorse La prima fase consiste nella realizzazione di un inventario delle risorse informative. Vanno considerate, in questa analisi, sia tutte le informazioni che vengono prodotte in azienda, con qualsivoglia strumento, sia tutti i mezzi dell’infrastruttura IT (dai server alle workstation, dalle reti alla loro banda, fino ai dischi, ai nastri di backup, ai cavi e così via). Per ciascuna risorsa, quindi, deve esserne calcolato il valore. In particolare, per quanto riguarda le informazioni, queste andranno confrontate con gli obiettivi primari della
sicurezza, vale a dire confidenzialità, integrità e disponibilità. Le risorse informatiche e di comunicazione, invece, sono importanti essenzialmente ai fini della disponibilità e vanno valutate in funzione delle loro criticità all’interno dell’azienda. Un server, per esempio, è tipicamente più importante di una workstation, il router per il collegamento a Internet è normalmente più utile di quello che consente la connessione a un ufficio distaccato con poco personale part time, ma potrebbe essere vero il contrario se quest’ufficio è l’agenzia periferica di una banca che, attraverso quel router, effettuai resoconti giornalieri. Ulteriori elementi che è opportuno considerare nella valutazione della specifica risorsa o tipologie di risorse sono i costi per la perdita o il suo danneggiamento, in termini di profitto, tempo perso ed esborso per eventuali riparazioni. Un inventario dovrebbe definire, per ciascuna risorsa, le seguenti classi di dati: • tipo di risorsa (se si tratta di dati, hardware, software o altro); • criticità (se è un sistema generico o mission critical); • proprietà delle informazioni; • posizione fisica o logica della risorsa; • numero di inventario (nel caso sia disponibile); • informazioni relative ai contratti di manutenzione in essere per la risorsa (in termini di livelli di servizio, garanzie, contatti, processo di sostituzione e così via). Ai fini della protezione delle risorse (in particolare delle informazioni), che rimane il fine ultimo, il dato più importante è quello della criticità. Tanto che è opportuno essere piuttosto rigorosi nel definirla, ricorrendo eventualmente a una sorta di classificazione e dividendo, così, le informazioni in: • Sensibili: Sono le risorse più importanti, che vanno protette da eliminazioni o modifiche non autorizzate, garantendone disponibilità e integrità, oltre che riservatezza. In generale, sono dati che devono essere protetti con più di una normale garanzia di accuratezza e completezza. Le transazioni finanziarie o le azioni legali dell’azienda sono due esempi di questo tipo di informazioni. • Riservate: Anche in questo caso va assicurata la riservatezza. Si tratta perlopiù di dati destinati a essere rigorosamente utilizzati solo all’interno dell’impresa. Per questa categoria di informazioni il danno maggiore potrebbe derivare da una loro divulgazione non autorizzata. Per esempio, informazioni riguardanti i risultati finanziari o lo stato di salute di aziende private. • Private: Per certi versi si potrebbe considerare una classe della categoria precedente. È opportuno, però, considerarla a parte perché vi rientrano i dati che sono soggetti alla normativa sulla privacy e che, conseguentemente, potrebbero portare a ripercussioni legali per il responsabile della sicurezza se divulgati senza autorizzazione. Vi appartengono, per esempio, tutti i dati sul
personale e sui clienti. • Pubbliche: In questa categoria rientrano tutti i dati che non sono contemplati esplicitamente in una delle tre categorie precedenti. In generale, sono informazioni la cui divulgazione non avrebbe serie conseguenze. Identificazione delle minacce Le minacce possono essere di diversi tipi, che devono essere considerati in relazione con le caratteristiche dell’azienda. Queste vanno esaminate e valutate sia in termini di locazione geografica, sia (e soprattutto) in riferimento alle attività e al modello di business. Può essere abbastanza logico, ad esempio, che una banca sia maggiormente esposta a minacce di tipo volontario di quanto non lo sia una catena di ristoranti. Peraltro, in alcuni casi, possono entrare in gioco considerazioni di carattere socio politico che influenzano la valutazione della minaccia. Ognuno dei modi in cui una risorsa può essere danneggiata, alterata, rubata, distrutta o resa inaccessibile, costituisce una minaccia. Tra questi bisogna considerare sia quelli volontari sia involontari, senza dimenticare le catastrofi, quali incendi, terremoti e inondazioni, che in molte zone d’Italia si presentano con una frequenza tutt’altro che trascurabile. Vulnerability assessment Come osservato in precedenza, le minacce possono essere di tipo imprevedibile, spesso riferite in letteratura anche come minacce “naturaliâ€. Rientrano in questa categoria catastrofi quali inondazioni e terremoti, ma anche, quindi con un’accezione più ampia, incendi, attentati e così via. La probabilità che queste minacce si verifichino non è regolabile con un sistema di sicurezza IT e dipende da condizioni essenzialmente esterne all’azienda. Vanno evidentemente considerate e possono essere misurate (la probabilità di un’eruzione alle pendici dell’Etna è ovviamente maggiore che sulla riva del Po, viceversa per un’inondazione). In questi casi le tecniche adottabili per la protezione delle informazioni sono quelle tipiche del disaster recovery. La tipologia di minacce che invece sono generalmente indicate come di origine umana, ma che sono riferibili in senso più ampio come “prevedibiliâ€, in quanto vi rientrano anche guasti del software o dell’hardware, possono essere suddivise in “volontarie†(o “doloseâ€) e “involontarie†(o “non doloseâ€).
Le minacce considerate involontarie sono, generalmente, quelle derivanti da un errore di un dipendente o alla sua ignoranza. Possono essere molto gravi, e causare danni ingenti direttamente (con l’eliminazione o la modifica di dati conseguente a un uso maldestro delle applicazioni) oppure indirettamente (con l’apertura di una falla nel sistema di sicurezza a causa del mancato adempimento delle policy per negligenza o disattenzione). Per ridurre il rischio di queste minacce è opportuno, innanzi tutto, condurre una campagna di sensibilizzazione interna alla sicurezza. È essenziale, in particolare, che i dipendenti siano a conoscenza delle conseguenze del loro comportamento scorretto non solo sul piano pratico ed economico, per quanto concerne l’azienda, ma anche su quello legale, che li potrebbe coinvolgere direttamente. Tra le minacce involontarie rientrano anche i guasti dell’hardware o i difetti del software, la cui probabilità di accadimento può essere calcolata, in funzione delle caratteristiche di partenza delle risorse (un server fault tollerance fornisce garanzie di affidabilità e disponibilità, come pure uno storage con supporto RAID e via dicendo) e misurata, con un controllo periodico del loro stato. Le minacce volontarie o dolose sono certamente da considerare le più pericolose. Esse sono di natura umana e derivano da un attacco mirato che può provenire tanto dall’esterno quanto dall’interno dell’azienda. Tra i due casi, l’ultimo è presumibilmente il peggiore anche perché è più difficile da rilevare e prevedere. Questo tipo di minacce deriva da attacchi che sfruttano tipicamente le vulnerabilità del sistema di sicurezza o in maniera opportunistica (un hacker che “casualmente†durante scansioni “a pioggia†trova un buco in un sistema e vi entra) o mediante un’accurata pianificazione. Tra i metodi di attacco si ricordano: il social engineering (cioè una vera e propria attività spionistica, tesa a ottenere informazioni dirette dagli utenti, usando una falsa identità); virus, worm e cavalli di Troia; Denial of Service (che mette, per esempio, un server in condizioni di dover negare il servizio); rinvio dei pacchetti; modifica dei pacchetti; IP spoofing (tramite il quale l’hacker sostituisce l’indirizzo IP della propria macchina con un altro, tipicamente della rete che sta attaccando); password guessing (il tentativo di indovinare o calcolare una password). Considerandole varie minacce (che peraltro possono essere anche di tipo misto), è possibile determinare quali vulnerabilità possono essere sfruttate. Le vulnerabilità sono, in generale, dovute a errori o trascuratezze di gestione: una configurazione superficiale, un bug del software, una versione non aggiornata dell’antivirus e così via. Si consideri, per esempio, il sistema operativo della macchina su cui è installato il firewall. Da esso dipende quest’ultimo, che può essere disabilitato facilmente se sul sistema operativo stesso non è stata disattivata la corrispondente funzione. Per quanto riguarda le modalità di gestione è importante tenere presente che, praticamente, tutti gli attacchi sfruttano delle vulnerabilità note che possono essere riparate, spesso, con largo anticipo rispetto al momento in cui può verificarsi un attacco. Il vulnerability assessment consiste in una serie di tecniche e tecnologie per il controllo dello stato di salute di tutte le risorse, comprese soprattutto tutte le soluzioni di sicurezza. Queste possono essere mantenute aggiornate effettuando una scansione periodica delle risorse e pianificandone l’evoluzione. Peraltro, sono sempre più comuni opzioni di aggiornamento automatico disponibili anche sotto forma di servizio. La valutazione del rischio Una volta ultimate le tre fasi precedentemente illustrate, occorre un lavoro di sintesi che
porti alla valutazione del rischio. Per questo è possibile operare in diversi modi, con scuole metodologiche diverse. I risultati possono essere classificati con un maggior o minor livello di dettaglio e la valutazione può essere sia di tipo qualitativo sia quantitativo, includendo, per esempio, valori numerici del rischio espressi in percentuali del fatturato. Una linea guida che sta assumendo un ruolo di standard nel settore è rappresentata dalla normativa ISO17799 / BS7799. Esistono in ogni caso delle caratteristiche fondamentali che è opportuno siano presenti in ogni analisi del rischio: • riproducibilità e ripetitività: dato che occorre ripetere periodicamente il processo e al fine di ottenere risultati confrontabili con i precedenti è opportuno che l’analisi possa essere condotta con le stesse procedure; • comprensibilità: il rischio deve essere espresso, qualitativamente o quantitativamente che sia, in forma chiara atta a definire la successiva strategia di protezione; condivisibilità: i risultati dell’analisi devono essere condivisi tra le diverse funzioni aziendali e deve essere condotta una campagna di sensibilizzazione interna, che costituisce la prima forma di protezione; • consistenza: la valutazione del rischio è funzione delle policy di primo livello, per i cui i valori attribuiti alle risorse devono essere consistenti con gli obiettivi di riservatezza, integrità e disponibilità; • riutilizzabilità: i risultati delle varie fasi devono poter essere reimpiegati, al fine di accelerare i successivi processi e consentire economie di scala (per esempio, il vulnerability assessment potrebbe essere condotto indipendentemente, più di frequente di tutto il processo di analisi del rischio); • adeguatezza: la valutazione del rischio non può portare alla definizione di strumenti e policy di sicurezza incomprensibili per la cultura aziendale che, altrimenti, non sarebbero rispettivamente utilizzati e seguite; • rapidità: i risultati dell’analisi devono essere disponibili in tempi utili per poter procedere alla fase di implementazione del sistema di sicurezza o del suo aggiornamento.

Recommended

Articolo aprile 2013 ict security
Articolo aprile 2013 ict securityArticolo aprile 2013 ict security
Articolo aprile 2013 ict security
Luca Moroni ✔✔
Ìý
UN APPROCCIO INTEGRATO ALLA SICUREZZA
UN APPROCCIO INTEGRATO ALLA SICUREZZAUN APPROCCIO INTEGRATO ALLA SICUREZZA
UN APPROCCIO INTEGRATO ALLA SICUREZZA
Vincenzo Calabrò
Ìý
Sicurezza delle Informazioni
Sicurezza delle InformazioniSicurezza delle Informazioni
Sicurezza delle Informazioni
luca menini
Ìý
Gestione dei rischi: analisi di un modello semplificato per le PMI
Gestione dei rischi: analisi di un modello semplificato per le PMIGestione dei rischi: analisi di un modello semplificato per le PMI
Gestione dei rischi: analisi di un modello semplificato per le PMI
Stefano Bendandi
Ìý
Isab informatica strategie di Cyber Security
Isab informatica strategie di Cyber SecurityIsab informatica strategie di Cyber Security
Isab informatica strategie di Cyber Security
Vilma Pozzi
Ìý
Cyber risks impatti, valutazioni e ragioni light
Cyber risks impatti, valutazioni e ragioni lightCyber risks impatti, valutazioni e ragioni light
Cyber risks impatti, valutazioni e ragioni light
Redazione InnovaPuglia
Ìý
LE RAGIONI DELLA SICUREZZA IT
LE RAGIONI DELLA SICUREZZA ITLE RAGIONI DELLA SICUREZZA IT
LE RAGIONI DELLA SICUREZZA IT
Vincenzo Calabrò
Ìý
IT-brochure Cyber Security
IT-brochure Cyber SecurityIT-brochure Cyber Security
IT-brochure Cyber Security
Enrico Memmo
Ìý
IT GRC, Soluzioni Risk Management
IT GRC, Soluzioni Risk ManagementIT GRC, Soluzioni Risk Management
IT GRC, Soluzioni Risk Management
DFLABS SRL
Ìý
Sicurezza: cosa si può fare approccio e best practice internazionali
Sicurezza: cosa si può fare approccio e best practice internazionaliSicurezza: cosa si può fare approccio e best practice internazionali
Sicurezza: cosa si può fare approccio e best practice internazionali
DI.TECH - Innovazione per la distribuzione
Ìý
Disaster recovery-seminar
Disaster recovery-seminarDisaster recovery-seminar
Disaster recovery-seminar
Enrico Parisini
Ìý
Il DLP, uno strumento di difesa del patrimonio informativo aziendale
Il DLP, uno strumento di difesa del patrimonio informativo aziendaleIl DLP, uno strumento di difesa del patrimonio informativo aziendale
Il DLP, uno strumento di difesa del patrimonio informativo aziendale
Babel
Ìý
Security Services - Accenture Italia
Security Services - Accenture ItaliaSecurity Services - Accenture Italia
Security Services - Accenture Italia
Accenture Italia
Ìý
Articolo Information Security 17 gen feb 2013 pp 42-45
Articolo Information Security 17 gen feb 2013 pp 42-45Articolo Information Security 17 gen feb 2013 pp 42-45
Articolo Information Security 17 gen feb 2013 pp 42-45
Luca Moroni ✔✔
Ìý
Padova13 luca moroni3
Padova13 luca moroni3Padova13 luca moroni3
Padova13 luca moroni3
Luca Moroni ✔✔
Ìý
ProtezioneCyber - Gestione integrata del cyber risk
ProtezioneCyber - Gestione integrata del cyber riskProtezioneCyber - Gestione integrata del cyber risk
ProtezioneCyber - Gestione integrata del cyber risk
M2 Informatica
Ìý
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber riskProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
M2 Informatica
Ìý
TIGPaper_Compliance e Cybersecurity -210115
TIGPaper_Compliance e Cybersecurity -210115TIGPaper_Compliance e Cybersecurity -210115
TIGPaper_Compliance e Cybersecurity -210115
Elena Vaciago
Ìý
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber riskProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
M2 Informatica
Ìý
Go2Tec - Security assessment e normative - Riccardo Barghini
Go2Tec - Security assessment e normative - Riccardo BarghiniGo2Tec - Security assessment e normative - Riccardo Barghini
Go2Tec - Security assessment e normative - Riccardo Barghini
AFB Net
Ìý
Cyber Crime, una minaccia che evolve
Cyber Crime, una minaccia che evolveCyber Crime, una minaccia che evolve
Cyber Crime, una minaccia che evolve
Morgan Jones
Ìý
Executive_IT_interview
Executive_IT_interviewExecutive_IT_interview
Executive_IT_interview
Antonio Iannuzzi
Ìý
Security Logic: Security Advisorship Presentation
Security Logic: Security Advisorship PresentationSecurity Logic: Security Advisorship Presentation
Security Logic: Security Advisorship Presentation
Security Logic srl
Ìý
Come gestire un data breach da attacco ransomware
Come gestire un data breach da attacco ransomwareCome gestire un data breach da attacco ransomware
Come gestire un data breach da attacco ransomware
Giulio Coraggio
Ìý
Come Implementare Strategie Zero Trust
Come Implementare Strategie Zero TrustCome Implementare Strategie Zero Trust
Come Implementare Strategie Zero Trust
Vincenzo Calabrò
Ìý
Security Governance
Security GovernanceSecurity Governance
Security Governance
Consorzio Sicurezza Gruppo Iris
Ìý
Sicurezza Integrata Dedagroup
Sicurezza Integrata DedagroupSicurezza Integrata Dedagroup
Sicurezza Integrata Dedagroup
Dedagroup
Ìý
Managed Security Services vs In house management
Managed Security Services vs In house managementManaged Security Services vs In house management
Managed Security Services vs In house management
Pierluigi Sartori
Ìý
Vincenzo Calabrò - Generazione ed Analisi di una Timeline Forense
Vincenzo Calabrò - Generazione ed Analisi di una Timeline ForenseVincenzo Calabrò - Generazione ed Analisi di una Timeline Forense
Vincenzo Calabrò - Generazione ed Analisi di una Timeline Forense
Vincenzo Calabrò
Ìý
Vincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network Forensics
Vincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network ForensicsVincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network Forensics
Vincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network Forensics
Vincenzo Calabrò
Ìý

More Related Content

Similar to LA GESTIONE DELLA SICUREZZA (20)

IT GRC, Soluzioni Risk Management
IT GRC, Soluzioni Risk ManagementIT GRC, Soluzioni Risk Management
IT GRC, Soluzioni Risk Management
DFLABS SRL
Ìý
Sicurezza: cosa si può fare approccio e best practice internazionali
Sicurezza: cosa si può fare approccio e best practice internazionaliSicurezza: cosa si può fare approccio e best practice internazionali
Sicurezza: cosa si può fare approccio e best practice internazionali
DI.TECH - Innovazione per la distribuzione
Ìý
Disaster recovery-seminar
Disaster recovery-seminarDisaster recovery-seminar
Disaster recovery-seminar
Enrico Parisini
Ìý
Il DLP, uno strumento di difesa del patrimonio informativo aziendale
Il DLP, uno strumento di difesa del patrimonio informativo aziendaleIl DLP, uno strumento di difesa del patrimonio informativo aziendale
Il DLP, uno strumento di difesa del patrimonio informativo aziendale
Babel
Ìý
Security Services - Accenture Italia
Security Services - Accenture ItaliaSecurity Services - Accenture Italia
Security Services - Accenture Italia
Accenture Italia
Ìý
Articolo Information Security 17 gen feb 2013 pp 42-45
Articolo Information Security 17 gen feb 2013 pp 42-45Articolo Information Security 17 gen feb 2013 pp 42-45
Articolo Information Security 17 gen feb 2013 pp 42-45
Luca Moroni ✔✔
Ìý
Padova13 luca moroni3
Padova13 luca moroni3Padova13 luca moroni3
Padova13 luca moroni3
Luca Moroni ✔✔
Ìý
ProtezioneCyber - Gestione integrata del cyber risk
ProtezioneCyber - Gestione integrata del cyber riskProtezioneCyber - Gestione integrata del cyber risk
ProtezioneCyber - Gestione integrata del cyber risk
M2 Informatica
Ìý
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber riskProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
M2 Informatica
Ìý
TIGPaper_Compliance e Cybersecurity -210115
TIGPaper_Compliance e Cybersecurity -210115TIGPaper_Compliance e Cybersecurity -210115
TIGPaper_Compliance e Cybersecurity -210115
Elena Vaciago
Ìý
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber riskProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
M2 Informatica
Ìý
Go2Tec - Security assessment e normative - Riccardo Barghini
Go2Tec - Security assessment e normative - Riccardo BarghiniGo2Tec - Security assessment e normative - Riccardo Barghini
Go2Tec - Security assessment e normative - Riccardo Barghini
AFB Net
Ìý
Cyber Crime, una minaccia che evolve
Cyber Crime, una minaccia che evolveCyber Crime, una minaccia che evolve
Cyber Crime, una minaccia che evolve
Morgan Jones
Ìý
Executive_IT_interview
Executive_IT_interviewExecutive_IT_interview
Executive_IT_interview
Antonio Iannuzzi
Ìý
Security Logic: Security Advisorship Presentation
Security Logic: Security Advisorship PresentationSecurity Logic: Security Advisorship Presentation
Security Logic: Security Advisorship Presentation
Security Logic srl
Ìý
Come gestire un data breach da attacco ransomware
Come gestire un data breach da attacco ransomwareCome gestire un data breach da attacco ransomware
Come gestire un data breach da attacco ransomware
Giulio Coraggio
Ìý
Come Implementare Strategie Zero Trust
Come Implementare Strategie Zero TrustCome Implementare Strategie Zero Trust
Come Implementare Strategie Zero Trust
Vincenzo Calabrò
Ìý
Security Governance
Security GovernanceSecurity Governance
Security Governance
Consorzio Sicurezza Gruppo Iris
Ìý
Sicurezza Integrata Dedagroup
Sicurezza Integrata DedagroupSicurezza Integrata Dedagroup
Sicurezza Integrata Dedagroup
Dedagroup
Ìý
Managed Security Services vs In house management
Managed Security Services vs In house managementManaged Security Services vs In house management
Managed Security Services vs In house management
Pierluigi Sartori
Ìý
IT GRC, Soluzioni Risk Management
IT GRC, Soluzioni Risk ManagementIT GRC, Soluzioni Risk Management
IT GRC, Soluzioni Risk Management
DFLABS SRL
Ìý
Sicurezza: cosa si può fare approccio e best practice internazionali
Sicurezza: cosa si può fare approccio e best practice internazionaliSicurezza: cosa si può fare approccio e best practice internazionali
Sicurezza: cosa si può fare approccio e best practice internazionali
DI.TECH - Innovazione per la distribuzione
Ìý
Disaster recovery-seminar
Disaster recovery-seminarDisaster recovery-seminar
Disaster recovery-seminar
Enrico Parisini
Ìý
Il DLP, uno strumento di difesa del patrimonio informativo aziendale
Il DLP, uno strumento di difesa del patrimonio informativo aziendaleIl DLP, uno strumento di difesa del patrimonio informativo aziendale
Il DLP, uno strumento di difesa del patrimonio informativo aziendale
Babel
Ìý
Security Services - Accenture Italia
Security Services - Accenture ItaliaSecurity Services - Accenture Italia
Security Services - Accenture Italia
Accenture Italia
Ìý
Articolo Information Security 17 gen feb 2013 pp 42-45
Articolo Information Security 17 gen feb 2013 pp 42-45Articolo Information Security 17 gen feb 2013 pp 42-45
Articolo Information Security 17 gen feb 2013 pp 42-45
Luca Moroni ✔✔
Ìý
Padova13 luca moroni3
Padova13 luca moroni3Padova13 luca moroni3
Padova13 luca moroni3
Luca Moroni ✔✔
Ìý
ProtezioneCyber - Gestione integrata del cyber risk
ProtezioneCyber - Gestione integrata del cyber riskProtezioneCyber - Gestione integrata del cyber risk
ProtezioneCyber - Gestione integrata del cyber risk
M2 Informatica
Ìý
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber riskProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
M2 Informatica
Ìý
TIGPaper_Compliance e Cybersecurity -210115
TIGPaper_Compliance e Cybersecurity -210115TIGPaper_Compliance e Cybersecurity -210115
TIGPaper_Compliance e Cybersecurity -210115
Elena Vaciago
Ìý
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber riskProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
M2 Informatica
Ìý
Go2Tec - Security assessment e normative - Riccardo Barghini
Go2Tec - Security assessment e normative - Riccardo BarghiniGo2Tec - Security assessment e normative - Riccardo Barghini
Go2Tec - Security assessment e normative - Riccardo Barghini
AFB Net
Ìý
Cyber Crime, una minaccia che evolve
Cyber Crime, una minaccia che evolveCyber Crime, una minaccia che evolve
Cyber Crime, una minaccia che evolve
Morgan Jones
Ìý
Executive_IT_interview
Executive_IT_interviewExecutive_IT_interview
Executive_IT_interview
Antonio Iannuzzi
Ìý
Security Logic: Security Advisorship Presentation
Security Logic: Security Advisorship PresentationSecurity Logic: Security Advisorship Presentation
Security Logic: Security Advisorship Presentation
Security Logic srl
Ìý
Come gestire un data breach da attacco ransomware
Come gestire un data breach da attacco ransomwareCome gestire un data breach da attacco ransomware
Come gestire un data breach da attacco ransomware
Giulio Coraggio
Ìý
Come Implementare Strategie Zero Trust
Come Implementare Strategie Zero TrustCome Implementare Strategie Zero Trust
Come Implementare Strategie Zero Trust
Vincenzo Calabrò
Ìý
Security Governance
Security GovernanceSecurity Governance
Security Governance
Consorzio Sicurezza Gruppo Iris
Ìý
Sicurezza Integrata Dedagroup
Sicurezza Integrata DedagroupSicurezza Integrata Dedagroup
Sicurezza Integrata Dedagroup
Dedagroup
Ìý
Managed Security Services vs In house management
Managed Security Services vs In house managementManaged Security Services vs In house management
Managed Security Services vs In house management
Pierluigi Sartori
Ìý

More from Vincenzo Calabrò (20)

Vincenzo Calabrò - Generazione ed Analisi di una Timeline Forense
Vincenzo Calabrò - Generazione ed Analisi di una Timeline ForenseVincenzo Calabrò - Generazione ed Analisi di una Timeline Forense
Vincenzo Calabrò - Generazione ed Analisi di una Timeline Forense
Vincenzo Calabrò
Ìý
Vincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network Forensics
Vincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network ForensicsVincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network Forensics
Vincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network Forensics
Vincenzo Calabrò
Ìý
Vincenzo Calabrò - Strumenti e Tecniche per la creazione di un Falso Alibi In...
Vincenzo Calabrò - Strumenti e Tecniche per la creazione di un Falso Alibi In...Vincenzo Calabrò - Strumenti e Tecniche per la creazione di un Falso Alibi In...
Vincenzo Calabrò - Strumenti e Tecniche per la creazione di un Falso Alibi In...
Vincenzo Calabrò
Ìý
Vincenzo Calabrò - Evidenza Digitale e Informatica Forense
Vincenzo Calabrò - Evidenza Digitale e Informatica ForenseVincenzo Calabrò - Evidenza Digitale e Informatica Forense
Vincenzo Calabrò - Evidenza Digitale e Informatica Forense
Vincenzo Calabrò
Ìý
Vincenzo Calabrò - Modalità di intervento del Consulente Tecnico
Vincenzo Calabrò - Modalità di intervento del Consulente TecnicoVincenzo Calabrò - Modalità di intervento del Consulente Tecnico
Vincenzo Calabrò - Modalità di intervento del Consulente Tecnico
Vincenzo Calabrò
Ìý
La Riduzione del Rischio - D.Lgs. 231/2001
La Riduzione del Rischio - D.Lgs. 231/2001La Riduzione del Rischio - D.Lgs. 231/2001
La Riduzione del Rischio - D.Lgs. 231/2001
Vincenzo Calabrò
Ìý
Le Best Practices per proteggere Informazioni, Sistemi e Reti
Le Best Practices per proteggere Informazioni, Sistemi e RetiLe Best Practices per proteggere Informazioni, Sistemi e Reti
Le Best Practices per proteggere Informazioni, Sistemi e Reti
Vincenzo Calabrò
Ìý
Open vs. Closed Source
Open vs. Closed SourceOpen vs. Closed Source
Open vs. Closed Source
Vincenzo Calabrò
Ìý
La Privacy: Protezione dei Dati Personali
La Privacy: Protezione dei Dati PersonaliLa Privacy: Protezione dei Dati Personali
La Privacy: Protezione dei Dati Personali
Vincenzo Calabrò
Ìý
Sicurezza in Rete
Sicurezza in ReteSicurezza in Rete
Sicurezza in Rete
Vincenzo Calabrò
Ìý
Reti di Calcolatori
Reti di CalcolatoriReti di Calcolatori
Reti di Calcolatori
Vincenzo Calabrò
Ìý
Implementazione Politiche di Sicurezza
Implementazione Politiche di SicurezzaImplementazione Politiche di Sicurezza
Implementazione Politiche di Sicurezza
Vincenzo Calabrò
Ìý
Criticita Sistemi Informatici
Criticita Sistemi InformaticiCriticita Sistemi Informatici
Criticita Sistemi Informatici
Vincenzo Calabrò
Ìý
Introduzione alla Sicurezza Informatica
Introduzione alla Sicurezza InformaticaIntroduzione alla Sicurezza Informatica
Introduzione alla Sicurezza Informatica
Vincenzo Calabrò
Ìý
Programmazione Sicura
Programmazione SicuraProgrammazione Sicura
Programmazione Sicura
Vincenzo Calabrò
Ìý
OpenID Connect 1.0: verifica formale del protocollo in HLPSL
OpenID Connect 1.0: verifica formale del protocollo in HLPSLOpenID Connect 1.0: verifica formale del protocollo in HLPSL
OpenID Connect 1.0: verifica formale del protocollo in HLPSL
Vincenzo Calabrò
Ìý
Il Cloud Computing: la nuova sfida per legislatori e forenser
Il Cloud Computing: la nuova sfida per legislatori e forenserIl Cloud Computing: la nuova sfida per legislatori e forenser
Il Cloud Computing: la nuova sfida per legislatori e forenser
Vincenzo Calabrò
Ìý
La timeline: aspetti tecnici e rilevanza processuale
La timeline: aspetti tecnici e rilevanza processualeLa timeline: aspetti tecnici e rilevanza processuale
La timeline: aspetti tecnici e rilevanza processuale
Vincenzo Calabrò
Ìý
Il Diritto Processuale Penale dell’Informatica e le Investigazioni Informatiche
Il Diritto Processuale Penale dell’Informatica e le Investigazioni InformaticheIl Diritto Processuale Penale dell’Informatica e le Investigazioni Informatiche
Il Diritto Processuale Penale dell’Informatica e le Investigazioni Informatiche
Vincenzo Calabrò
Ìý
Proteggiamo I Dati
Proteggiamo I DatiProteggiamo I Dati
Proteggiamo I Dati
Vincenzo Calabrò
Ìý
Vincenzo Calabrò - Generazione ed Analisi di una Timeline Forense
Vincenzo Calabrò - Generazione ed Analisi di una Timeline ForenseVincenzo Calabrò - Generazione ed Analisi di una Timeline Forense
Vincenzo Calabrò - Generazione ed Analisi di una Timeline Forense
Vincenzo Calabrò
Ìý
Vincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network Forensics
Vincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network ForensicsVincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network Forensics
Vincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network Forensics
Vincenzo Calabrò
Ìý
Vincenzo Calabrò - Strumenti e Tecniche per la creazione di un Falso Alibi In...
Vincenzo Calabrò - Strumenti e Tecniche per la creazione di un Falso Alibi In...Vincenzo Calabrò - Strumenti e Tecniche per la creazione di un Falso Alibi In...
Vincenzo Calabrò - Strumenti e Tecniche per la creazione di un Falso Alibi In...
Vincenzo Calabrò
Ìý
Vincenzo Calabrò - Evidenza Digitale e Informatica Forense
Vincenzo Calabrò - Evidenza Digitale e Informatica ForenseVincenzo Calabrò - Evidenza Digitale e Informatica Forense
Vincenzo Calabrò - Evidenza Digitale e Informatica Forense
Vincenzo Calabrò
Ìý
Vincenzo Calabrò - Modalità di intervento del Consulente Tecnico
Vincenzo Calabrò - Modalità di intervento del Consulente TecnicoVincenzo Calabrò - Modalità di intervento del Consulente Tecnico
Vincenzo Calabrò - Modalità di intervento del Consulente Tecnico
Vincenzo Calabrò
Ìý
La Riduzione del Rischio - D.Lgs. 231/2001
La Riduzione del Rischio - D.Lgs. 231/2001La Riduzione del Rischio - D.Lgs. 231/2001
La Riduzione del Rischio - D.Lgs. 231/2001
Vincenzo Calabrò
Ìý
Le Best Practices per proteggere Informazioni, Sistemi e Reti
Le Best Practices per proteggere Informazioni, Sistemi e RetiLe Best Practices per proteggere Informazioni, Sistemi e Reti
Le Best Practices per proteggere Informazioni, Sistemi e Reti
Vincenzo Calabrò
Ìý
Open vs. Closed Source
Open vs. Closed SourceOpen vs. Closed Source
Open vs. Closed Source
Vincenzo Calabrò
Ìý
La Privacy: Protezione dei Dati Personali
La Privacy: Protezione dei Dati PersonaliLa Privacy: Protezione dei Dati Personali
La Privacy: Protezione dei Dati Personali
Vincenzo Calabrò
Ìý
Sicurezza in Rete
Sicurezza in ReteSicurezza in Rete
Sicurezza in Rete
Vincenzo Calabrò
Ìý
Reti di Calcolatori
Reti di CalcolatoriReti di Calcolatori
Reti di Calcolatori
Vincenzo Calabrò
Ìý
Implementazione Politiche di Sicurezza
Implementazione Politiche di SicurezzaImplementazione Politiche di Sicurezza
Implementazione Politiche di Sicurezza
Vincenzo Calabrò
Ìý
Criticita Sistemi Informatici
Criticita Sistemi InformaticiCriticita Sistemi Informatici
Criticita Sistemi Informatici
Vincenzo Calabrò
Ìý
Introduzione alla Sicurezza Informatica
Introduzione alla Sicurezza InformaticaIntroduzione alla Sicurezza Informatica
Introduzione alla Sicurezza Informatica
Vincenzo Calabrò
Ìý
Programmazione Sicura
Programmazione SicuraProgrammazione Sicura
Programmazione Sicura
Vincenzo Calabrò
Ìý
OpenID Connect 1.0: verifica formale del protocollo in HLPSL
OpenID Connect 1.0: verifica formale del protocollo in HLPSLOpenID Connect 1.0: verifica formale del protocollo in HLPSL
OpenID Connect 1.0: verifica formale del protocollo in HLPSL
Vincenzo Calabrò
Ìý
Il Cloud Computing: la nuova sfida per legislatori e forenser
Il Cloud Computing: la nuova sfida per legislatori e forenserIl Cloud Computing: la nuova sfida per legislatori e forenser
Il Cloud Computing: la nuova sfida per legislatori e forenser
Vincenzo Calabrò
Ìý
La timeline: aspetti tecnici e rilevanza processuale
La timeline: aspetti tecnici e rilevanza processualeLa timeline: aspetti tecnici e rilevanza processuale
La timeline: aspetti tecnici e rilevanza processuale
Vincenzo Calabrò
Ìý
Il Diritto Processuale Penale dell’Informatica e le Investigazioni Informatiche
Il Diritto Processuale Penale dell’Informatica e le Investigazioni InformaticheIl Diritto Processuale Penale dell’Informatica e le Investigazioni Informatiche
Il Diritto Processuale Penale dell’Informatica e le Investigazioni Informatiche
Vincenzo Calabrò
Ìý
Proteggiamo I Dati
Proteggiamo I DatiProteggiamo I Dati
Proteggiamo I Dati
Vincenzo Calabrò
Ìý

LA GESTIONE DELLA SICUREZZA

  • 1. LA GESTIONE DELLA SICUREZZA Non solo tecnologia Si sta affermando sempre più un concetto di sicurezza come elemento trasversale che permea, a vari livelli, i processi di business e che quindi va gestito in modo sinergico a essi. Il fatto poi che le informazioni siano sempre più distribuite sia l’interno che all’esterno del perimetro aziendale, verso clienti, partner e fornitori, incrementa la complessità e, di conseguenza, complicala gestione. La tecnologia certamente aiuta a predisporre misure di difesa ma, da sola, non è in grado di assicurare un livello di sicurezza adeguato a ogni esigenza aziendale, anche perché le aziende rappresentano realtà dinamiche in continua evoluzione. Si evidenzia da ciò la necessità di gestire opportunamente la security, prevedendo una continua rivisitazione del livello di protezione a fronte dell’evoluzione informatica e dei processi di business aziendali. Emerge, pertanto, l’esigenza di inquadrare i diversi aspetti di sicurezza all’interno di una strategia aziendale specifica e coordinata, sorretta da una serie di policy e di protocolli rivolti a delineare adeguate azioni che garantiscano il mantenimento dello standard di protezione prefissato. Al fine di semplificare questo tipo di azioni, l’offerta dei vendor si orienta sempre più verso soluzioni integrate, non solo per quanto riguarda le tecnologie, ma soprattutto rispetto alla possibilità di gestione unificata e centralizzata. Spesso la semplicità gestionale viene utilizzata come importante leva di marketing. Tuttavia non va dimenticato che gestire la sicurezza non è un compito semplice così come non si tratta di un risultato banale quello di individuare, all’interno di ogni specifica azienda, il corretto compromesso tra protezione, valore dell’informazione ed esigenze di continuità di business, che condiziona le scelte tecnologiche, strategiche e di spesa per la sicurezza. La scelta di gestione interna della sicurezza implica, innanzitutto, che esista una figura deputata a occuparsene. Anche nelle realtà piccole, in cui la dimensione finanziaria non consente la presenza di una figura dedicata specifica (il security manager) è essenziale che esista, in ogni caso un responsabile: insomma qualcuno che abbia tra i propri compiti specifici quello di occuparsene. Ovviamente dovrà trattarsi di una persona con competenze tecnologiche adeguate e che abbia il tempo per aggiornarsi sulle nuove“macro†vulnerabilità e minacce e risorse sufficienti per affrontarle. In ogni caso, per aziende anche minimamente strutturate, la figura del security manager si appresta a diventare irrinunciabile. La presenza di un firewall e un antivirus, per lungo tempo considerata esaustiva per assicurare la protezione aziendale, non deve essere
  • 2. considerata più sufficiente, anche per le realtà piccole. Sono richiesti strumenti integrati, processi di assessment delle vulnerabilità e una gestione e un controllo costante e dinamico delle soluzioni e delle policy di protezione implementate. Infatti, sempre più frequentemente, le PMI hanno lo stesso tipo di problematiche e le stesse esigenze delle aziende di livello enterprise, con l’inconveniente di disporre di risorse inferiori. D’altra parte l’offerta di mercato negli ultimi anni si è occupata molto delle esigenze delle aziende più piccole e sono ormai disponibili, anche a costi accessibili alle PMI, soluzioni di sicurezza con portata analoga a quelle di classe enterprise. In molti casi, la consapevolezza da parte delle aziende dell’importanza della sicurezza e la contemporanea constatazione di non disporre degli strumenti adeguati per affrontarla in modo corretto internamente hanno indotto a indirizzarsi verso strutture esterne dedicate. I servizi di sicurezza gestiti sono certamente un trend in continuo aumento. L’offerta di servizi è ampia e variegata e include la gestione e l’aggiornamento tecnologico nel tempo di firewall, antivirus, IP/VPN, intrusion detection, vulnerability assessment, filtraggio dei siti Web e reportistica su tutte le attività sospette e bloccate. La più recente tendenza è legata alla gestione della business continuity, mano a mano che, come si diceva prima, questa si afferma come un aspetto trasversale tra sicurezza e business. I vantaggi di affidarsi a una struttura esterna sono quelli tipici dell’outsourcing: la possibilità di avere una copertura 24x365 (essenziale per questi compiti), di potersi affidare a personale specializzato dotato di tecnologie all’avanguardia e costantemente in aggiornamento, che effettui un monitoraggio costante e riveda periodicamente l’esposizione al rischio dell’azienda. Un altro aspetto fondamentale è la capacità d’intervento rapido, in un ambito in cui la differenza tra fermare un attacco entro pochi minuti oppure lasciarlo proliferare per un’ora può fare una grandissima differenza. La contropartita rispetto a questa serie di vantaggi risiede nell’affidarsi a un soggetto esterno e, in qualche modo, perdere una percentuale di controllo su alcuni aspetti gestionali o informativi. In conseguenza di ciò sta incontrando un crescente successo un approccio indirizzato all’outsourcing parziale, in cui l’azienda si affida a una struttura esterna per la verifica, il monitoraggio e l’impostazione di alcune azioni automatiche di protezione, mantenendo però il controllo sui propri apparati e sui processi gestionali afferenti alla sicurezza. L’analisi del rischio L’analisi del rischio è il punto di partenza del processo di pianificazione di un sistema di sicurezza IT aziendale. Prima di descrivere le fasi con cui si arriva alla sua valutazione, occorre, però, definire che cosa s’intende con rischio: esso è una misura del danno che consegue a un evento pericoloso, in funzione della probabilità che questo si verifichi effettivamente. Solo una corretta valutazione del rischio permette a un’azienda di stabilire quale piano di intervento sia opportuno implementare al suo interno. Tale analisi, inoltre, va ripetuta periodicamente perché l’entità dei danni dovuti a un
  • 3. attacco informatico segue la dinamicità dell’azienda. In altre parole, quest’ultima, nel corso della propria esistenza, evolvendo, modifica le proprie risorse e le esigenze di business (ad esempio attraverso fusioni o acquisizioni aziendali). D’altro canto, anche le condizioni esterne variano: gli hacker scoprono nuove vulnerabilità dei sistemi, inventano altre tecniche e via dicendo; di conseguenza cambia il rischio ed è necessario rimettere tutto in discussione. Il rischio, dunque, è tanto più alto quanto più elevato è il valore della risorsa che si ritiene di dover proteggere e quanto maggiore è la minaccia che incombe su quella risorsa; un’azienda il cui asset principale è rappresentato dalle informazioni, potrebbe restare distrutta dalla perdita delle stesse (per esempio, si pensi a un’assicurazione che si vedesse cancellare tutti i dati relativi alle proprie polizze). Le minacce sono tipicamente classificate in tre categorie:calamità naturali, minacce intenzionali e minacce involontarie. L’analisi del rischio può invece essere scomposto nelle seguenti fasi: • identificazione o classificazione delle risorse da proteggere; • identificazione delle minacce cui sono soggette le risorse (insieme e singolarmente); • identificazione delle vulnerabilità (o vulnerability assessment, come è più comunemente indicata usando il termine inglese); • valutazione del rischio. Identificazione delle risorse La prima fase consiste nella realizzazione di un inventario delle risorse informative. Vanno considerate, in questa analisi, sia tutte le informazioni che vengono prodotte in azienda, con qualsivoglia strumento, sia tutti i mezzi dell’infrastruttura IT (dai server alle workstation, dalle reti alla loro banda, fino ai dischi, ai nastri di backup, ai cavi e così via). Per ciascuna risorsa, quindi, deve esserne calcolato il valore. In particolare, per quanto riguarda le informazioni, queste andranno confrontate con gli obiettivi primari della
  • 4. sicurezza, vale a dire confidenzialità, integrità e disponibilità. Le risorse informatiche e di comunicazione, invece, sono importanti essenzialmente ai fini della disponibilità e vanno valutate in funzione delle loro criticità all’interno dell’azienda. Un server, per esempio, è tipicamente più importante di una workstation, il router per il collegamento a Internet è normalmente più utile di quello che consente la connessione a un ufficio distaccato con poco personale part time, ma potrebbe essere vero il contrario se quest’ufficio è l’agenzia periferica di una banca che, attraverso quel router, effettuai resoconti giornalieri. Ulteriori elementi che è opportuno considerare nella valutazione della specifica risorsa o tipologie di risorse sono i costi per la perdita o il suo danneggiamento, in termini di profitto, tempo perso ed esborso per eventuali riparazioni. Un inventario dovrebbe definire, per ciascuna risorsa, le seguenti classi di dati: • tipo di risorsa (se si tratta di dati, hardware, software o altro); • criticità (se è un sistema generico o mission critical); • proprietà delle informazioni; • posizione fisica o logica della risorsa; • numero di inventario (nel caso sia disponibile); • informazioni relative ai contratti di manutenzione in essere per la risorsa (in termini di livelli di servizio, garanzie, contatti, processo di sostituzione e così via). Ai fini della protezione delle risorse (in particolare delle informazioni), che rimane il fine ultimo, il dato più importante è quello della criticità. Tanto che è opportuno essere piuttosto rigorosi nel definirla, ricorrendo eventualmente a una sorta di classificazione e dividendo, così, le informazioni in: • Sensibili: Sono le risorse più importanti, che vanno protette da eliminazioni o modifiche non autorizzate, garantendone disponibilità e integrità, oltre che riservatezza. In generale, sono dati che devono essere protetti con più di una normale garanzia di accuratezza e completezza. Le transazioni finanziarie o le azioni legali dell’azienda sono due esempi di questo tipo di informazioni. • Riservate: Anche in questo caso va assicurata la riservatezza. Si tratta perlopiù di dati destinati a essere rigorosamente utilizzati solo all’interno dell’impresa. Per questa categoria di informazioni il danno maggiore potrebbe derivare da una loro divulgazione non autorizzata. Per esempio, informazioni riguardanti i risultati finanziari o lo stato di salute di aziende private. • Private: Per certi versi si potrebbe considerare una classe della categoria precedente. È opportuno, però, considerarla a parte perché vi rientrano i dati che sono soggetti alla normativa sulla privacy e che, conseguentemente, potrebbero portare a ripercussioni legali per il responsabile della sicurezza se divulgati senza autorizzazione. Vi appartengono, per esempio, tutti i dati sul
  • 5. personale e sui clienti. • Pubbliche: In questa categoria rientrano tutti i dati che non sono contemplati esplicitamente in una delle tre categorie precedenti. In generale, sono informazioni la cui divulgazione non avrebbe serie conseguenze. Identificazione delle minacce Le minacce possono essere di diversi tipi, che devono essere considerati in relazione con le caratteristiche dell’azienda. Queste vanno esaminate e valutate sia in termini di locazione geografica, sia (e soprattutto) in riferimento alle attività e al modello di business. Può essere abbastanza logico, ad esempio, che una banca sia maggiormente esposta a minacce di tipo volontario di quanto non lo sia una catena di ristoranti. Peraltro, in alcuni casi, possono entrare in gioco considerazioni di carattere socio politico che influenzano la valutazione della minaccia. Ognuno dei modi in cui una risorsa può essere danneggiata, alterata, rubata, distrutta o resa inaccessibile, costituisce una minaccia. Tra questi bisogna considerare sia quelli volontari sia involontari, senza dimenticare le catastrofi, quali incendi, terremoti e inondazioni, che in molte zone d’Italia si presentano con una frequenza tutt’altro che trascurabile. Vulnerability assessment Come osservato in precedenza, le minacce possono essere di tipo imprevedibile, spesso riferite in letteratura anche come minacce “naturaliâ€. Rientrano in questa categoria catastrofi quali inondazioni e terremoti, ma anche, quindi con un’accezione più ampia, incendi, attentati e così via. La probabilità che queste minacce si verifichino non è regolabile con un sistema di sicurezza IT e dipende da condizioni essenzialmente esterne all’azienda. Vanno evidentemente considerate e possono essere misurate (la probabilità di un’eruzione alle pendici dell’Etna è ovviamente maggiore che sulla riva del Po, viceversa per un’inondazione). In questi casi le tecniche adottabili per la protezione delle informazioni sono quelle tipiche del disaster recovery. La tipologia di minacce che invece sono generalmente indicate come di origine umana, ma che sono riferibili in senso più ampio come “prevedibiliâ€, in quanto vi rientrano anche guasti del software o dell’hardware, possono essere suddivise in “volontarie†(o “doloseâ€) e “involontarie†(o “non doloseâ€).
  • 6. Le minacce considerate involontarie sono, generalmente, quelle derivanti da un errore di un dipendente o alla sua ignoranza. Possono essere molto gravi, e causare danni ingenti direttamente (con l’eliminazione o la modifica di dati conseguente a un uso maldestro delle applicazioni) oppure indirettamente (con l’apertura di una falla nel sistema di sicurezza a causa del mancato adempimento delle policy per negligenza o disattenzione). Per ridurre il rischio di queste minacce è opportuno, innanzi tutto, condurre una campagna di sensibilizzazione interna alla sicurezza. È essenziale, in particolare, che i dipendenti siano a conoscenza delle conseguenze del loro comportamento scorretto non solo sul piano pratico ed economico, per quanto concerne l’azienda, ma anche su quello legale, che li potrebbe coinvolgere direttamente. Tra le minacce involontarie rientrano anche i guasti dell’hardware o i difetti del software, la cui probabilità di accadimento può essere calcolata, in funzione delle caratteristiche di partenza delle risorse (un server fault tollerance fornisce garanzie di affidabilità e disponibilità, come pure uno storage con supporto RAID e via dicendo) e misurata, con un controllo periodico del loro stato. Le minacce volontarie o dolose sono certamente da considerare le più pericolose. Esse sono di natura umana e derivano da un attacco mirato che può provenire tanto dall’esterno quanto dall’interno dell’azienda. Tra i due casi, l’ultimo è presumibilmente il peggiore anche perché è più difficile da rilevare e prevedere. Questo tipo di minacce deriva da attacchi che sfruttano tipicamente le vulnerabilità del sistema di sicurezza o in maniera opportunistica (un hacker che “casualmente†durante scansioni “a pioggia†trova un buco in un sistema e vi entra) o mediante un’accurata pianificazione. Tra i metodi di attacco si ricordano: il social engineering (cioè una vera e propria attività spionistica, tesa a ottenere informazioni dirette dagli utenti, usando una falsa identità); virus, worm e cavalli di Troia; Denial of Service (che mette, per esempio, un server in condizioni di dover negare il servizio); rinvio dei pacchetti; modifica dei pacchetti; IP spoofing (tramite il quale l’hacker sostituisce l’indirizzo IP della propria macchina con un altro, tipicamente della rete che sta attaccando); password guessing (il tentativo di indovinare o calcolare una password). Considerandole varie minacce (che peraltro possono essere anche di tipo misto), è possibile determinare quali vulnerabilità possono essere sfruttate. Le vulnerabilità sono, in generale, dovute a errori o trascuratezze di gestione: una configurazione superficiale, un bug del software, una versione non aggiornata dell’antivirus e così via. Si consideri, per esempio, il sistema operativo della macchina su cui è installato il firewall. Da esso dipende quest’ultimo, che può essere disabilitato facilmente se sul sistema operativo stesso non è stata disattivata la corrispondente funzione. Per quanto riguarda le modalità di gestione è importante tenere presente che, praticamente, tutti gli attacchi sfruttano delle vulnerabilità note che possono essere riparate, spesso, con largo anticipo rispetto al momento in cui può verificarsi un attacco. Il vulnerability assessment consiste in una serie di tecniche e tecnologie per il controllo dello stato di salute di tutte le risorse, comprese soprattutto tutte le soluzioni di sicurezza. Queste possono essere mantenute aggiornate effettuando una scansione periodica delle risorse e pianificandone l’evoluzione. Peraltro, sono sempre più comuni opzioni di aggiornamento automatico disponibili anche sotto forma di servizio. La valutazione del rischio Una volta ultimate le tre fasi precedentemente illustrate, occorre un lavoro di sintesi che
  • 7. porti alla valutazione del rischio. Per questo è possibile operare in diversi modi, con scuole metodologiche diverse. I risultati possono essere classificati con un maggior o minor livello di dettaglio e la valutazione può essere sia di tipo qualitativo sia quantitativo, includendo, per esempio, valori numerici del rischio espressi in percentuali del fatturato. Una linea guida che sta assumendo un ruolo di standard nel settore è rappresentata dalla normativa ISO17799 / BS7799. Esistono in ogni caso delle caratteristiche fondamentali che è opportuno siano presenti in ogni analisi del rischio: • riproducibilità e ripetitività: dato che occorre ripetere periodicamente il processo e al fine di ottenere risultati confrontabili con i precedenti è opportuno che l’analisi possa essere condotta con le stesse procedure; • comprensibilità: il rischio deve essere espresso, qualitativamente o quantitativamente che sia, in forma chiara atta a definire la successiva strategia di protezione; condivisibilità: i risultati dell’analisi devono essere condivisi tra le diverse funzioni aziendali e deve essere condotta una campagna di sensibilizzazione interna, che costituisce la prima forma di protezione; • consistenza: la valutazione del rischio è funzione delle policy di primo livello, per i cui i valori attribuiti alle risorse devono essere consistenti con gli obiettivi di riservatezza, integrità e disponibilità; • riutilizzabilità: i risultati delle varie fasi devono poter essere reimpiegati, al fine di accelerare i successivi processi e consentire economie di scala (per esempio, il vulnerability assessment potrebbe essere condotto indipendentemente, più di frequente di tutto il processo di analisi del rischio); • adeguatezza: la valutazione del rischio non può portare alla definizione di strumenti e policy di sicurezza incomprensibili per la cultura aziendale che, altrimenti, non sarebbero rispettivamente utilizzati e seguite; • rapidità: i risultati dell’analisi devono essere disponibili in tempi utili per poter procedere alla fase di implementazione del sistema di sicurezza o del suo aggiornamento.
AboutCopyright
© 2025 ºÝºÝߣ